Del via

Sortere og undersøke hendelser med veiledede svar fra Microsoft Copilot i Microsoft Defender

  • Artikkel
  • Gjelder for:
    Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Security Copilot i Microsoft Defender-portalen støtter hendelsesresponsteam i umiddelbart å løse hendelser med veiledede svar. Copilot i Defender bruker kunstig intelligens og maskinlæringsfunksjoner til å kontekstualisere en hendelse og lære fra tidligere undersøkelser for å generere passende responshandlinger.

Denne veiledningen beskriver hvordan du får tilgang til den veiledede responsfunksjonen, inkludert informasjon om hvordan du gir tilbakemelding om svarene.

Vit om før du begynner

Hvis du ikke har brukt Security Copilot før, bør du gjøre deg kjent med den ved å lese følgende artikler:

Å svare på hendelser i Microsoft Defender-portalen krever ofte kjennskap til portalens tilgjengelige handlinger for å stoppe angrep. I tillegg kan nye hendelsesrespondere ha ulike ideer om hvor og hvordan de skal begynne å svare på hendelser. Den veiledede responsevnen til Copilot i Defender gjør det mulig for hendelsesresponsteam på alle nivåer å bruke responshandlinger trygt og raskt for å løse hendelser på en enkel måte.

Security Copilot integrering i Microsoft Defender

Veiledede svar er tilgjengelige i Microsoft Defender-portalen for kunder som har klargjort tilgang til Security Copilot.

Veiledede svar er også tilgjengelige i Security Copilot frittstående opplevelse gjennom plugin-modulen Microsoft Defender XDR. Finn ut mer om forhåndsinstallerte programtillegg i Security Copilot.

Nøkkelfunksjoner

Veiledede svar anbefaler handlinger i følgende kategorier:

  • Sortering – inkluderer en anbefaling om å klassifisere hendelser som informativ, sann positiv eller falsk positiv
  • Containment – omfatter anbefalte tiltak for å inneholde en hendelse
  • Undersøkelse – inkluderer anbefalte handlinger for videre undersøkelser
  • Utbedring – inkluderer anbefalte svarhandlinger som skal brukes på bestemte enheter som er involvert i en hendelse

Hvert kort inneholder informasjon om den anbefalte handlingen, inkludert enheten der handlingen må brukes, og hvorfor handlingen anbefales. Kortene understreker også når en anbefalt handling ble gjort av automatisert undersøkelse som angrepsavbrudd eller automatisert undersøkelsesrespons.

De veiledede svarkortene kan sorteres basert på den tilgjengelige statusen for hvert kort. Du kan velge en bestemt status når du viser de veiledede svarene ved å klikke på Status og velge den riktige statusen du vil vise. Alle veiledede svarkort uavhengig av status vises som standard.

Skjermbilde som viser statusen for svar i Copilot-ruten på Microsoft Defender hendelsessiden.

Hvis du vil bruke veiledede svar, utfører du følgende trinn:

  1. Åpne en hendelsesside. Copilot genererer automatisk veiledede svar ved åpning av en hendelsesside. Copilot-ruten vises på høyre side av hendelsessiden, og viser de veiledede svarkortene.

    Skjermbilde som viser Copilot-ruten med veiledede svar på Microsoft Defender hendelsessiden.

  2. Se gjennom hvert kort før du bruker anbefalingene. Velg Flere handlinger-ellipsen (...) oppå et svarkort for å vise alternativene som er tilgjengelige for hver anbefaling. Her er noen eksempler.

    Skjermbilde som viser alternativene som er tilgjengelige for brukere i et veiledet svarkort i Copilot-sidepanelet.

    Skjermbilde som viser alternativene som er tilgjengelige for brukere i et automatiseringssvarkort i Copilot-ruten i Microsoft Defender XDR.

  3. Hvis du vil bruke en handling, velger du ønsket handling på hvert kort. Den veiledede responshandlingen på hvert kort er skreddersydd for hendelsestypen og den bestemte enheten som er involvert.

    Skjermbilde som viser de veiledede svarkortene i Copilot-ruten i Microsoft Defender.

  4. Du kan gi tilbakemelding til hvert svarkort for å kontinuerlig forbedre fremtidige svar fra Copilot. Hvis du vil gi tilbakemelding, velger du tilbakemeldingsikonet Skjermbilde som viser tilbakemeldingsikonet for Copilot i Defender-kort som finnes nederst til høyre på hvert kort.

Obs!

Nedtonede handlingsknapper betyr at disse handlingene er begrenset av din tillatelse. Se tillatelsessiden for enhetlig rollebasert tilgang (RBAC) for mer informasjon.

Copilot bidrar til å fremskynde analytikernes undersøkelsesoppgaver. Når en hendelse krever videre undersøkelse av en brukeraktivitet, foreslår Copilot tekst som analytikere kan bruke til å kommunisere med en bruker. Det veiledede svarkortet inkluderer en kontaktbruker i Teams eller Kopier til utklippstavlen som kopierer den foreslåtte teksten til utklippstavlen. Analytikere kan deretter lime inn teksten i en e-postmelding eller et annet kommunikasjonsverktøy. Analytikeren kan også få mer kontekst om brukeren gjennom vis brukerhandlingen .

Skjermbilde som viser den foreslåtte teksten for kommunikasjon i et veiledet svarkort.

Copilot støtter også hendelsesresponsteam ved å gjøre det mulig for analytikere å få mer kontekst om responshandlinger med ytterligere innsikt. For utbedringssvar kan hendelsesresponsteam vise tilleggsinformasjon med alternativer som Vis lignende hendelser eller Vis lignende e-postmeldinger.

Handlingen Vis lignende hendelser blir tilgjengelig når det er andre hendelser i organisasjonen som ligner på den aktuelle hendelsen. Fanen Lignende hendelser viser lignende hendelser som du kan se gjennom. Microsoft Defender identifiserer automatisk lignende hendelser i organisasjonen gjennom maskinlæring. Hendelsesresponsteam kan bruke informasjonen fra disse lignende hendelsene til å klassifisere hendelser og ytterligere gjennomgå handlingene som er gjort i lignende hendelser.

Handlingen Vis lignende e-postmeldinger, som er spesifikk for phishing-hendelser, tar deg til den avanserte jaktsiden, der en KQL-spørring for å vise lignende e-postmeldinger i organisasjonen genereres automatisk. Denne automatiske spørringsgenereringen relatert til en hendelse hjelper hendelsesresponsteam med å undersøke andre e-postmeldinger som kan være relatert til hendelsen. Du kan se gjennom spørringen og endre den etter behov.

Eksempel på ledetekst for svar

I den Security Copilot frittstående portalen kan du bruke følgende ledetekst til å generere veiledede svar:

  • Generer veiledede svar og anbefalinger for Defender-hendelsen {incident ID}.

Tips

Når du genererer veiledede svar i Security Copilot-portalen, anbefaler Microsoft å inkludere ordet Defender i instruksjonene for å sikre at funksjonen for veiledede svar leverer resultatene.

Gi tilbakemelding

Microsoft oppfordrer deg sterkt til å gi tilbakemelding til Copilot, da det er avgjørende for en funksjons kontinuerlig forbedring. Hvis du vil gi tilbakemelding, går du til bunnen av Copilot-sidepanelet og velger tilbakemeldingsikonet Skjermbilde av tilbakemeldingsikonet for Copilot i Defender-kort.

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.