Zusammenfassen eines Vorfalls mit Microsoft Copilot in Microsoft Defender

• Gilt für::

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR wendet die Funktionen von Security Copilot an, um Incidents zusammenzufassen und wirkungsvolle Informationen und Erkenntnisse bereitzustellen, um Untersuchungsaufgaben zu vereinfachen. Die Untersuchung von Angriffen ist ein wichtiger Schritt für Teams zur Reaktion auf Vorfälle, um eine Organisation erfolgreich vor weiteren Schäden durch eine Cyberbedrohung zu schützen. Untersuchungen können oft zeitaufwändig sein, da sie zahlreiche Schritte umfassen. Teams zur Reaktion auf Vorfälle müssen verstehen, wie der Angriff stattgefunden hat: Sortieren Sie zahlreiche Warnungen, identifizieren Sie, welche Ressourcen und Entitäten beteiligt sind, und bewerten Sie den Umfang und die Auswirkungen eines Angriffs.

In diesem Leitfaden wird beschrieben, was Sie erwarten und wie Sie auf die Zusammenfassungsfunktion von Copilot in Defender zugreifen können, einschließlich Informationen zur Übermittlung von Feedback.

Klare Ideen vor dem Loslegen

Wenn Sie noch nicht mit Security Copilot vertraut sind, sollten Sie sich mit den folgenden Artikeln vertraut machen:

• Was ist Security Copilot?
• Security Copilot Erfahrungen
• Erste Schritte mit Security Copilot
• Grundlegendes zur Authentifizierung in Security Copilot
• Eingabeaufforderung in Security Copilot

Reaktionshelfer für Incidents können problemlos den richtigen Kontext für die Untersuchung und Behebung von Vorfällen erhalten, indem sie die Korrelationsfunktionen von Defender XDR und die KI-gestützte Datenverarbeitung und Kontextualisierung von Security Copilot verwenden. Mit einer Vorfallzusammenfassung können Responder schnell wichtige Informationen erhalten, die bei ihrer Untersuchung helfen.

Security Copilot Integration in Microsoft Defender

Die Funktion "Incidentzusammenfassung" ist im Microsoft Defender-Portal für Kunden verfügbar, die Zugriff auf Security Copilot bereitgestellt haben.

Diese Funktion ist auch in der Security Copilot eigenständigen Umgebung über das Microsoft Defender XDR-Plug-In verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Security Copilot.

Hauptmerkmale

Incidents mit bis zu 100 Warnungen können in einer Vorfallzusammenfassung zusammengefasst werden. Eine Vorfallzusammenfassung umfasst je nach Verfügbarkeit der Daten Folgendes:

• Die Uhrzeit und das Datum, zu dem ein Angriff gestartet wurde.
• Die Entität oder Ressource, in der der Angriff begonnen hat.
• Eine Zusammenfassung der Zeitachsen, wie sich der Angriff entwickelt hat.
• Die an dem Angriff beteiligten Ressourcen.
• Anzeichen für Kompromittierung (IoCs).
• Namen der beteiligten Bedrohungsakteure.

Führen Sie die folgenden Schritte aus, um einen Vorfall zusammenzufassen:

1. Öffnen Sie eine Vorfallseite. Copilot erstellt beim Öffnen der Seite automatisch eine Incidentzusammenfassung. Sie können die Zusammenfassungserstellung beenden, indem Sie Erstellung abbrechen auswählen oder sie neu starten, indem Sie Erneut generieren auswählen.

2. Die Vorfallzusammenfassungskarte wird im Copilot-Bereich geladen. Überprüfen Sie die generierte Zusammenfassung auf der Karte.

   

   Tipp

   Sie können im Copilot-Ergebnisbereich zu einer Datei-, IP- oder URL-Seite navigieren, indem Sie in den Ergebnissen auf den Beweis klicken.

3. Wählen Sie oben in der Vorfallszusammen Karte fassung die Auslassungspunkte (...) aus, um die Zusammenfassung zu kopieren oder erneut zu generieren, oder zeigen Sie die Zusammenfassung im Security Copilot-Portal an. Wenn Sie In Security Copilot öffnen auswählen, wird eine neue Registerkarte zum Security Copilot eigenständigen Portal geöffnet, auf der Sie Eingabeaufforderungen eingeben und auf andere Plug-Ins zugreifen können.

   

4. Überprüfen Sie die Zusammenfassung, und verwenden Sie die Informationen, um Ihre Untersuchung und Reaktion auf den Vorfall zu steuern.

Beispiel für eine Incidentzusammenfassungsaufforderung

Im Security Copilot eigenständigen Portal können Sie die folgende Eingabeaufforderung verwenden, um Incidentzusammenfassungen zu generieren:

• Geben Sie eine Zusammenfassung für defender incident {incident ID} an.

Tipp

Beim Generieren einer Vorfallzusammenfassung im Security Copilot-Portal empfiehlt Microsoft, das Wort Defender in Ihre Eingabeaufforderungen einzugeben, um sicherzustellen, dass die Funktion "Incidentzusammenfassung" die Ergebnisse liefert.

Feedback geben

Microsoft empfiehlt Ihnen dringend, Copilot Feedback zu geben, da dies für die kontinuierliche Verbesserung einer Funktion von entscheidender Bedeutung ist. Sie können Feedback zur Zusammenfassung bereitstellen, indem Sie das Feedbacksymbol auswählen, unten im Copilot-Bereich.

Siehe auch

• Weitere Informationen zu anderen in Security Copilot eingebetteten Umgebungen
• Datenschutz und Datensicherheit in Security Copilot

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.