Del via

Microsoft Security Copilot i Microsoft Defender Threat Intelligence

  • Artikel

Microsoft Security Copilot er en cloudbaseret AI-platform, der leverer en copilotoplevelse på et naturligt sprog. Det kan hjælpe sikkerhedsmedarbejdere i forskellige scenarier, f.eks. svar på hændelser, trusselsjagt og indsamling af oplysninger. Du kan få flere oplysninger om, hvad den kan gøre, ved at læse Hvad er Microsoft Security Copilot?.

Security Copilot kunder får for hver af deres godkendte Copilot-brugere adgang til Microsoft Defender Threat Intelligence (Defender TI). Hvis du vil sikre dig, at du har adgang til Copilot, skal du se oplysninger om Security Copilot køb og licenser.

Når du har adgang til Security Copilot, bliver de vigtige funktioner, der beskrives i denne artikel, tilgængelige enten på Security Copilot-portalen eller på Microsoft Defender-portalen.

Vær at vide, før du begynder

Hvis du ikke kender Security Copilot, bør du blive fortrolig med den ved at læse disse artikler:

Security Copilot integration i Defender TI

Security Copilot leverer oplysninger om trusselsaktører, indikatorer for kompromiser (IOCs), værktøjer og sårbarheder samt kontekstuel trusselsintelligens fra Defender TI. Du kan bruge prompterne og promptbøgerne til at undersøge hændelser, forbedre dine jagtflow med oplysninger om efterretninger om cybertrusler eller få mere viden om din organisations eller det globale trusselslandskab.

  • Vær tydelig og specifik med dine prompter. Du kan få bedre resultater, hvis du medtager bestemte navne på trusselsaktører eller IOC'er i dine prompts. Det kan også hjælpe, hvis du føjer efterretninger om cybertrusler til din prompt, f.eks.:

    • Vis mig data om efterretninger om cybertrusler til Aqua Blizzard.
    • Opsummer data om efterretninger om cybertrusler for "malicious.com".

  • Vær specifik, når der refereres til en hændelse (f.eks. "hændelses-id 15324").

  • Eksperimentér med forskellige prompter og variationer for at se, hvad der fungerer bedst for din use case. Chat-modeller med kunstig intelligens varierer, så du kan gentage og finindstille dine prompter på baggrund af de resultater, som du modtager.

  • Copilot gemmer dine promptsessioner. Hvis du vil se de forrige sessioner, skal du gå til Mine sessioneri menuen Security Copilot Start.

    Skærmbillede, der viser menuen Microsoft Security Copilot Startside med Mine sessioner fremhævet.

    Bemærk!

    Hvis du vil have en gennemgang af Copilot, herunder fastgørelses- og delingsfunktionen, skal du læse Naviger Microsoft Security Copilot.

Få mere at vide om oprettelse af effektive prompts

Nøglefunktioner

Security Copilot gør det muligt for sikkerhedsteams at forstå, prioritere og reagere på oplysninger om trusselsintelligens med det samme.

Du kan spørge om en trusselsaktør, angrebskampagne eller andre efterretninger om cybertrusler, som du vil vide mere om, og Copilot genererer svar baseret på rapporter om trusselsanalyse, Intel-profiler og -artikler samt andet Defender TI-indhold.

Du kan også vælge en af de indbyggede prompter, der er tilgængelige på Defender-portalen, for at udføre følgende handlinger:

  • Sammenfat de seneste trusler, der er relateret til din organisation
  • Prioriter, hvilke trusler du skal fokusere på, baseret på dit miljøs højeste eksponeringsniveau for disse trusler
  • Spørg om de trusselsaktører, der er målrettet til kommunikationsinfrastrukturbranchen

Få mere at vide om brug af Copilot i Defender for efterretninger om cybertrusler

Slå integration af Security Copilot til i Defender TI

  1. Gå til Microsoft Security Copilot, og log på med dine legitimationsoplysninger.

  2. Sørg for, at Microsoft Threat Intelligence-plug-in'en er slået til. På promptlinje, skal du vælge ikonet KilderSkærmbillede af ikonet Kilder..

    Skærmbillede af promptlinjen i Microsoft Security Copilot med ikonet Kilder fremhævet.

    I pop op-vinduet Administrer kilder , der vises, skal du under Plug-ins bekræfte, at til/fra-knappen Microsoft Threat Intelligence er slået til, og derefter lukke vinduet.

    Skærmbillede af pop op-vinduet Administrer plug-ins med Microsoft Threat Intelligence-plug-in'en fremhævet.

    Bemærk!

    Nogle roller kan slå til/fra-knappen til eller fra for plug-ins, f.eks. Microsoft Threat Intelligence. Du kan få flere oplysninger ved at læse Administrer plug-ins i Microsoft Security Copilot.

  3. Angiv din prompt i promptlinjen.

Indbyggede systemfunktioner

Security Copilot har indbyggede systemfunktioner, der kan hente data fra de forskellige plug-ins, der er slået til.

Sådan får du vist listen over indbyggede systemegenskaber for Defender TI:

  1. På promptlinjen skal du vælge ikonet Prompter Skærmbillede af ikonet prompter..

    Skærmbillede af promptlinjen i Microsoft Security Copilot med ikonet Prompter fremhævet.

  2. Vælg Se alle systemfunktioner. I afsnittet Microsoft Threat Intelligence vises alle de tilgængelige funktioner til Defender TI, som du kan bruge.

