Arvioi ja tutki tapauksia Microsoft Copilotin ohjatuilla vastauksilla Microsoft Defenderissä
Microsoft Security Copilot Microsoft Defender portaalissa tukee tapausten käsittelyryhmiä tapausten välittömässä ratkaisemisessa ohjatuilla vastauksilla. Defenderin Copilot käyttää tekoäly- ja koneoppimisominaisuuksia tapauksen kontekstualisoimiseen ja oppimaan aiemmista tutkimuksista asianmukaisten vastaustoimien luomiseksi.
Tässä oppaassa kerrotaan, miten voit käyttää ohjattua vastausominaisuutta, mukaan lukien tietoja palautteen antamisesta vastauksista.
Tiedä ennen kuin aloitat
Jos et ole aiemmin käyttänyt Security Copilot, tutustu siihen lukemalla seuraavat artikkelit:
- Mitä Security Copilot on?
- Security Copilot käyttökokemukset
- Security Copilotin käytön aloittaminen
- Security Copilot todentamisen ymmärtäminen
- Näytetään Security Copilot
Microsoft Defender -portaalin tapauksiin vastaaminen edellyttää usein tuntemista portaalin käytettävissä olevista toimista hyökkäysten pysäyttämiseksi. Lisäksi uusilla tapahtumiin reagoivilla henkilöillä voi olla erilaisia ideoita siitä, missä ja miten tapauksiin reagoiminen aloitetaan. Copilotin ohjattu vastausominaisuus Defenderissä mahdollistaa tapauksiin reagoimisen tiimit kaikilla tasoilla, jotta ne voivat luotettavasti ja nopeasti ottaa käyttöön vastaustoimintoja tapausten ratkaisemiseksi helposti.
Security Copilot integrointi Microsoft Defender
Ohjatut vastaukset ovat saatavilla Microsoft Defender-portaalissa asiakkaille, jotka ovat varanneet Security Copilot käyttöoikeuden.
Ohjatut vastaukset ovat käytettävissä myös erillisessä Security Copilot kokemuksessa Microsoft Defender XDR laajennuksen kautta. Lisätietoja Security Copilot valmiiksi asennetuista laajennuksista.
Tärkeimmät ominaisuudet
Ohjatut vastaukset suosittelevat toimintoja seuraavissa luokissa:
- Lajittelu – sisältää suosituksen luokitella tapaukset informatiivisiksi, todellisiksi esiintymisiksi tai virheellisiksi esiintymiksi
- Eristäminen – sisältää suositellut toimet tapauksen eristämistä varten
- Tutkimus – sisältää suositellut toimet lisätutkimuksia varten
- Korjaus – sisältää suositellut käsittelytoimet, joita käytetään tiettyihin tapaukseen liittyviin entiteetteihin
Jokainen kortti sisältää tietoja suositellusta toiminnosta, mukaan lukien entiteetti, jossa toiminto on otettava käyttöön ja miksi toimintoa suositellaan. Korteissa korostetaan myös sitä, milloin suositeltu toiminto tehtiin automatisoidulla tutkinnalla, kuten hyökkäyshäiriöllä tai automaattisella tutkintavasteella.
Ohjatut vastauskortit voidaan lajitella kunkin kortin käytettävissä olevan tilan mukaan. Voit valita tietyn tilan, kun tarkastelet ohjattuja vastauksia, valitsemalla Tila ja valitsemalla sitten tilan, jota haluat tarkastella. Kaikki ohjatut vastauskortit tilan mukaan näytetään oletusarvoisesti.
Voit käyttää ohjattuja vastauksia seuraavasti:
Avaa tapaussivu. Copilot luo automaattisesti ohjatut vastaukset tapahtumasivun avaamisen yhteydessä. Copilot-ruutu näkyy tapaussivun oikeassa reunassa ja näyttää ohjatut vastauskortit.
Tarkista jokainen kortti ennen suositusten soveltamista. Valitse Lisää toimintoja -kolme pistettä (...) vastauskortin yläreunassa, niin näet kunkin suosituksen käytettävissä olevat vaihtoehdot. Seuraavassa on joitakin esimerkkejä.
