Popis copilotu v XDR v programu Microsoft Defender

  • 9 min

Microsoft Security Copilot je integrovaný v XDR v programu Microsoft Defender, který týmům zabezpečení umožňuje rychle a efektivně prošetřit incidenty a reagovat na ně. Microsoft Copilot pro XDR v programu Microsoft Defender podporuje následující funkce.

  • Shrnutí incidentů
  • Odpovědi s asistencí
  • Analýza skriptů
  • Dotazy KQL v přirozeném jazyce
  • Sestavy incidentů
  • Analýza souborů
  • Souhrn zařízení

Existují také některé možnosti, které jsou společné pro všechny tyto funkce, včetně možnosti poskytovat zpětnou vazbu k odpovědím na výzvy a bezproblémově přejít do samostatného prostředí.

Jak je popsáno v úvodní lekci, ve vloženém prostředí Copilot je schopen vyvolat funkce specifické pro produkt přímo a poskytuje efektivitu zpracování. To znamená, že pro zajištění přístupu k těmto funkcím Microsoft Security Copilot je potřeba povolit modul plug-in XDR v programu Microsoft Defender a to se provádí prostřednictvím samostatného prostředí. Další informace najdete v tématu Popis funkcí dostupných v samostatném prostředí Microsoft Security Copilot.

Snímek obrazovky okna Spravovat moduly plug-in, který zvýrazní modul plug-in XDR v programu Microsoft Defender.

Shrnutí incidentů

Pokud chcete okamžitě porozumět incidentu, můžete k shrnutí incidentu použít Microsoft Copilot v XDR v programu Microsoft Defender. Copilot vytvoří přehled útoku obsahujícího základní informace, abyste pochopili, co se v útoku stalo, jaké prostředky se týkají, a časovou osu útoku. Při přechodu na stránku incidentu nástroj Copilot automaticky vytvoří souhrn.

Snímek obrazovky s vloženým prostředím Security Copilot v XDR v programu Microsoft Defender zobrazující souhrn incidentu

Incidenty obsahující až 100 upozornění je možné shrnout do jednoho souhrnu incidentů. Souhrn incidentu v závislosti na dostupnosti dat zahrnuje následující:

  • Čas a datum zahájení útoku
  • Entitu nebo prostředek, kde útok začal.
  • Shrnutí časového průběhu útoku.
  • Prostředky, které byly součástí útoku.
  • Indikátory ohrožení (IOC)
  • Jména zúčastněných aktérů hrozeb.

Odpovědi s asistencí

Copilot v XDR v programu Microsoft Defender používá funkce AI a strojového učení k kontextování incidentu a získání informací z předchozích šetření k vygenerování vhodných akcí reakce, které se zobrazují jako řízené reakce. Schopnost reakce s asistencí copilotu umožňuje týmům reakce na incidenty na všech úrovních s jistotou a rychlým použitím akcí reakce na řešení incidentů snadno.

Odpovědi s asistencí doporučují akce v následujících kategoriích:

  • Třídění – zahrnuje doporučení ke klasifikaci incidentů jako informačních, pravdivě pozitivních nebo falešně pozitivních.
  • Omezení – zahrnuje doporučené akce, které obsahují incident.
  • Šetření – zahrnuje doporučené akce pro další šetření.
  • Náprava – zahrnuje doporučené akce reakce, které se použijí na konkrétní entity zapojené do incidentu.

Každá karta obsahuje informace o doporučené akci, včetně toho, proč se akce doporučuje, podobné incidenty a další. Například akce Zobrazit podobné incidenty bude dostupná, když v organizaci existují další incidenty, které se podobají aktuálnímu incidentu. Týmy reakce na incidenty můžou také zobrazit informace o uživateli pro nápravné akce, jako je resetování hesel.

Snímek obrazovky zobrazující informace zahrnuté v odpovědi s asistencí

Ne všechny incidenty nebo výstrahy poskytují odpovědi s asistencí. Odpovědi s asistencí jsou k dispozici pro typy incidentů, jako jsou phishing, ohrožení zabezpečení obchodních e-mailů a ransomware.

Analýza skriptů a kódů

Nejkomplexnější a sofistikované útoky, jako je ransomware, se vyhýbají detekci mnoha způsoby, včetně použití skriptů a PowerShellu. Tyto skripty jsou navíc často obfuskované, což zvyšuje složitost detekce a analýzy. Týmy pro provoz zabezpečení potřebují rychle analyzovat skripty a kód, aby porozuměly jeho schopnostem a použily vhodné zmírnění rizik na útoky, které se v síti dál opakují.

Funkce analýzy skriptů v XDR v programu Microsoft Defender poskytuje týmům zabezpečení přidanou kapacitu pro kontrolu skriptů a kódu bez použití externích nástrojů. Tato funkce také snižuje složitost analýzy, minimalizuje výzvy a umožňuje bezpečnostním týmům rychle vyhodnotit a identifikovat skript jako škodlivý nebo neškodný.

