Jaa

Microsoft Security Copilot in Microsoft Defender Threat Intelligence

  • Artikkeli

Tärkeää

30. kesäkuuta 2024 erillinen Microsoft Defender Threat Intelligence (Defender TI) -portaali (https://ti.defender.microsoft.com) poistettiin käytöstä, eikä sitä voi enää käyttää. Asiakkaat voivat jatkaa Defender TI:n käyttöä Microsoft Defender portaalissa tai Microsoft Security Copilot. Lisätietoja

Microsoft Security Copilot on pilvipohjainen tekoälyympäristö, joka tarjoaa luonnollisen kielen copilot-käyttökokemuksen. Se voi auttaa tietoturva-ammattilaisia erilaisissa skenaarioissa, kuten tapausten käsittelyssä, uhkien metsästyksessä ja tiedustelun keräämisessä. Lisätietoja siitä, mitä se voi tehdä, on artikkelissa Mikä on Microsoft Security Copilot?.

Security Copilot asiakkaat saavat kunkin todennetun Copilot-käyttäjänsä käyttöoikeuden Microsoft Defender Threat Intelligence (Defender TI). Jos haluat varmistaa, että sinulla on Copilot-käyttöoikeus, katso Security Copilot osto- ja käyttöoikeustiedot.

Kun sinulla on käyttöoikeus Security Copilot, tässä artikkelissa käsitellyt tärkeimmät ominaisuudet ovat käytettävissä joko Security Copilot-portaalissa tai Microsoft Defender-portaalissa.

Tiedä ennen kuin aloitat

Jos et ole ennen käyttänyt Security Copilot, tutustu siihen lukemalla seuraavat artikkelit:

Security Copilot integrointi Defender TI:ssä

Security Copilot tarjoaa tietoja uhkien toimijoista, kompromissi-indikaattorit, työkalut ja haavoittuvuudet sekä tilannekohtaisia uhkatietoja Defender TI:ltä. Voit käyttää kehotteita ja kehotuskirjoja tutkiaksesi vaaratilanteita, rikastuttaaksesi metsästysvirtojasi uhkatiedustelutiedoilla tai saadaksesi lisää tietoa organisaatiosi tai maailmanlaajuisesta uhkakuvasta.

  • Ole tarkka ja tarkka kehotteiden avulla. Saatat saada parempia tuloksia, jos sisällytät kehotteeseen tiettyjä uhkanäyttelijän nimiä tai IOC-kutsuja. Se voi myös auttaa, jos lisäät uhkatietoja kehotteeseen, kuten:

    • Näytä Aqua Blizzardin uhkatiedot.
    • Tee yhteenveto malicious.com uhkien tiedustelutiedoista.

  • Ole tarkka viitattaessa tapahtumaan (esimerkiksi "tapaustunnus 15324").

  • Kokeile erilaisia kehotteita ja variaatioita, jotta näet, mikä toimii parhaiten käyttötapauksellesi. Chat-tekoälymallit vaihtelevat, joten iteroi ja tarkenna kehotteitasi saamiesi tulosten perusteella.

  • Copilot tallentaa kehoteistunnot. Jos haluat nähdä edelliset istunnot, siirry Security Copilot Aloitus-valikosta kohtaan Omat istunnot.

    Näyttökuva, jossa näkyy Microsoft Security Copilot Aloitus-valikko Omat istunnot korostettuna.

    Huomautus

    Ohjeet Copilot-toimintoon, kuten PIN-koodi- ja jakotoimintoon, ovat artikkelissa Siirry Microsoft Security Copilot.

Lue lisätietoja tehokkaiden kehotteiden luomisesta

Tärkeimmät ominaisuudet

Security Copilot avulla suojausryhmät voivat ymmärtää, priorisoida ja ryhtyä toimiin uhkien hallintaan liittyviä tietoja varten välittömästi.

Voit kysyä uhkatoimijasta, hyökkäyskampanjasta tai mistä tahansa muusta uhkien tiedustelusta, josta haluat tietää enemmän, ja Copilot luo vastauksia uhka-analytiikkaraporttien, intel-profiilien ja artikkelien sekä muun Defender TI -sisällön perusteella.

