Del via

Microsoft Security Copilot i Microsoft Defender trusselinformasjon

  • Artikkel

Microsoft Security Copilot er en skybasert AI-plattform som gir copilot-opplevelse på naturlig språk. Det kan hjelpe sikkerheteksperter i ulike scenarier, som svar på hendelser, trusseljakt og innsamling av informasjon. Hvis du vil ha mer informasjon om hva den kan gjøre, kan du lese Hva er Microsoft Security Copilot?.

Security Copilot kunder får for hver av sine godkjente Copilot-brukere tilgang til Microsoft Defender trusselinformasjon (Defender TI). Hvis du vil sikre at du har tilgang til Copilot, kan du se Security Copilot kjøps- og lisensieringsinformasjon.

Når du har tilgang til Security Copilot, blir de viktigste funksjonene som beskrives i denne artikkelen, tilgjengelige i enten Security Copilot-portalen eller Microsoft Defender-portalen.

Vit om før du begynner

Hvis du ikke har brukt Security Copilot før, bør du gjøre deg kjent med det ved å lese disse artiklene:

Security Copilot-integrering i Defender TI

Security Copilot leverer informasjon om trusselaktører, indikatorer for kompromiss (IOCer), verktøy og sårbarheter, samt kontekstuell trusselintelligens fra Defender TI. Du kan bruke ledetekstene og spørsmålsbøkene til å undersøke hendelser, berike jaktflyter med trusselinformasjon eller få mer kunnskap om organisasjonens eller det globale trussellandskapet.

  • Vær tydelig og spesifikk med ledetekstene. Du kan få bedre resultater hvis du inkluderer spesifikke navn på trusselaktører eller IOC-er i ledetekstene. Det kan også hjelpe hvis du legger til trusselinformasjon i ledeteksten, for eksempel:

    • Vis meg trusselinformasjonsdata for Aqua Blizzard.
    • Oppsummer trusselinformasjonsdata for «malicious.com».

  • Vær spesifikk når du refererer til en hendelse (for eksempel «hendelses-ID 15324»).

  • Eksperimenter med ulike ledetekster og variasjoner for å se hva som fungerer best for ditt brukstilfelle. Chat KI-modeller varierer, så repeter og finjuster ledetekstene basert på resultatene du får.

  • Copilot lagrer ledetekstøktene dine. Hvis du vil se de forrige øktene, går du til Mine økterHjem-menyen Security Copilot.

    Skjermbilde som viser Microsoft Security Copilot Hjem-menyen med Mine økter uthevet.

    Obs!

    Hvis du vil ha en gjennomgang av Copilot, inkludert pin- og delingsfunksjonen, kan du lese Navigate Microsoft Security Copilot.

Mer informasjon om hvordan du oppretter effektive ledetekster

Nøkkelfunksjoner

Security Copilot lar sikkerhetsteamene forstå, prioritere og iverksette tiltak mot informasjon om trusselintelligens umiddelbart.

Du kan spørre om en trusselaktør, angrepskampanje eller annen trusselinformasjon som du vil vite mer om, så genererer Copilot svar basert på rapporter for trusselanalyse, intel-profiler og -artikler og annet Defender TI-innhold.

Du kan også velge hvilke som helst av de innebygde ledetekstene som er tilgjengelige i Defender-portalen for å gjøre følgende handlinger:

  • Oppsummer de nyeste truslene knyttet til organisasjonen
  • Prioriter hvilke trusler du skal fokusere på basert på miljøets høyeste eksponeringsnivå for disse truslene
  • Spør om trusselaktørene rettet mot kommunikasjonsinfrastrukturindustrien

Mer informasjon om bruk av Copilot i Defender for trusselinformasjon

Slå på Security Copilot integrering i Defender TI

  1. Gå til Microsoft Security Copilot, og logg på med legitimasjonen din.

  2. Kontroller at plugin-modulen for Microsoft Trusselintelligens er slått på. Velg Kilder-ikonet Skjermbilde av Kilder-ikonet i spørsmålsfeltet.

    Skjermbilde av ledetekstlinjen i Microsoft Security Copilot med Kilde-ikonet uthevet.

    I popup-vinduet Behandle kilder som vises, bekrefter du at veksleknappen for Microsoft Trusselintelligens er slått på under Plugin-moduler, og deretter lukker du vinduet.

    Skjermbilde av popup-vinduet Administrer plugin-moduler med Plugin-modulen Microsoft Threat Intelligence uthevet.

    Obs!

    Noen roller kan slå veksleknappen på eller av for plugin-moduler som Microsoft Threat Intelligence. Hvis du vil ha mer informasjon, kan du lese Behandle programtillegg i Microsoft Security Copilot.

  3. Skriv inn ledeteksten i spørsmålsfeltet.

Innebygde systemfunksjoner

Security Copilot har innebygde systemfunksjoner som kan hente data fra de ulike programtilleggene som er aktivert.

Slik viser du listen over innebygde systemfunksjoner for Defender TI:

  1. Velg Ledetekster-ikonet Skjermbilde av Ledetekst-ikonet i spørsmålsfeltet.

    Skjermbilde av ledetekstlinjen i Microsoft Security Copilot med Spørsmål-ikonet uthevet.

  2. Velg Se alle systemfunksjoner. Delen Microsoft Trusselintelligens viser alle tilgjengelige funksjoner for Defender TI som du kan bruke.

Copilot har også følgende spørsmålsbøker som også leverer informasjon fra Defender TI:

  • Kontroller virkningen av en ekstern trusselartikkel – Analyserer en ekstern artikkel eller tredjepart (det vil si ikke publisert i Defender TI) for å trekke ut relaterte IOCer, oppsummere intelligensen og generere jaktspørringer, slik at du kan vurdere den potensielle virkningen av trusselen som rapporteres i artikkelen til organisasjonen.
  • Trusselskuespillerprofil – Genererer en rapport som profilerer en kjent trusselaktør, inkludert forslag til å forsvare seg mot deres felles verktøy og taktikk.
  • Trusselintelligens 360-rapport basert på MDTI-artikkel – Analyserer en Defender TI-artikkel for å trekke ut relaterte IOCer, oppsummere intelligensen og generere jaktspørringer, slik at du kan vurdere den potensielle virkningen av trusselen som rapporteres i artikkelen til organisasjonen.
  • Konsekvensutredning av sikkerhetsproblemer – Genererer en rapport som oppsummerer intelligensen for et kjent sikkerhetsproblem, inkludert trinn for hvordan du løser det.

Hvis du vil vise disse spørsmålsbøkene, velger du Ledetekster-ikonet i spørsmålsfeltet, og velger deretter Se alle spørsmålsbøker.

Eksempel på Spørsmål om Defender TI

Du kan bruke mange ledetekster for å få informasjon fra Defender TI. Denne delen viser noen ideer og eksempler.

Få trusselinformasjon fra trusselartikler og trusselaktører.

Eksempelledetekster :

  • Oppsummer den nylige trusselinformasjonen.
  • Vis meg de siste trusselartiklene.
  • Få trusselartikler knyttet til løsepengevirus de siste seks månedene.

Trusselaktørkartlegging og infrastruktur

Få informasjon om trusselaktører og taktikker, teknikker og prosedyrer (TTP-er), sponsede stater, bransjer og IOC-er som er knyttet til dem.

Eksempelledetekster:

  • Fortell meg mer om Silk Typhoon.
  • Del IOC-ene som er knyttet til Silk Typhoon.
  • Del TTP-ene som er knyttet til Silk Typhoon.
  • Del trusselaktører som er knyttet til Russland.

Sårbarhetsdata etter CVE

Få kontekstuell informasjon og trusselintelligens om vanlige sårbarheter og eksponeringer (CVE-er), som er avledet fra Defender TI-artikler, rapporter om trusselanalyse og data fra Microsoft Defender Vulnerability Management og Microsoft Defender-administrasjon for ekstern angrepsoverflate.

Eksempelledetekster:

  • Del teknologiene som er utsatt for sikkerhetsproblemet CVE-2021-44228.
  • Oppsummer sikkerhetsproblemet CVE-2021-44228.
  • Vis meg de nyeste CVE-ene.
  • Vis meg trusselaktører som er knyttet til CVE-2021-44228.
  • Vis meg trusselartiklene som er knyttet til CVE-2021-44228.

Indikatordata i forhold til trusselintelligens

Få detaljert informasjon om en indikator (for eksempel IP-adresser, domener og fil-hash-koder) basert på de mange datasettene som er tilgjengelige i Defender TI, inkludert omdømmeresultater, WHOIS-informasjon, domenenavnsystem (DNS), vertspar og sertifikater.

Eksempelledetekster:

  • Hva kan du fortelle meg om domenedomenenavnet<>?
  • Vis meg indikatorer relatert til <domenenavn>.
  • Vis meg alle løsninger for <domenenavn>.
  • Vis meg vertspar relatert til <domenenavn>.
  • Vis meg omdømmet til verten <vertsnavn>.
  • Vis meg alle løsninger for IP-adresse-IP-adresse<>.
  • Vis meg de åpne tjenestene i <IP-adressen>.

Gi tilbakemelding

Tilbakemeldingen din om Defender TI-integrering i Security Copilot hjelper deg med utviklingen. For å gi tilbakemelding, i Copilot, velger du Hvordan er dette svaret? Velg ett av følgende alternativer nederst i hver fullførte ledetekst:

  • Ser riktig ut – Velg denne knappen hvis resultatene er nøyaktige, basert på vurderingen din.
  • Trenger forbedring – Velg denne knappen hvis noen av detaljer i resultatene er feil eller ufullstendige, basert på vurderingen din.
  • Upassende – Velg denne knappen hvis resultatene inneholder tvilsom, tvetydig eller potensielt skadelig informasjon.

For hver tilbakemeldingsknapp kan du gi mer informasjon i den neste dialogboksen som vises. Når det er mulig, og når resultatet er Trenger forbedring, skriver du noen ord som forklarer hva som kan gjøres for å forbedre resultatet. Hvis du har angitt ledetekster som er spesifikke for Defender TI, og resultatene ikke er relatert, må du inkludere denne informasjonen.

Personvern og datasikkerhet i Sikkerhet Copilot

Når du samhandler med Security Copilot for å hente Defender TI-data, henter Copilot disse dataene fra Defender TI. Ledetekstene, dataene som hentes og utdataene som vises i ledetekstresultatene, behandles og lagres i Copilot-tjenesten. Mer informasjon om personvern og datasikkerhet i Microsoft Security Copilot

Se også