K možnosti analýzy skriptů v časové ose výstrahy v rámci incidentu se dostanete pro položku časové osy skládající se ze skriptu nebo kódu. Na následujícím obrázku zobrazuje časová osa powershell.exe položku.

Poznámka:

Funkce analýzy skriptů se neustále vyvíjejí. Vyhodnocují se analýzy skriptů v jiných jazycích než PowerShell, dávkách a bash.

Snímek obrazovky znázorňující možnost analyzovat skript PowerShellu

Copilot analyzuje skript a zobrazí výsledky na kartě analýzy skriptu. Uživatelé můžou vybrat zobrazit kód a zobrazit konkrétní řádky kódu související s analýzou. Pokud chcete kód skrýt, uživatelé musí vybrat pouze možnost Skrýt kód.

Snímek obrazovky znázorňující řádky kódu související s analýzou skriptu

Generování dotazů KQL

Funkce Copilot v XDR v programu Microsoft Defender nabízí funkci pomocníka pro dotazy v rozšířeném proaktivním vyhledávání.

Lovci hrozeb nebo bezpečnostní analytici, kteří ještě nejsou obeznámeni nebo se ještě učí KQL, můžou vytvořit žádost nebo položit otázku v přirozeném jazyce (například Získat všechna upozornění týkající se správce uživatelů123). Copilot pak vygeneruje dotaz KQL, který odpovídá požadavku pomocí rozšířeného schématu dat proaktivního vyhledávání.

Tato funkce zkracuje dobu potřebnou k napsání dotazu proaktivního vyhledávání od začátku, aby se lovci hrozeb a analytici zabezpečení mohli zaměřit na proaktivní vyhledávání a prošetřování hrozeb.

Pokud chcete získat přístup k pomocníkovi pro dotazy KQL, uživatelé s přístupem ke Copilotu vyberou z levého navigačního podokna portálu XDR v programu Defender pokročilé proaktivní vyhledávání.

Snímek obrazovky zobrazující obrazovku Pomocníka s dotazem Copilot vloženou v XDR v programu Defender

Pomocí panelu výzvy může uživatel požádat o dotaz proaktivního vyhledávání hrozeb pomocí přirozeného jazyka, například "Dejte mi všechna zařízení přihlášená během posledních 10 minut".

Snímek obrazovky znázorňující dotaz KQL vygenerovaný z požadavku v přirozeném jazyce

Uživatel pak může dotaz spustit výběrem možnosti Přidat a spustit. Vygenerovaný dotaz se pak zobrazí jako poslední dotaz v editoru dotazů. Pokud chcete provést další úpravy, vyberte Přidat do editoru.

Možnost spuštění vygenerovaného dotazu se dá nastavit také automaticky prostřednictvím ikony nastavení.

Snímek obrazovky znázorňující možnost automatického spuštění vygenerovaného dotazu

Vytváření hlášení incidentů

Komplexní a jasná zpráva o incidentech je základním odkazem pro bezpečnostní týmy a správu operací zabezpečení. Vytvoření komplexní zprávy s důležitými podrobnostmi, které jsou k dispozici, ale může být časově náročný úkol pro bezpečnostní provozní týmy, protože zahrnuje shromažďování, uspořádání a shrnutí informací o incidentech z více zdrojů. Bezpečnostní týmy teď můžou na portálu okamžitě vytvořit rozsáhlou zprávu o incidentech.

Týmy zabezpečení můžou okamžitě vytvářet sestavy incidentů pomocí tlačítka v XDR v programu Microsoft Defender pomocí technologie AI využívajícího zpracování dat AI.

Zatímco souhrn incidentu poskytuje přehled incidentu a jeho výskyt, sestava incidentu konsoliduje informace o incidentu z různých zdrojů dat dostupných v Microsoft Sentinelu a XDR v programu Microsoft Defender. Zpráva incidentu obsahuje také všechny analytické kroky a automatizované akce, analytiky zapojené do reakce a komentáře analytiků.

Copilot vytvoří sestavu incidentu obsahující následující informace:

  • Časové razítka hlavních akcí správy incidentů, mezi které patří:
    • Vytvoření a uzavření incidentu
    • První a poslední protokoly, ať už protokol řízený analytikem nebo automatizovaný, zachycený v incidentu
  • Analytici zapojení do reakce na incidenty.
  • Klasifikace incidentůvčetně komentářů analytiků k vyhodnocení a klasifikaci incidentu.
  • Akce šetření prováděné analytiky a uvedené v protokolech incidentů
  • Nápravné akce byly provedeny, včetně:
    • Ruční akce prováděné analytiky a uvedené v protokolech incidentů
    • Automatizované akce použité systémem, včetně spuštěných playbooků Microsoft Sentinelu a akcí XDR v programu Microsoft Defender
  • Řiďte se akcemi, jako jsou doporučení, otevřené problémy nebo další kroky uvedené analytiky v protokolech incidentů.