Jos haluat käyttää toimintoa, valitse kustakin kortista haluamasi toiminto. Kunkin kortin ohjattu vastaustoiminto on räätälöity tapauksen tyypin ja siihen liittyvän entiteetin mukaan.
Voit antaa palautetta kullekin vastauskortille, jotta voit jatkuvasti parantaa Copilotin tulevia vastauksia. Jos haluat antaa palautetta, valitse palautekuvake kunkin kortin oikeassa alakulmassa.
Huomautus
Harmaat toimintopainikkeet tarkoittavat, että käyttöoikeutesi rajoittaa näitä toimintoja. Lisätietoja on yhdistetyn roolipohjaisen käytön hallinnan (RBAC) käyttöoikeussivulla.
Copilot auttaa nopeuttamaan analyytikoiden tutkimustehtäviä. Kun tapaus edellyttää lisätutkimuksia käyttäjän toiminnasta, Copilot ehdottaa tekstiä, jota analyytikot voivat käyttää tiedonvälitykseen käyttäjän kanssa. Ohjattu vastauskortti sisältää Yhteyshenkilö-käyttäjän Teamsissa tai Kopioi leikepöydälle -toiminnon, joka kopioi ehdotetun tekstin leikepöydälle. Analyytikot voivat sitten liittää tekstin sähköpostiviestiin tai toiseen viestintätyökaluun. Analyytikko voi myös saada käyttäjälle enemmän kontekstia Näytä käyttäjä - toiminnolla.
Copilot tukee myös tapausten käsittelytiimejä antamalla analyytikoille mahdollisuuden saada enemmän kontekstia vastaustoimista lisätiedoilla. Korjausvastauksia varten tapauksiin reagoivat tiimit voivat tarkastella lisätietoja valitsemalla esimerkiksi Näytä samankaltaiset tapaukset tai Näytä samankaltaiset sähköpostit.
Näytä samankaltaiset tapaukset -toiminto on käytettävissä, kun organisaatiossa on muita tapauksia, jotka muistuttavat nykyistä tapausta. Samankaltaiset tapaukset -välilehdessä on samankaltaisia tapauksia, joita voit tarkastella. Microsoft Defender tunnistaa automaattisesti samankaltaiset tapaukset organisaatiossa koneoppimisen avulla. Tapauksiin reagoivat tiimit voivat käyttää näiden samankaltaisten tapausten tietoja tapausten luokittelemiseen ja tarkastellakseen suoritettuja toimia kyseisissä vastaavissa tapauksissa.
Näytä samankaltaiset sähköpostit -toiminto, joka liittyy tietojenkalastelutapauksiin, vie tarkennetun etsinnän sivulle, jossa luodaan automaattisesti KQL-kysely samankaltaisten sähköpostiviestien luetteloimiseksi organisaatiossa. Tämä tapaukseen liittyvä automaattisen kyselyn luonti auttaa tapauksiin reagoivia tiimejä tutkimaan muita tapaukseen mahdollisesti liittyviä sähköpostiviestejä. Voit tarkastella kyselyä ja muokata sitä tarpeen mukaan.
Esimerkki ohjatuista vastauksista -kehote
Erillisessä Security Copilot portaalissa voit luoda ohjatut vastaukset seuraavan kehotteen avulla:
- Luo ohjatut vastaukset ja suositukset Defenderin tapausta {incident ID} varten.
Vihje
Kun luot ohjattuja vastauksia Security Copilot-portaalissa, Microsoft suosittelee, että lisäät Defender-sanan kehotteisiin, jotta ohjatut vastaukset -ominaisuus toimittaa tulokset.
Anna palautetta
Microsoft rohkaisee sinua antamaan palautetta Copilotille, sillä se on erittäin tärkeää ominaisuuden jatkuvan parantamisen kannalta. Jos haluat antaa palautetta, siirry Copilot-sivupaneelin alareunaan ja valitse palautekuvake .
Tutustu myös seuraaviin ohjeartikkeleihin:
- Lisätietoja muista Security Copilotin upotetuista käyttökokemuksista
- Security Copilotin yksityisyys ja tietosuoja
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.