Copilot har også følgende promptbøger, der også leverer oplysninger fra Defender TI:

  • Kontrollér virkningen af en ekstern trusselsartikel – analyserer en ekstern artikel eller en tredjepartsartikel (dvs. ikke publiceret i Defender TI) for at udtrække relaterede IOCs, opsummere intelligensen og generere jagtforespørgsler, så du kan vurdere den potentielle virkning af den trussel, der rapporteres i artiklen til din organisation.
  • Threat actor profile – genererer en rapportprofilering af en kendt trusselsaktør, herunder forslag til at forsvare sig mod deres almindelige værktøjer og taktikker.
  • Threat Intelligence 360-rapport baseret på MDTI-artikel – analyserer en Defender TI-artikel for at udtrække relaterede IIC'er, opsummere intelligensen og generere jagtforespørgsler, så du kan vurdere den potentielle virkning af den trussel, der rapporteres i artiklen til din organisation.
  • Vurdering af indvirkning på sårbarheder – genererer en rapport, der opsummerer intelligensen for en kendt sårbarhed, herunder trin til, hvordan du håndterer den.

Hvis du vil have vist disse promptbøger, skal du vælge ikonet Prompter på promptlinjen og derefter vælge Se alle promptbøger.

Eksempel på Defender TI-prompter

Du kan bruge mange prompter til at hente oplysninger fra Defender TI. I dette afsnit vises nogle ideer og eksempler.

Få efterretninger om cybertrusler fra trusselsartikler og trusselseksperter.

Eksempler på prompter :

  • Opsummer den seneste efterretning om cybertrusler.
  • Vis mig de seneste trusselsartikler.
  • Få trusselsartikler, der er relateret til ransomware inden for de seneste seks måneder.

Tilknytning og infrastruktur af trusselsaktør

Få oplysninger om trusselsspillere og de taktikker, teknikker og procedurer (TTP'er), sponsorerede stater, brancher og IOC'er, der er knyttet til dem.

Eksempler på prompter:

  • Fortæl mig mere om Silk Typhoon.
  • Del IOC'er, der er knyttet til Silk Typhoon.
  • Del TTP'er, der er knyttet til Silk Typhoon.
  • Del trusselsakter, der er knyttet til Rusland.

Sårbarhedsdata efter CVE

Hent kontekstafhængige oplysninger og trusselsintelligens om almindelige sikkerhedsrisici og eksponeringer (CVEs), der er afledt af Defender TI-artikler, rapporter om trusselsanalyse og data fra Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender og Ekstern angrebsoverfladeadministration til Microsoft Defender.

Eksempler på prompter:

  • Del teknologierne, der er sårbare over for sikkerhedsrisikoen CVE-2021-44228.
  • Opsummer sikkerhedsrisikoen CVE-2021-44228.
  • Vis mig de seneste CVE'er.
  • Vis mig trusselsspillere, der er knyttet til CVE-2021-44228.
  • Vis mig trusselsartiklerne, der er knyttet til CVE-2021-44228.

Indikatordata i relation til trusselsintelligens

Få detaljerede oplysninger om en indikator (f.eks. IP-adresser, domæner og filhashes) baseret på de mange datasæt , der er tilgængelige i Defender TI, herunder omdømmescorer, WHOIS-oplysninger, DNS (domain name system), værtspar og certifikater.

Eksempler på prompter:

  • Hvad kan du fortælle mig om domænenavnet<>?
  • Vis indikatorer, der er relateret til <domænenavn>.
  • Vis mig alle opløsninger for <domænenavn>.
  • Vis værtspar relateret til <domænenavn>.
  • Vis mig omdømme for værtens <værtsnavn>.
  • Vis mig alle opløsninger for IP-adressens< IP-adresse>.
  • Vis mig de åbne tjenester i <IP-adressen>.

Giv feedback

Din feedback om Defender TI-integration i Security Copilot hjælper med udvikling. Hvis du vil give feedback, skal du vælge Hvordan er dette svar i Copilot? Nederst i hver fuldførte prompt og vælge en af følgende indstillinger:

  • Ser rigtigt ud – Vælg denne knap, hvis resultaterne er nøjagtige, baseret på din vurdering.
  • Kræver forbedring – Vælg denne knap, hvis detaljerne i resultaterne er forkerte eller ufuldstændige baseret på din vurdering.
  • Upassende – Vælg denne knap, hvis resultaterne indeholder tvivlsomme, tvetydige eller potentielt skadelige oplysninger.

For hver feedbackknap kan du angive flere oplysninger i den næste dialogboks, der vises. Når det er muligt, og når resultatet er Kræver forbedring, skal du skrive et par ord, der forklarer, hvad der kan gøres for at forbedre resultatet. Hvis du har angivet prompter, der er specifikke for Defender TI, og resultaterne ikke er relaterede, skal du medtage disse oplysninger.

Beskyttelse af personlige oplysninger og datasikkerhed i Security Copilot

Når du interagerer med Security Copilot for at hente Defender TI-data, henter Copilot disse data fra Defender TI. Prompterne, de hentede data og outputtet, der vises i promptresultaterne, behandles og gemmes i Copilot-tjenesten. Få mere at vide om beskyttelse af personlige oplysninger og datasikkerhed i Microsoft Security Copilot

Se også