Yhteenveto Microsoft Copilotin tapauksesta Microsoft Defender XDR:ssä

Artikkeli
11/19/2024
Koskee seuraavia::

Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR käyttää Security Copilot ominaisuuksia tapausten yhteenvedon tekemiseen ja vaikuttavien tietojen toimittamiseen tutkimustehtävien yksinkertaistamiseksi. Hyökkäystutkimus on ratkaiseva askel tapausten käsittelytiimeille, jotta ne voivat onnistuneesti puolustaa organisaatiota kyberuhan aiheuttamia lisävahinkoja vastaan. Tutkimukset voivat usein olla aikaa vieviä, koska siihen liittyy useita vaiheita. Tapausten käsittelyryhmien on ymmärrettävä, miten hyökkäys tapahtui: niiden on käytävä läpi lukuisia hälytyksiä, selvitettävä, mitkä resurssit ja entiteetit ovat osallisena, ja arvioitava hyökkäyksen laajuus sekä vaikutus.

Tässä oppaassa kerrotaan, mitä on odotettavissa ja miten voit käyttää Security Copilotin yhteenvetotoimintoa Microsoft 365 Defenderissä (mukaan lukien tiedot palautteen antamisesta).

Tiedä ennen kuin aloitat

Jos et ole aiemmin käyttänyt Security Copilot, tutustu siihen lukemalla seuraavat artikkelit:

Tapausten vastaajat voivat helposti saada oikean kontekstin tutkia ja korjata tapauksia Defender XDR korrelaatiotoimintojen ja Security Copilot tekoälypohjaisen tietojen käsittelyn ja kontekstualisoinnin avulla. Tapahtumayhteenvedon avulla käsittelijät saavat nopeasti tärkeitä tietoja, jotka auttavat heitä tutkimuksissaan.

Security Copilot integrointi Microsoft Defender

Tapausten yhteenvetoominaisuus on käytettävissä Microsoft Defender-portaalissa asiakkaille, jotka ovat varanneet Security Copilot käyttöoikeuden.

Tämä ominaisuus on käytettävissä myös Security Copilot erillisessä kokemuksessa Microsoft Defender XDR laajennuksen kautta. Lisätietoja Security Copilot valmiiksi asennetuista laajennuksista.

Tärkeimmät ominaisuudet

Tapaukset, joissa on enintään 100 hälytystä, voidaan koota yhteen tapausyhteenvetoon. Tapausyhteenveto sisältää seuraavat (tietojen saatavuudesta riippuen):

Aika ja päivämäärä, jolloin hyökkäys alkoi.
Entiteetti tai resurssi, josta hyökkäys alkoi.
Siihen sisältyy yhteenveto hyökkäyksen etenemisen aikajanoista.
Se sisältää hyökkäykseen osallistuneet resurssit.
Se sisältää vaarantumisindikaattorit.
Se sisältää mukana olleiden uhkatoimijoiden nimet.

Voit tehdä yhteenvedon tapahtumasta seuraavasti:

Avaa tapaussivu. Copilot luo tapahtuman yhteenvedon automaattisesti sivun avaamisen yhteydessä. Voit lopettaa yhteenvedon luomisen valitsemalla Peruuta. Voit aloittaa luomisen uudelleen valitsemalla Luo uudelleen.
Tapauksen yhteenvetokortti latautuu Copilot-ruudussa. Tarkista luotu yhteenveto kortista.

Vihje

Voit siirtyä tiedosto-, IP- tai URL-sivulle Copilot-tulosruudusta napsauttamalla tulosten todistusaineistoa.
Kopioi tai luo yhteenveto uudelleen valitsemalla tapausten yhteenvetokortin yläreunasta Lisää toimintoja -kolme pistettä (...) tai tarkastele yhteenvetoa Security Copilot portaalissa. Kun valitse Avaa Security Copilotissa, tämä avaa uuden välilehden erilliseen Security Copilot -portaaliin, jossa voit antaa kehotteita ja käyttää muita laajennuksia.
Tarkista yhteenveto ja käytä tietoja, jotka ohjaavat tutkimustasi ja reagointiasi tapaukseen.

Esimerkkitapauksen yhteenvetokehote

Erillisessä Security Copilot portaalissa voit luoda tapahtumayhteenvedot seuraavan kehotteen avulla:

Anna yhteenveto Defenderin tapauksesta {incident ID}.

Vihje

Kun luot tapahtuman yhteenvetoa Security Copilot-portaalissa, Microsoft suosittelee, että lisäät defender-sanan kehotteihisi varmistaaksesi, että tapahtuman yhteenvetoominaisuus toimittaa tulokset.

Anna palautetta

Microsoft rohkaisee sinua antamaan palautetta Copilotille, sillä se on erittäin tärkeää ominaisuuden jatkuvan parantamisen kannalta. Voit antaa palautetta yhteenvedosta valitsemalla palautekuvakkeen, joka löytyy tulosten alareunasta Näyttökuva Copilotin palautekuvakkeesta Defender-korteissa.

Tutustu myös seuraaviin ohjeartikkeleihin: