Popis integrace Copilotu s XDR v programu Microsoft Defender
XDR v programu Microsoft Defender se integruje se službou Microsoft Security Copilot. Integraci se službou Security Copilot je možné provést prostřednictvím samostatných a vložených prostředí.
Samostatné prostředí
Pro firmy, které jsou nasazené do Microsoft Security Copilotu, je integrace povolená prostřednictvím modulů plug-in, ke kterým se přistupuje prostřednictvím portálu Copilot (samostatné prostředí). Existují dva samostatné moduly plug-in, které podporují integraci s XDR v programu Microsoft Defender:
- Microsoft Defender XDR
- Přirozený jazyk KQL pro XDR v programu Microsoft Defender
Modul plug-in XDR v programu Microsoft Defender
Modul plug-in XDR v programu Microsoft Defender zahrnuje funkce, které uživatelům umožňují:
- Analýza souborů
- Generování sestavy incidentu
- Vygenerování odpovědi s asistencí
- Výpis incidentů a souvisejících upozornění
- Shrnutí stavu zabezpečení zařízení
- více...
Možnosti XDR v programu Microsoft Defender v Copilotu jsou integrované výzvy, které můžete použít, ale můžete také zadat vlastní výzvy na základě podporovaných možností.
Copilot obsahuje také integrovaný promptbook pro šetření incidentů XDR v programu Microsoft Defender, pomocí které můžete získat sestavu o konkrétním incidentu, se souvisejícími výstrahami, skóre reputace, uživateli a zařízeními.
Modul plug-in Microsoft Defender v přirozeném jazyce do KQL
Modul plug-in KQL v přirozeném jazyce pro KQL pro Microsoft Defender umožňuje funkci pomocníka pro dotazy, která převádí jakoukoli otázku v přirozeném jazyce v kontextu proaktivního vyhledávání hrozeb na dotaz připravený ke spuštění dotazovací jazyk Kusto (KQL). Pomocník pro dotazy šetří čas bezpečnostních týmů tak, že vygeneruje dotaz KQL, který se pak dá automaticky spustit nebo dále upravit podle potřeb analytika.
Vložené prostředí
S povoleným modulem plug-in může být integrace Copilotu s XDR v programu Defender také zaznamenána prostřednictvím integrovaného prostředí, které se v XDR v programu Microsoft Defender označuje jako Copilot.
Copilot v XDR v programu Microsoft Defender umožňuje týmům zabezpečení rychle a efektivně zkoumat incidenty a reagovat na ně prostřednictvím portálu XDR v programu Microsoft Defender. Copilot v XDR v programu Microsoft Defender podporuje následující funkce.
- Shrnutí incidentů
- Odpovědi s asistencí
- Analýza skriptů
- Dotazy KQL v přirozeném jazyce
- Sestavy incidentů
- Analýza souborů
- Souhrny zařízení a identity
Uživatelé můžou také bezproblémově přecházet z integrovaného prostředí do samostatného prostředí.
Shrnutí incidentů
Pokud chcete okamžitě porozumět incidentu, můžete pomocí Copilotu v XDR v programu Microsoft Defender shrnout incident za vás. Copilot vytvoří přehled útoku obsahujícího základní informace, abyste pochopili, co se v útoku stalo, jaké prostředky se týkají, časovou osu útoku a další. Při přechodu na stránku incidentu nástroj Copilot automaticky vytvoří souhrn. Incidenty obsahující až 100 upozornění je možné shrnout do jednoho souhrnu incidentů.
Odpovědi s asistencí
Copilot v XDR v programu Microsoft Defender používá funkce AI a strojového učení k kontextování incidentu a získání informací z předchozích šetření k vygenerování vhodných akcí reakce, které se zobrazují jako řízené reakce. Schopnost reakce s asistencí copilotu umožňuje týmům reakce na incidenty na všech úrovních s jistotou a rychlým použitím akcí reakce na řešení incidentů snadno.
Odpovědi s asistencí doporučují akce v následujících kategoriích:
- Třídění – zahrnuje doporučení ke klasifikaci incidentů jako informačních, pravdivě pozitivních nebo falešně pozitivních.
- Omezení – zahrnuje doporučené akce, které obsahují incident.
- Šetření – zahrnuje doporučené akce pro další šetření.
- Náprava – zahrnuje doporučené akce reakce, které se použijí na konkrétní entity zapojené do incidentu.
Každá karta obsahuje informace o doporučené akci, včetně toho, proč se akce doporučuje, podobné incidenty a další. Například akce Zobrazit podobné incidenty bude dostupná, když v organizaci existují další incidenty, které se podobají aktuálnímu incidentu. Týmy reakce na incidenty můžou také zobrazit informace o uživateli pro nápravné akce, jako je resetování hesel.
Ne všechny incidenty nebo výstrahy poskytují odpovědi s asistencí. Odpovědi s asistencí jsou k dispozici pro typy incidentů, jako jsou phishing, ohrožení zabezpečení obchodních e-mailů a ransomware.
Analýza skriptů a kódů
Funkce analýzy skriptů v XDR v programu Microsoft Defender poskytuje týmům zabezpečení přidanou kapacitu pro kontrolu skriptů a kódu bez použití externích nástrojů. Tato funkce také snižuje složitost analýzy, minimalizuje výzvy a umožňuje bezpečnostním týmům rychle vyhodnotit a identifikovat skript jako škodlivý nebo neškodný.
