Freigeben über


Zusammenfassen von Identitätsinformationen mit Microsoft Copilot in Microsoft Defender

Sicherheitsteams, die Benutzer untersuchen, können Identitätsinformationen mithilfe der Identitätszusammenfassungsfunktion in Microsoft Security Copilot in Microsoft Defender leicht verstehen. Durch generative KI und die Nutzung der Leistungsfähigkeit von Microsoft Defender for Identity schafft Copilot kontextbezogene Einblicke in eine Identität in einem organization und hilft Analysten dabei, wichtige Daten schnell zu verstehen, um ihre Untersuchung zu beschleunigen.

Mit der Funktion zur Identitätszusammenfassung können Analysten sofort verdächtige oder riskante identitätsbezogene Änderungen und Aktionen identifizieren, die sich negativ auf eine organization auswirken können. Die Zusammenfassung enthält auch potenzielle Fehlkonfigurationen, die sich auf eine Identität auswirken. In natürlicher Sprache liefert Copilot klare und umsetzbare Benutzerinformationen, die Analysten bei ihrer Untersuchung von Vorfällen verwenden können. Die Funktion konzentriert sich derzeit auf Benutzer und schließt Dienstkonten in die nächste Iteration ein.

In diesem Leitfaden wird beschrieben, was die Funktion zur Identitätszusammenfassung ist und wie sie funktioniert, einschließlich wie Sie Feedback zu den generierten Ergebnissen geben können.

Klare Ideen vor dem Loslegen

Wenn Sie noch nicht mit Security Copilot vertraut sind, sollten Sie sich mit den folgenden Artikeln vertraut machen:

Mit der Funktion zur Identitätszusammenfassung können Analysten sofort verdächtige oder riskante identitätsbezogene Änderungen und Aktionen identifizieren, die sich negativ auf eine organization auswirken können. Die Zusammenfassung enthält auch potenzielle Fehlkonfigurationen, die sich auf eine Identität auswirken. In natürlicher Sprache liefert Copilot klare und umsetzbare Benutzerinformationen, die Analysten bei ihrer Untersuchung von Vorfällen verwenden können. Die Funktion konzentriert sich derzeit auf Benutzer und schließt Dienstkonten in die nächste Iteration ein.

Security Copilot Integration in Microsoft Defender

Die Identitätszusammenfassungsfunktion ist im Microsoft Defender-Portal für Kunden verfügbar, die Zugriff auf Security Copilot bereitgestellt haben.

Benutzer, die auf das eigenständige Security Copilot-Portal zugreifen, können diese Funktion über das Microsoft Defender XDR-Plug-In verwenden. Erfahren Sie mehr über vorinstallierte Plug-Ins in Security Copilot.

Hauptmerkmale

Die Identitätszusammenfassung enthält wichtige Informationen zu einer Identität, einschließlich:

  • Das Datum, an dem ein Benutzerkonto erstellt wird, und ob das Benutzerkonto von hoher, mittlerer oder niedriger Wichtigkeit ist
  • Ungewöhnliche Verhaltensmuster im Zusammenhang mit Anmeldeorten, Anmeldehäufigkeit oder Häufigkeit fehlgeschlagener Anmeldeversuche
  • Die aktuelle Rolle eines Benutzers, einschließlich seiner Abteilung und Position, und ob es wichtige Rollenänderungen im Vergleich zur Position und Abteilung des Benutzers gibt, um Inkonsistenzen hervorzuheben
  • Daten über die letzte Anmeldung eines Benutzers bei einem Gerät, unabhängig davon, ob das Gerät dem Benutzer zugeordnet ist, in den letzten 30 Tagen
  • Verwendete Authentifizierungsmethoden und -anwendungen
  • Risiken im Zusammenhang mit einem Benutzer basierend auf Microsoft Entra ID
  • Allgemeine Informationen wie Berufsbezeichnung und Kontaktinformationen eines Benutzers, Abteilung und Kontaktinformationen seines Vorgesetzten

Sie können auf folgende Weise auf die Identitätszusammenfassungsfunktion zugreifen:

  • Wählen Sie auf einer Incidentseite eine Identität im Incidentdiagramm und dann (1) Benutzerdetails aus. Wählen Sie im Bereich mit den Benutzerdetails (2) Zusammenfassen aus. Die Ergebnisse werden im Copilot-Seitenbereich angezeigt.

