Del via

Opsummer en hændelse med Microsoft Copilot i Microsoft Defender

  • Artikel
  • Gælder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR anvender funktionerne i Security Copilot til at opsummere hændelser og levere virkningsfulde oplysninger og indsigt for at forenkle undersøgelsesopgaver. Undersøgelse af angreb er et afgørende skridt for teams til svar på hændelser for at kunne forsvare en organisation mod yderligere skader fra en cybertrussel. Undersøgelser kan ofte være tidskrævende, da det involverer mange trin. Teams for svar på hændelser skal forstå, hvordan angrebet skete: Sortere gennem adskillige beskeder, identificere, hvilke aktiver og enheder der er involveret, og vurdere omfanget og virkningen af et angreb.

Denne vejledning beskriver, hvad du kan forvente, og hvordan du får adgang til den opsummerende funktionalitet i Copilot i Defender, herunder oplysninger om, hvordan du giver feedback.

Vær at vide, før du begynder

Hvis du ikke kender Security Copilot, bør du blive fortrolig med den ved at læse følgende artikler:

Personer, der reagerer på hændelser, kan nemt få den rette kontekst til at undersøge og afhjælpe hændelser via Defender XDR korrelationsfunktioner og Security Copilot's AI-drevne databehandling og kontekstualisering. Med en oversigt over hændelser kan indsatslederne hurtigt få vigtige oplysninger, der kan hjælpe med deres undersøgelse.

Security Copilot integration i Microsoft Defender

Funktionen oversigt over hændelser er tilgængelig på Microsoft Defender-portalen for kunder, der har klargjort adgang til Security Copilot.

Denne funktion er også tilgængelig i den Security Copilot enkeltstående oplevelse via Microsoft Defender XDR-plug-in'en. Få mere at vide om forudinstallerede plug-ins i Security Copilot.

Nøglefunktioner

Hændelser, der indeholder op til 100 underretninger, kan opsummeres i én oversigt over hændelser. En oversigt over hændelser, indeholder afhængigt af tilgængeligheden af dataene, følgende:

  • Klokkeslæt og dato, hvor et angreb startede.
  • Den enhed eller det aktiv, hvor angrebet startede.
  • En oversigt over tidslinjer for, hvordan angrebet udfoldede sig.
  • De aktiver, der var involveret i angrebet.
  • Indikatorer på kompromittering (Indicators of Compromise – IOCs).
  • Navne på involverede trusselsaktører.

For at opsummere en hændelse skal du udføre følgende trin:

  1. Åbn en hændelsesside. Copilot opretter automatisk en hændelsesoversigt, når siden åbnes. Du kan stoppe oprettelsen af oversigten ved at vælge Annuller eller genstart oprettelsen ved at vælge Generér igen.

  2. Oversigtskortet over hændelser indlæses i Copilot-ruden. Gennemse den genererede oversigt på kortet.

    Skærmbillede, der viser kortet oversigt over hændelser i ruden Copilot, som vist på siden Microsoft Defender hændelse.

    Tip

    Du kan navigere til en fil-, IP- eller URL-side fra ruden Copilot-resultater ved at klikke på beviserne i resultaterne.

  3. Vælg ellipsen Flere handlinger (...) øverst på kortet oversigt over hændelser for at kopiere eller genoprette oversigten, eller få vist oversigten på Security Copilot portalen. Hvis du vælger Åbn i Security Copilot åbnes en ny fane på Security Copilots separate portal, hvor du kan angive prompter og få adgang til andre plug-ins.

    Skærmbillede, der viser de handlinger, der er tilgængelige på kortet med oversigt over hændelser.

  4. Gennemse oversigten, og brug oplysningerne til at vejlede din undersøgelse og dit respons på hændelsen.

Prompt om eksempel på hændelsesoversigt

I Security Copilot enkeltstående portal kan du bruge følgende prompt til at generere hændelsesoversigter:

  • Angiv en oversigt over Defender-hændelse {incident ID}.

Tip

Når du genererer en oversigt over hændelser på Security Copilot-portalen, anbefaler Microsoft, at du inkluderer ordet Defender i dine prompter for at sikre, at funktionen til oversigt over hændelser leverer resultaterne.

Giv feedback

Microsoft opfordrer dig på det kraftigste til at give feedback til Copilot, da det er afgørende for en funktions fortsatte forbedring. Du kan give feedback om oversigten ved at vælge feedback-ikonet Skærmbillede af feedback-ikonet til Copilot på Defender-kort, der findes nederst i Copilot-ruden.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.