Existuje několik způsobů, jak získat přístup k možnosti analýzy skriptů. Následující obrázek znázorňuje strom procesu pro výstrahu, která zahrnuje spuštění skriptu PowerShellu. Výběrem tlačítka analyzovat se vygeneruje analýza skriptu Copilot.
Generování dotazů KQL
Funkce Copilot v XDR v programu Microsoft Defender nabízí funkci pomocníka pro dotazy v rozšířeném proaktivním vyhledávání.
Pokud chcete získat přístup k pomocníkovi pro dotazy KQL, uživatelé s přístupem ke Copilotu vyberou z levého navigačního podokna portálu XDR v programu Defender pokročilé proaktivní vyhledávání.
Copilot nabízí výzvy, které můžete použít k zahájení vyhledávání hrozeb pomocí Copilotu, nebo můžete na panelu výzvy napsat vlastní otázku v přirozeném jazyce a vygenerovat dotaz KQL. Dejte mi například všechna zařízení, která se přihlásila během posledních 10 minut. Copilot pak vygeneruje dotaz KQL, který odpovídá požadavku pomocí rozšířeného schématu dat proaktivního vyhledávání.
Uživatel pak může dotaz spustit výběrem možnosti Přidat a spustit. Vygenerovaný dotaz se pak zobrazí jako poslední dotaz v editoru dotazů. Pokud chcete provést další úpravy, vyberte Přidat do editoru.
Vytváření hlášení incidentů
Komplexní a jasná zpráva o incidentech je základním odkazem pro bezpečnostní týmy a správu operací zabezpečení. Vytvoření komplexní zprávy s důležitými podrobnostmi, které jsou k dispozici, ale může být časově náročný úkol pro bezpečnostní provozní týmy, protože zahrnuje shromažďování, uspořádání a shrnutí informací o incidentech z více zdrojů. Bezpečnostní týmy teď můžou na portálu okamžitě vytvořit rozsáhlou zprávu o incidentech.
Zatímco souhrn incidentu poskytuje přehled incidentu a jeho výskyt, sestava incidentu konsoliduje informace o incidentu z různých zdrojů dat dostupných v Microsoft Sentinelu a XDR v programu Microsoft Defender. Sestava incidentu zahrnuje také všechny kroky řízené analytiky a automatizované akce, analytiky zapojené do reakce, komentáře analytiků a další.
Pokud chcete vytvořit sestavu incidentu, uživatel vybere v pravém horním rohu stránky incidentu sestavu incidentu nebo ikonu v podokně Copilot. Po vygenerování sestavy incidentu se výběrem tří teček v sestavě incidentu zobrazí uživatel s možností zkopírovat sestavu do schránky, publikovat do protokolu aktivit, znovu vygenerovat sestavu nebo se rozhodnout otevřít v samostatném prostředí Copilot.
Analýza souborů
Sofistikované útoky často používají soubory, které napodobují legitimní nebo systémové soubory, aby se zabránilo detekci. Copilot v XDR v programu Microsoft Defender umožňuje týmům zabezpečení rychle identifikovat škodlivé a podezřelé soubory prostřednictvím funkcí analýzy souborů využívajících AI.
Existuje mnoho způsobů, jak získat přístup ke stránce s podrobným profilem konkrétního souboru. V tomto příkladu přejdete k souborům prostřednictvím grafu incidentu incidentu s ovlivněnými soubory. Graf incidentů ukazuje úplný rozsah útoku, způsob šíření útoku přes vaši síť v průběhu času, kde začal a jak daleko útočník šel.
V grafu incidentu se výběrem souborů zobrazí možnost zobrazit soubory. Když vyberete zobrazit soubory, otevře se panel na pravé straně obrazovky s ovlivněnými soubory. Výběrem libovolného souboru zobrazíte přehled podrobností o souboru a možnost analyzovat soubor. Výběrem možnosti Analyzovat se otevře analýza souboru Copilot.
Shrnutí zařízení a identit
Funkce souhrnu zařízení v programu Copilot v Defenderu umožňuje týmům zabezpečení získat stav zabezpečení zařízení, zranitelné informace o softwaru a jakékoli neobvyklé chování. Bezpečnostní analytici můžou pomocí souhrnu zařízení urychlit vyšetřování incidentů a výstrah.
Existuje mnoho způsobů, jak získat přístup ke souhrnu zařízení. V tomto příkladu přejdete na souhrn zařízení prostřednictvím stránky prostředků incidentů. Když vyberete kartu prostředky pro incident, zobrazí se všechny prostředky. Na levém navigačním panelu vyberte Zařízení a pak vyberte konkrétní název zařízení. Na stránce přehledu, která se otevře vpravo, je možnost vybrat Copilot.
Podobně může copilot v XDR v programu Microsoft Defender sumarizovat identity.
Přechod na samostatné prostředí
Jako analytik, který používá XDR v programu Microsoft Defender, pravděpodobně strávíte v programu Defender XDR dostatek času, takže vložené prostředí je skvělým místem pro zahájení šetření zabezpečení. V závislosti na tom, co zjistíte, můžete zjistit, že je potřeba provést hlubší šetření. V tomto scénáři můžete snadno přejít na samostatné prostředí a projít si podrobnější šetření napříč produkty, které přináší všechny možnosti Copilotu povolené pro vaši roli.
Pro obsah vygenerovaný prostřednictvím vloženého prostředí můžete snadno přejít na samostatné prostředí. Pokud se chcete přesunout do samostatného prostředí, vyberte tři tečky v okně vygenerovaného obsahu a pak zvolte Otevřít v security Copilotu.
