Jaa


Arvioi ja tutki tapauksia Microsoft Copilotin ohjatuilla vastauksilla Microsoft Defenderissä

Microsoft Security Copilot Microsoft Defender portaalissa tukee tapausten käsittelyryhmiä tapausten välittömässä ratkaisemisessa ohjatuilla vastauksilla. Defenderin Copilot käyttää tekoäly- ja koneoppimisominaisuuksia tapauksen kontekstualisoimiseen ja oppimaan aiemmista tutkimuksista asianmukaisten vastaustoimien luomiseksi.

Tässä oppaassa kerrotaan, miten voit käyttää ohjattua vastausominaisuutta, mukaan lukien tietoja palautteen antamisesta vastauksista.

Tiedä ennen kuin aloitat

Jos et ole aiemmin käyttänyt Security Copilot, tutustu siihen lukemalla seuraavat artikkelit:

Microsoft Defender -portaalin tapauksiin vastaaminen edellyttää usein tuntemista portaalin käytettävissä olevista toimista hyökkäysten pysäyttämiseksi. Lisäksi uusilla tapahtumiin reagoivilla henkilöillä voi olla erilaisia ideoita siitä, missä ja miten tapauksiin reagoiminen aloitetaan. Copilotin ohjattu vastausominaisuus Defenderissä mahdollistaa tapauksiin reagoimisen tiimit kaikilla tasoilla, jotta ne voivat luotettavasti ja nopeasti ottaa käyttöön vastaustoimintoja tapausten ratkaisemiseksi helposti.

Security Copilot integrointi Microsoft Defender

Ohjatut vastaukset ovat saatavilla Microsoft Defender-portaalissa asiakkaille, jotka ovat varanneet Security Copilot käyttöoikeuden.

Ohjatut vastaukset ovat käytettävissä myös erillisessä Security Copilot kokemuksessa Microsoft Defender XDR laajennuksen kautta. Lisätietoja Security Copilot valmiiksi asennetuista laajennuksista.

Tärkeimmät ominaisuudet

Ohjatut vastaukset suosittelevat toimintoja seuraavissa luokissa:

  • Lajittelu – sisältää suosituksen luokitella tapaukset informatiivisiksi, todellisiksi esiintymisiksi tai virheellisiksi esiintymiksi
  • Eristäminen – sisältää suositellut toimet tapauksen eristämistä varten
  • Tutkimus – sisältää suositellut toimet lisätutkimuksia varten
  • Korjaus – sisältää suositellut käsittelytoimet, joita käytetään tiettyihin tapaukseen liittyviin entiteetteihin

Jokainen kortti sisältää tietoja suositellusta toiminnosta, mukaan lukien entiteetti, jossa toiminto on otettava käyttöön ja miksi toimintoa suositellaan. Korteissa korostetaan myös sitä, milloin suositeltu toiminto tehtiin automatisoidulla tutkinnalla, kuten hyökkäyshäiriöllä tai automaattisella tutkintavasteella.

Ohjatut vastauskortit voidaan lajitella kunkin kortin käytettävissä olevan tilan mukaan. Voit valita tietyn tilan, kun tarkastelet ohjattuja vastauksia, valitsemalla Tila ja valitsemalla sitten tilan, jota haluat tarkastella. Kaikki ohjatut vastauskortit tilan mukaan näytetään oletusarvoisesti.

Näyttökuva, joka näyttää vastausten tilan Copilot-ruudussa Microsoft Defender tapaussivulla.

Voit käyttää ohjattuja vastauksia seuraavasti:

  1. Avaa tapaussivu. Copilot luo automaattisesti ohjatut vastaukset tapahtumasivun avaamisen yhteydessä. Copilot-ruutu näkyy tapaussivun oikeassa reunassa ja näyttää ohjatut vastauskortit.

    Näyttökuva, jossa näkyy Copilot-ruutu ja ohjatut vastaukset Microsoft Defender tapaussivulla.

  2. Tarkista jokainen kortti ennen suositusten soveltamista. Valitse Lisää toimintoja -kolme pistettä (...) vastauskortin yläreunassa, niin näet kunkin suosituksen käytettävissä olevat vaihtoehdot. Seuraavassa on joitakin esimerkkejä.

    Näyttökuva, jossa näkyvät käyttäjien käytettävissä olevat vaihtoehdot Copilot-sivupaneelin ohjatussa vastauskortissa.