Pokud chcete vytvořit sestavu incidentu, uživatel vybere v pravém horním rohu stránky incidentu sestavu incidentu nebo ikonu v podokně Copilot.

Snímek obrazovky znázorňující dvě možnosti generování sestavy incidentu

Vygenerovaná sestava závisí na informacích o incidentu dostupných v programu Microsoft Defender XDR a Microsoft Sentinelu. Výběrem tří teček na kartě sestavy incidentu může uživatel sestavu zkopírovat do schránky, publikovat do protokolu aktivit, znovu vygenerovat sestavu nebo se rozhodnout otevřít v samostatném prostředí Copilot.

Snímek obrazovky zobrazující vygenerovanou sestavu incidentu a rozevírací nabídku možností dostupných výběrem tří teček

Analýza souborů

Sofistikované útoky často používají soubory, které napodobují legitimní nebo systémové soubory, aby se zabránilo detekci. Copilot v XDR v programu Microsoft Defender umožňuje týmům zabezpečení rychle identifikovat škodlivé a podezřelé soubory prostřednictvím funkcí analýzy souborů využívajících AI.

Existuje mnoho způsobů, jak získat přístup ke stránce s podrobným profilem konkrétního souboru. Můžete například použít funkci vyhledávání, vybrat soubory z karty důkazů a odpovědí incidentu nebo použít graf Incident.

V tomto příkladu přejdete k souborům prostřednictvím grafu incidentu incidentu s ovlivněnými soubory. Graf incidentů ukazuje úplný rozsah útoku, způsob šíření útoku přes vaši síť v průběhu času, kde začal a jak daleko útočník šel.

V grafu incidentu se výběrem souborů zobrazí možnost zobrazit soubory. Když vyberete zobrazit soubory, otevře se panel na pravé straně obrazovky s ovlivněnými soubory. Výběrem libovolného souboru zobrazíte přehled podrobností o souboru a možnost analyzovat soubor. Výběrem možnosti Analyzovat se otevře analýza souboru Copilot.

Shrnutí zařízení a identit

Funkce souhrnu zařízení v programu Copilot v Defenderu umožňuje týmům zabezpečení získat stav zabezpečení zařízení, zranitelné informace o softwaru a jakékoli neobvyklé chování. Bezpečnostní analytici můžou pomocí souhrnu zařízení urychlit vyšetřování incidentů a výstrah.

Existuje mnoho způsobů, jak získat přístup ke souhrnu zařízení. V tomto příkladu přejdete na souhrn zařízení prostřednictvím stránky prostředků incidentů. Když vyberete kartu prostředky pro incident, zobrazí se všechny prostředky. Na levém navigačním panelu vyberte Zařízení a pak vyberte konkrétní název zařízení. Na stránce přehledu, která se otevře vpravo, je možnost vybrat Copilot.

Podobně může copilot v XDR v programu Microsoft Defender sumarizovat identity.

Běžné funkce napříč klíčovými funkcemi

Existují některé možnosti, které jsou společné pro funkce Copilot pro XDR v programu Microsoft Defender.

Poskytnutí zpětné vazby

Stejně jako u samostatného prostředí poskytuje vložené prostředí uživatelům mechanismus, který poskytuje zpětnou vazbu ohledně přesnosti odpovědi vygenerované umělou inteligencí. U veškerého obsahu generovaného AI můžete vybrat výzvu k odeslání názoru v pravém dolním rohu okna obsahu a vybrat z dostupných možností.

Snímek obrazovky ikony zpětné vazby pro obsah vygenerovaný AI a tři možnosti Možnosti jsou potvrzeny, vypadá skvěle, mimo cíl, nepřesné a potenciálně škodlivé, nevhodné.

Přechod na samostatné prostředí

Jako analytik, který používá XDR v programu Microsoft Defender, pravděpodobně strávíte v programu Defender XDR dostatek času, takže vložené prostředí je skvělým místem pro zahájení šetření zabezpečení. V závislosti na tom, co zjistíte, můžete zjistit, že je potřeba provést hlubší šetření. V tomto scénáři můžete snadno přejít na samostatné prostředí a projít si podrobnější šetření napříč produkty, které přináší všechny možnosti Copilotu povolené pro vaši roli.

Pro obsah vygenerovaný prostřednictvím vloženého prostředí můžete snadno přejít na samostatné prostředí. Pokud se chcete přesunout do samostatného prostředí, vyberte tři tečky v okně vygenerovaného obsahu a pak zvolte Otevřít v security Copilotu.

Snímek obrazovky znázorňující možnost otevření v kopírovací aplikaci Security Copilot, která je dostupná výběrem tří teček v okně obsahu vygenerovaného AI