Voit myös valita minkä tahansa Defender-portaalissa käytettävissä olevista valmiista kehotteesta tehdäksesi seuraavat toimet:

  • Yhteenveto organisaatioosi liittyvistä uusimmista uhista
  • Priorisoi, mihin uhkiin keskitytään ympäristösi korkeimman altistumistason perusteella näille uhille
  • Kysy viestintäinfrastruktuurialaan kohdistamista uhkatoimijoista

Lue lisätietoja Copilotin käytöstä Defenderissä uhkien hallintaan

Ota käyttöön Security Copilot integrointi Defender TI:ssä

  1. Siirry Microsoft Security Copilot ja kirjaudu sisään tunnistetiedoillasi.

  2. Varmista, että Microsoft Threat Intelligence -laajennus on käytössä. Valitse kehotepalkissa Lähteet-kuvake Näyttökuva Lähteet-kuvakkeesta..

    Näyttökuva Microsoft Security Copilot kehotepalkista, jossa Lähteet-kuvake on korostettuna.

    Vahvista Näyttöön tulevassa Lähteiden hallinta -ponnahdusikkunassa Laajennukset-kohdassa, että Microsoft Threat Intelligence -vaihtopainike on käytössä, ja sulje sitten ikkuna.

    Näyttökuva Laajennuksen hallinta -ponnahdusikkunasta, jossa On korostettu Microsoft Threat Intelligence -laajennus.

    Huomautus

    Jotkin roolit voivat ottaa käyttöön tai poistaa käytöstä laajennuksia, kuten Microsoft Threat Intelligence. Lisätietoja on artikkelissa laajennusten hallinta Microsoft Security Copilot.

  3. Kirjoita kehote kehoteriville.

Sisäiset järjestelmän ominaisuudet

Security Copilot on sisäisiä järjestelmäominaisuuksia, jotka voivat noutaa tietoja eri laajennuksista, jotka on otettu käyttöön.

Defender TI:n sisäänrakennettujen järjestelmäominaisuuksien luettelon tarkasteleminen:

  1. Valitse kehotepalkissa Kehotteet-kuvakeNäyttökuva Kehotteet-kuvakkeesta..

    Näyttökuva Microsoft Security Copilot kehotepalkista, jossa on korostettu Kehotteet-kuvake.

  2. Valitse Näytä kaikki järjestelmän ominaisuudet. Microsoft Threat Intelligence -osiossa luetellaan kaikki Defender TI:n käytettävissä olevat ominaisuudet, joita voit käyttää.

Copilot sisältää myös seuraavat kehotekirjat, jotka toimittavat tietoja Defender TI: ltä:

  • Tarkista ulkoisen uhan vaikutus -artikkeli – Analysoi ulkoisen tai kolmannen osapuolen (eli ei julkaistu Defender TI:ssä) -artikkelin poimiakseen aiheeseen liittyviä IOC-yhdisteitä, tehdäkseen yhteenvedon älykkyydestä ja luodakseen metsästyskyselyitä, jotta voit arvioida artikkelissa ilmoitetun uhan mahdollisen vaikutuksen organisaatiollesi.
  • Uhkanäyttelijäprofiili – Luo raportin, jossa profiloidaan tunnettu uhkatoimija, mukaan lukien ehdotuksia puolustautua yleisiä työkaluja ja taktiikoita vastaan.
  • MDTI-artikkeliin perustuva Threat Intelligence 360 -raportti – Analysoi Defender TI -artikkelia ja poimii aiheeseen liittyviä IOC-kutsuja, tekee yhteenvedon älykkyydestä ja luo metsästyskyselyitä, jotta voit arvioida artikkelissa ilmoitetun uhan mahdollisen vaikutuksen organisaatiollesi.
  • Haavoittuvuuden vaikutuksen arviointi – Luo raportin, jossa on yhteenveto tunnetun haavoittuvuuden älytiedoista, mukaan lukien ohjeet siihen puuttumiseen.

Jos haluat tarkastella näitä kehotekirjoja, valitse kehotepalkissa Kehotteet-kuvake ja valitse sitten Näytä kaikki kehotekirjat.

Defender TI -mallikehotteet

Voit käyttää monia kehotteita tietojen saamiseksi Defender TI:stä. Tässä osiossa on joitakin ideoita ja esimerkkejä.

Hae uhkatietoja uhka-artikkeleista ja uhkatoimijoista.