    Näyttökuva, joka näyttää vaihtoehdot, jotka ovat käyttäjien käytettävissä automaatiovastauskortissa Copilot-ruudussa Microsoft Defender XDR.

  3. Jos haluat käyttää toimintoa, valitse kustakin kortista haluamasi toiminto. Kunkin kortin ohjattu vastaustoiminto on räätälöity tapauksen tyypin ja siihen liittyvän entiteetin mukaan.

    Näyttökuva, joka näyttää ohjatun vastauksen kortit Microsoft Defender Copilot-ruudussa.

  4. Voit antaa palautetta kullekin vastauskortille, jotta voit jatkuvasti parantaa Copilotin tulevia vastauksia. Jos haluat antaa palautetta, valitse palautekuvake Näyttökuva, joka näyttää Copilot-palautekuvakkeen Defender-korteissa kunkin kortin oikeassa alakulmassa.

Huomautus

Harmaat toimintopainikkeet tarkoittavat, että käyttöoikeutesi rajoittaa näitä toimintoja. Lisätietoja on yhdistetyn roolipohjaisen käytön hallinnan (RBAC) käyttöoikeussivulla.

Copilot auttaa nopeuttamaan analyytikoiden tutkimustehtäviä. Kun tapaus edellyttää lisätutkimuksia käyttäjän toiminnasta, Copilot ehdottaa tekstiä, jota analyytikot voivat käyttää tiedonvälitykseen käyttäjän kanssa. Ohjattu vastauskortti sisältää Yhteyshenkilö-käyttäjän Teamsissa tai Kopioi leikepöydälle -toiminnon, joka kopioi ehdotetun tekstin leikepöydälle. Analyytikot voivat sitten liittää tekstin sähköpostiviestiin tai toiseen viestintätyökaluun. Analyytikko voi myös saada käyttäjälle enemmän kontekstia Näytä käyttäjä - toiminnolla.

Näyttökuva, jossa näkyy ehdotettu teksti viestintää varten ohjatussa vastauskortissa.

Copilot tukee myös tapausten käsittelytiimejä antamalla analyytikoille mahdollisuuden saada enemmän kontekstia vastaustoimista lisätiedoilla. Korjausvastauksia varten tapauksiin reagoivat tiimit voivat tarkastella lisätietoja valitsemalla esimerkiksi Näytä samankaltaiset tapaukset tai Näytä samankaltaiset sähköpostit.

Näytä samankaltaiset tapaukset -toiminto on käytettävissä, kun organisaatiossa on muita tapauksia, jotka muistuttavat nykyistä tapausta. Samankaltaiset tapaukset -välilehdessä on samankaltaisia tapauksia, joita voit tarkastella. Microsoft Defender tunnistaa automaattisesti samankaltaiset tapaukset organisaatiossa koneoppimisen avulla. Tapauksiin reagoivat tiimit voivat käyttää näiden samankaltaisten tapausten tietoja tapausten luokittelemiseen ja tarkastellakseen suoritettuja toimia kyseisissä vastaavissa tapauksissa.

Näytä samankaltaiset sähköpostit -toiminto, joka liittyy tietojenkalastelutapauksiin, vie tarkennetun etsinnän sivulle, jossa luodaan automaattisesti KQL-kysely samankaltaisten sähköpostiviestien luetteloimiseksi organisaatiossa. Tämä tapaukseen liittyvä automaattisen kyselyn luonti auttaa tapauksiin reagoivia tiimejä tutkimaan muita tapaukseen mahdollisesti liittyviä sähköpostiviestejä. Voit tarkastella kyselyä ja muokata sitä tarpeen mukaan.

Esimerkki ohjatuista vastauksista -kehote

Erillisessä Security Copilot portaalissa voit luoda ohjatut vastaukset seuraavan kehotteen avulla:

  • Luo ohjatut vastaukset ja suositukset Defenderin tapausta {incident ID} varten.

Vihje

Kun luot ohjattuja vastauksia Security Copilot-portaalissa, Microsoft suosittelee, että lisäät Defender-sanan kehotteisiin, jotta ohjatut vastaukset -ominaisuus toimittaa tulokset.

Anna palautetta

Microsoft rohkaisee sinua antamaan palautetta Copilotille, sillä se on erittäin tärkeää ominaisuuden jatkuvan parantamisen kannalta. Jos haluat antaa palautetta, siirry Copilot-sivupaneelin alareunaan ja valitse palautekuvake Näyttökuva Defender-korttien Copilot-palautekuvakkeesta.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.