Del via

Oppsummer en hendelse med Microsoft Copilot i Microsoft Defender

  • Artikkel
  • Gjelder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR bruker egenskapene til Security Copilot til å oppsummere hendelser, levere virkningsfull informasjon og innsikt for å forenkle undersøkelsesoppgaver. Angrepsetterforskning er et avgjørende skritt for hendelsesresponsteam for å kunne forsvare en organisasjon mot ytterligere skade fra en cybertrussel. Undersøkelser kan ofte være tidkrevende ettersom det omfatter en rekke trinn. Hendelsesresponsteam må forstå hvordan angrepet skjedde: sorter gjennom en rekke varsler, identifiser hvilke ressurser og enheter som er involvert, og vurder omfanget og virkningen av et angrep.

Denne veiledningen beskriver hva du kan forvente og hvordan du får tilgang til oppsummeringsfunksjonen til Copilot i Defender, inkludert informasjon om hvordan du gir tilbakemelding.

Vit om før du begynner

Hvis du ikke har brukt Security Copilot før, bør du gjøre deg kjent med den ved å lese følgende artikler:

Hendelsesrespondere kan enkelt få riktig kontekst for å undersøke og utbedre hendelser gjennom Defender XDR korrelasjonsfunksjoner og Security Copilot ai-drevne databehandling og kontekstualisering. Med et hendelsessammendrag kan respondenter raskt få viktig informasjon for å hjelpe til i etterforskningen.

Security Copilot integrering i Microsoft Defender

Funksjonen for hendelsessammendrag er tilgjengelig i Microsoft Defender-portalen for kunder som har klargjort tilgang til Security Copilot.

Denne funksjonen er også tilgjengelig i Security Copilot frittstående opplevelse gjennom plugin-modulen for Microsoft Defender XDR. Finn ut mer om forhåndsinstallerte programtillegg i Security Copilot.

Nøkkelfunksjoner

Hendelser som inneholder opptil 100 varsler kan oppsummeres i ett hendelsessammendrag. Et hendelsessammendrag, avhengig av dataenes tilgjengelighet, omfatter følgende:

  • Tidspunktet og datoen et angrep startet.
  • Enheten eller aktivumet der angrepet startet.
  • Et sammendrag av tidslinjer for hvordan angrepet utfoldet seg.
  • Eiendelene som var involvert i angrepet.
  • Indikatorer for kompromiss (IoC-er).
  • Navn på trusselaktører som er involvert.

Hvis du vil oppsummere en hendelse, utfører du følgende trinn:

  1. Åpne en hendelsesside. Copilot oppretter automatisk et hendelsessammendrag når du åpner siden. Du kan stoppe opprettingen av sammendraget ved å velge Avbryt eller start oppretting på nytt ved å velge Generer på nytt.

  2. Kortet for hendelsessammendrag lastes inn i Copilot-ruten. Se gjennom det genererte sammendraget på kortet.

    Skjermbilde som viser sammendragskortet for hendelsen i Copilot-ruten, som vist på Microsoft Defender hendelsessiden.

    Tips

    Du kan navigere til en fil-, IP- eller nettadresseside fra Copilot-resultatruten ved å klikke på bevisene i resultatene.

  3. Velg Flere handlinger-ellipsen (...) øverst på sammendragskortet for hendelsen for å kopiere eller generere sammendraget på nytt, eller vis sammendraget i Security Copilot-portalen. Hvis du velger Åpne i Sikkerhet Copilot åpnes en ny fane i den frittstående Sikkerhet Copilot-portalen, der du kan angi ledetekster og få tilgang til andre programtillegg.

    Skjermbilde som viser handlingene som er tilgjengelige på sammendragskortet for hendelsen.

  4. Se gjennom sammendraget, og bruk informasjonen til å veilede etterforskningen og responsen på hendelsen.

Eksempel på ledetekst for hendelsessammendrag

I den Security Copilot frittstående portalen kan du bruke følgende ledetekst til å generere hendelsessammendrag:

  • Gi et sammendrag for Defender-hendelsen {incident ID}.

Tips

Når du genererer et hendelsessammendrag i Security Copilot-portalen, anbefaler Microsoft å inkludere ordet Defender i instruksjonene for å sikre at hendelsens sammendragsfunksjonalitet leverer resultatene.

Gi tilbakemelding

Microsoft oppfordrer deg sterkt til å gi tilbakemelding til Copilot, da det er avgjørende for en funksjons kontinuerlig forbedring. Du kan gi tilbakemelding på sammendraget ved å velge tilbakemeldingsikonet Skjermbilde av tilbakemeldingsikonet for Copilot i Defender-kort nederst i Copilot-ruten.

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.