    Screenshot: Option

  • Alternativ können Sie unten im Bereich mit den Benutzerdetails die Option Zu Benutzerseite wechseln auswählen, um die Benutzerseite zu öffnen. Copilot generiert automatisch die Identitätszusammenfassung und zeigt beim Öffnen der Benutzerseite den Seitenbereich an.

  • Sie können auch auf die Funktion zur Identitätszusammenfassung zugreifen, indem Sie einen Benutzer auf der Registerkarte Assets eines Incidents auswählen. Wählen Sie im Bereich mit den Benutzerdetails zusammenfassen aus, um die Identitätszusammenfassung zu generieren.

    Screenshot: Registerkarte

  • Wählen Sie auf einer Warnungsseite einen Benutzer und dann im Bereich mit den Benutzerdetails zusammenfassen aus, um die Identitätszusammenfassung zu generieren.

  • Auf der Seite erweiterte Suche können Sie auf die Funktion zur Identitätszusammenfassung zugreifen, indem Sie einen Benutzer in der Ergebnistabelle und dann den Link zur Benutzerseite auswählen. Copilot generiert automatisch die Identitätszusammenfassung und zeigt beim Öffnen der Benutzerseite den Seitenbereich an.

  • Navigieren Sie im menü Standard zu Ressourcenidentitäten>. Wählen Sie einen Benutzernamen aus der Liste und dann Benutzerseite anzeigen aus, um die Benutzerseite zu öffnen. Copilot generiert automatisch die Identitätszusammenfassung und zeigt beim Öffnen der Benutzerseite den Seitenbereich an.

    Screenshot mit hervorgehobener Option

  • Geben Sie einen Benutzernamen in das Suchfeld des Microsoft Defender Portals ein, und wählen Sie dann den Benutzernamen aus den Suchergebnissen aus. Wählen Sie im Seitenbereich mit den Benutzerdetails zusammenfassen aus, um die Identitätszusammenfassung zu generieren.

Überprüfen Sie die Ergebnisse der Identitätszusammenfassung. Sie können die Ergebnisse in die Zwischenablage kopieren, die Ergebnisse erneut generieren oder Security Copilot öffnen, indem Sie die Auslassungspunkte (...) neben der Identitätszusammenfassung Karte auswählen. Sie können Ihre Untersuchung der Identität mithilfe von Eingabeaufforderungen und anderen Plug-Ins im Security Copilot-Portal erweitern.

Beispiel für eine Identitätszusammenfassungsaufforderung

Im Security Copilot eigenständigen Portal können Sie die folgende Eingabeaufforderung verwenden, um eine Identitätszusammenfassung zu generieren:

  • Zeigen Sie die Defender-Zusammenfassung dieses Benutzers im letzten {Zeitrahmen} an.

Tipp

Bei der Untersuchung von Benutzern im Security Copilot-Portal empfiehlt Microsoft, das Wort Defender in Ihre Eingabeaufforderungen einzugeben, um sicherzustellen, dass die Identitätszusammenfassungsfunktion die Ergebnisse liefert. Sie können bis zu 120 Tage für den Untersuchungszeitrahmen angeben, wobei der Standardwert 30 Tage ist, wenn Sie keinen angeben.

Feedback geben

Microsoft empfiehlt Ihnen dringend, Copilot Feedback zu geben, da dies für die kontinuierliche Verbesserung einer Funktion von entscheidender Bedeutung ist. Um Feedback zu geben, navigieren Sie zum unteren Rand des Copilot-Seitenbereichs, und wählen Sie das Feedbacksymbol Screenshot des Feedbacksymbols für Copilot in Defender-Karten aus.

Screenshot: Textfeld

Füllen Sie das entsprechende Textfeld aus, um Ihre Gedanken, Erfahrungen und Anforderungen zu teilen. Microsoft schätzt Ihr Feedback und nimmt es in unserem Engagement, die Leistung und Benutzererfahrung von Copilot zu verbessern, ernst.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.