Esimerkkikehotteet :

  • Tee yhteenveto viimeaikaisista uhkatiedoista.
  • Näytä uusimmat uhka-artikkelit.
  • Hanki kiristysohjelmiin liittyviä uhka-artikkeleita viimeisen kuuden kuukauden aikana.

Uhkatoimijakartoitus ja infrastruktuuri

Hanki tietoja uhkien toimijoista ja niihin liittyvistä taktiikoista, tekniikoista ja menettelyistä(TTP), sponsoroiduista valtioista, teollisuudenaloista ja niihin liittyvistä IOC:istä.

Esimerkkikehotteet:

  • Kerro lisää Silkkitaifuunista.
  • Jaa Silkkitaifuuniin liittyvät IOC:t.
  • Jaa Silkkitaifuuniin liittyvät TTP:t.
  • Jaa Venäjään liittyviä uhkatoimijoita.

CVE:n haavoittuvuustiedot

Hanki tilannekohtaisia tietoja ja uhkatietoja yleisistä haavoittuvuuksista ja altistumisista, jotka on johdettu Defender TI -artikkeleista, uhka-analytiikkaraporteista sekä Microsoft Defenderin haavoittuvuuksien hallinta ja Microsoft Defenderin ulkoinen hyökkäyspintojen hallinta.

Esimerkkikehotteet:

  • Jaa tekniikat, jotka ovat alttiita CVE-2021-44228-haavoittuvuudelle.
  • Tee yhteenveto CVE-2021-44228-haavoittuvuudesta.
  • Näytä uusimmat CVE:t.
  • Näytä CVE-2021-44228:aan liittyvät uhkanäyttelijät.
  • Näytä CVE-2021-44228:aan liittyvät uhka-artikkelit.

Uhkien hallintaan liittyvät ilmaisintiedot

Hanki yksityiskohtaisia tietoja ilmaisimesta (esimerkiksi IP-osoitteet, toimialueet ja tiedostojen hajautusarvot) Defender TI:ssä käytettävissä olevien lukuisten tietojoukkojen perusteella, mukaan lukien mainepisteet, WHOIS-tiedot, toimialueen nimijärjestelmä (DNS), isäntäparit ja varmenteet.

Esimerkkikehotteet:

  • Mitä voit kertoa toimialueen< nimestä>?
  • Näytä toimialueen nimeen<> liittyvät ilmaisimet.
  • Näytä kaikki toimialuenimen> tarkkuudet<.
  • Näytä toimialueen nimeen<> liittyvät isäntäparit.
  • Näytä isännän nimen maine<isännän nimi>.
  • Näytä ip-osoitteen IP-osoitteen<> kaikki ratkaisut.
  • Näytä avoimet palvelut <IP-osoitteessa>.

Anna palautetta

Palautteesi Defender TI -integroinnista Security Copilot auttaa kehittämisessä. Jos haluat antaa palautetta, valitse Copilotissa Miten tämä vastaus on? Valitse jokaisen valmiin kehotteen alareunassa jokin seuraavista vaihtoehdoista:

  • Näyttää oikealta – Valitse tämä painike, jos tulokset ovat oikein arviointisi perusteella.
  • Tarveparannus – Valitse tämä painike, jos jokin tulosten yksityiskohdista on arviointisi perusteella virheellinen tai epätäydellinen.
  • Epäasiallinen - Valitse tämä painike, jos tulokset sisältävät kyseenallisia, monitulkintaisia tai mahdollisesti vahingollisia tietoja.

Voit antaa lisätietoja kustakin palautepainikkeesta seuraavassa avautuvassa valintaikkunassa. Aina kun se on mahdollista ja kun tulos on Tarveparannus, kirjoita muutama sana, jossa kerrotaan, mitä voidaan tehdä tuloksen parantamiseksi. Jos olet antanut Defender TI:hin liittyviä kehotteita ja tulokset eivät liity toisiinsa, sisällytä nämä tiedot.

Security Copilotin yksityisyys ja tietosuoja

Kun käytät Security Copilot saadaksesi Defender TI -tietoja, Copilot hakee nämä tiedot Defender TI:ltä. Kehotteet, noudetut tiedot ja kehotteen tuloksissa näytetyt tulokset käsitellään ja tallennetaan Copilot-palveluun. Lue lisätietoja Microsoft Security Copilot tietosuojasta ja tietosuojasta

Tutustu myös seuraaviin ohjeartikkeleihin: