Delen via

Incidenten sorteren en onderzoeken met begeleide antwoorden van Microsoft Copilot in Microsoft Defender

  • Artikel
  • Van toepassing op:
    Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Security Copilot in de Microsoft Defender portal ondersteunt incidentresponsteams bij het onmiddellijk oplossen van incidenten met begeleide reacties. Copilot in Defender AI- en machine learning-mogelijkheden gebruiken om een incident te contextualiseren en te leren van eerdere onderzoeken om de juiste antwoordacties te genereren.

In deze handleiding wordt beschreven hoe je toegang krijgt tot de mogelijkheid voor begeleide antwoorden, inclusief informatie over het geven van feedback over de antwoorden.

Weet voordat u begint

Als u nog geen ervaring hebt met Security Copilot, moet u ermee vertrouwd raken door de volgende artikelen te lezen:

Het reageren op incidenten in de Microsoft Defender-portal vereist vaak kennis van de beschikbare acties van de portal om aanvallen te stoppen. Daarnaast kunnen nieuwe incident-responders verschillende ideeën hebben over waar en hoe ze op incidenten kunnen reageren. Met de begeleide responsmogelijkheid van Copilot in Defender kunnen teams voor incidentrespons op alle niveaus met vertrouwen en snel antwoordacties toepassen om incidenten eenvoudig op te lossen.

Security Copilot integratie in Microsoft Defender

Begeleide antwoorden zijn beschikbaar in de Microsoft Defender portal voor klanten die toegang hebben ingericht tot Security Copilot.

Begeleide antwoorden zijn ook beschikbaar in de Security Copilot zelfstandige ervaring via de Microsoft Defender XDR-invoegtoepassing. Meer informatie over vooraf geïnstalleerde invoegtoepassingen in Security Copilot.

Belangrijkste functies

Begeleide antwoorden bevelen acties aan in de volgende categorieën:

  • Triage: bevat een aanbeveling om incidenten te classificeren als informatief, waar-positief of fout-positief
  • Insluiting: heeft aanbevolen acties om een incident te bevatten
  • Onderzoek: bevat aanbevolen acties voor verder onderzoek
  • Herstel: bevat aanbevolen responsacties die van toepassing zijn op specifieke entiteiten die betrokken zijn bij een incident

Elke kaart bevat informatie over de aanbevolen actie, inclusief de entiteit waar de actie wordt toegepast en waarom de actie wordt aanbevolen. De kaarten benadrukken ook wanneer een aanbevolen actie is uitgevoerd door geautomatiseerd onderzoek, zoals aanvalsonderbreking of geautomatiseerde reactie op onderzoek.

De begeleide antwoordkaarten kunnen worden gesorteerd op basis van de beschikbare status voor elke kaart. Je kunt een specifieke status selecteren wanneer je de begeleide antwoorden bekijkt door op Status te klikken en de juiste status te selecteren die u wilt weergeven. Alle begeleide antwoordkaarten, ongeacht de status, worden standaard weergegeven.

Schermopname van de status van antwoorden in het copilot-deelvenster op de pagina Microsoft Defender incident.

Voer de volgende stappen uit om begeleide respons te gebruiken:

  1. Open een incidentpagina. Copilot genereert automatisch begeleide antwoorden bij het openen van een incidentpagina. Het Copilot-deelvenster wordt weergegeven aan de rechterkant van de incidentpagina, met de begeleide antwoordkaarten.

    Schermopname van het copilot-deelvenster met de begeleide antwoorden op de pagina Microsoft Defender incident.

  2. Controleer elke kaart voordat je de aanbevelingen toepast. Selecteer het beletselteken Meer acties (...) boven op een antwoordkaart om de beschikbare opties voor elke aanbeveling weer te geven. Dit zijn enkele voorbeelden.

    Schermopname van de opties die beschikbaar zijn voor gebruikers in een begeleide antwoordkaart in het copilot-zijpaneel.

    Schermopname van de opties die beschikbaar zijn voor gebruikers in een automation-antwoordkaart in het deelvenster Copilot in Microsoft Defender XDR.

  3. Als je een actie wilt toepassen, selecteer je de gewenste actie op elke kaart. De begeleide reactieactie op elke kaart is afgestemd op het type incident en de specifieke betrokken entiteit.

    Schermopname van de begeleide antwoordkaarten in het copilot-deelvenster in Microsoft Defender.

  4. Je kunt feedback geven op elke antwoordkaart om toekomstige reacties van Copilot continu te verbeteren. Als u feedback wilt geven, selecteert u het feedbackpictogram Schermopname van het feedbackpictogram voor Copilot in Defender-kaarten rechtsonder op elke kaart.

Opmerking

Grijs weergegeven actieknoppen betekenen dat deze acties worden beperkt door je machtiging. Raadpleeg de pagina RBAC-machtigingen (Unified Role-Based Access) voor meer informatie.

Copilot helpt de onderzoekstaken van analisten te versnellen. Wanneer een incident verder onderzoek naar een gebruikersactiviteit vereist, stelt Copilot tekst voor die analisten kunnen gebruiken om met een gebruiker te communiceren. De begeleide antwoordkaart bevat de actie Contact opnemen met de gebruiker in Teams of Kopiëren naar klembord waarmee de voorgestelde tekst naar het klembord wordt gekopieerd. Analisten kunnen de tekst vervolgens in een e-mail of een ander communicatieprogramma plakken. De analist kan ook meer context krijgen over de gebruiker via de actie Gebruiker weergeven .

Schermopname van de voorgestelde tekst voor communicatie in een begeleide antwoordkaart.

Copilot ondersteunt ook incidentresponsteams door analisten in staat te stellen meer context te krijgen over reactieacties met aanvullende inzichten. Voor herstelreacties kunnen incidentreactieteams aanvullende informatie bekijken met opties zoals Vergelijkbare incidenten weergeven of Vergelijkbare e-mailberichten weergeven.

De actie Vergelijkbare incidenten weergeven wordt beschikbaar wanneer er andere incidenten binnen de organisatie zijn die vergelijkbaar zijn met het huidige incident. Op het tabblad Vergelijkbare incidenten staan vergelijkbare incidenten die u kunt bekijken. Microsoft Defender identificeert automatisch vergelijkbare incidenten binnen de organisatie via machine learning. Incidentreactieteams kunnen de informatie van deze vergelijkbare incidenten gebruiken om incidenten te classificeren en de acties die in die vergelijkbare incidenten worden uitgevoerd verder te bekijken.

Met de actie Vergelijkbare e-mailberichten weergeven, die specifiek is voor phishing-incidenten, gaat u naar de geavanceerde opsporingspagina waar automatisch een KQL-query wordt gegenereerd om vergelijkbare e-mailberichten binnen de organisatie weer te geven. Deze automatische querygeneratie met betrekking tot een incident helpt incidentreactieteams om andere e-mailberichten te onderzoeken die mogelijk gerelateerd zijn aan het incident. U kunt de query controleren en zo nodig wijzigen.

Voorbeeld van begeleide antwoordenprompt

In de Security Copilot zelfstandige portal kunt u de volgende prompt gebruiken om begeleide antwoorden te genereren:

  • Genereer begeleide reacties en aanbevelingen voor Defender-incident {incident-id}.

Tip

Wanneer u begeleide antwoorden genereert in de Security Copilot portal, raadt Microsoft aan het woord Defender op te slaan in uw prompts om ervoor te zorgen dat de mogelijkheid voor begeleide antwoorden de resultaten levert.

Feedback geven

Microsoft raadt u ten zeerste aan om feedback te geven aan Copilot, omdat dit van cruciaal belang is voor de continue verbetering van de mogelijkheden. Als u feedback wilt geven, navigeert u naar de onderkant van het copilot-zijpaneel en selecteert u het feedbackpictogram Schermopname van het feedbackpictogram voor Copilot in Defender-kaarten.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.