Delen via

Microsoft Security Copilot in Microsoft Defender-bedreigingsinformatie

  • Artikel

Belangrijk

Op 30 juni 2024 is de zelfstandige portalhttps://ti.defender.microsoft.com Microsoft Defender-bedreigingsinformatie (Defender TI) buiten gebruik gesteld en is deze niet meer toegankelijk. Klanten kunnen Defender TI blijven gebruiken in de Microsoft Defender portal of met Microsoft Security Copilot. Meer informatie

Microsoft Security Copilot is een op de cloud gebaseerd AI-platform dat copilot-ervaring in natuurlijke taal biedt. Het kan helpen beveiligingsprofessionals te ondersteunen in verschillende scenario's, zoals incidentrespons, opsporing van bedreigingen en het verzamelen van informatie. Lees Wat is Microsoft Security Copilot? voor meer informatie over wat het kan doen.

Security Copilot klanten krijgen voor elk van hun geverifieerde Copilot-gebruikers toegang tot Microsoft Defender-bedreigingsinformatie (Defender TI). Zie de Security Copilot aankoop- en licentiegegevens om ervoor te zorgen dat u toegang hebt tot Copilot.

Zodra u toegang hebt tot Security Copilot, worden de belangrijkste functies die in dit artikel worden besproken, toegankelijk in de Security Copilot portal of de Microsoft Defender portal.

Weet voordat u begint

Als u niet bekend bent met Security Copilot, moet u ermee vertrouwd raken door deze artikelen te lezen:

Security Copilot integratie in Defender TI

Security Copilot biedt informatie over bedreigingsactoren, indicatoren van inbreuk (IOC's), hulpprogramma's en beveiligingsproblemen, evenals contextuele bedreigingsinformatie van Defender TI. Je kunt de prompts en promptbooks gebruiken om incidenten te onderzoeken, je opsporingsstromen te verrijken met bedreigingsinformatie of om meer kennis op te doen over het wereldwijde bedreigingslandschap van je organisatie of de wereldwijde bedreigingssituatie.

  • Wees duidelijk en specifiek met uw aanwijzingen. Je krijgt mogelijk betere resultaten als je specifieke namen van bedreigingsactors of IOC's in je prompts opneemt. Het kan ook helpen als je bedreigingsinformatie toevoegt aan je prompt, zoals:

    • Kun je me gegevens laten zien over bedreigingsinformatie voor Aqua Blizzard.
    • Maak een overzicht van de bedreigingsinformatie voor 'malicious.com'.

  • Wees specifiek bij het verwijzen naar een incident (bijvoorbeeld 'incident-id 15324').

  • Experimenteer met verschillende prompts en variaties om te zien wat het beste werkt voor uw use-case. Ai-modellen voor chat variëren, dus herhalen en verfijnen van uw prompts op basis van de resultaten die u ontvangt.

  • Copilot slaat uw promptsessies op. Als u de vorige sessies wilt zien, gaat u in het menu Start van Security Copilot naar Mijn sessies.

    Schermopname van het Microsoft Security Copilot Startmenu met Mijn sessies gemarkeerd.

    Opmerking

    Lees Navigeren Microsoft Security Copilot voor een overzicht van Copilot, inclusief de functie vastmaken en delen.

Meer informatie over het maken van effectieve prompts

Belangrijkste functies

Security Copilot stelt beveiligingsteams in staat om informatie over bedreigingsinformatie onmiddellijk te begrijpen, prioriteit te geven en actie te ondernemen.

Je kunt vragen stellen over een bedreigingsactor, aanvalscampagne of andere bedreigingsinformatie waarover je meer wilt weten. Copilot genereert antwoorden op basis van rapporten voor bedreigingsanalyse, intelprofielen en artikelen, en andere Defender TI-inhoud.

U kunt ook een van de ingebouwde prompts selecteren die beschikbaar zijn in de Defender-portal om de volgende acties uit te voeren:

  • Vraag een overzicht van de meest recente bedreigingen met betrekking tot je organisatie
  • Geef prioriteit aan bepaalde bedreigingen op basis van het hoogste blootstellingsniveau van je omgeving aan deze bedreigingen
  • Vraag naar de bedreigingsactoren die gericht zijn op de communicatie-infrastructuursector

Meer informatie over het gebruik van Copilot in Defender voor bedreigingsinformatie

De integratie van Security Copilot inschakelen in Defender TI

  1. Ga naar Microsoft Copilot voor beveiliging en meld u aan met uw referenties.

  2. Zorg ervoor dat de Microsoft Threat Intelligence-invoegtoepassing is ingeschakeld. Selecteer in de promptbalk het pictogram BronnenSchermopname van het pictogram Bronnen..

    Schermopname van de promptbalk in Microsoft Security Copilot met het pictogram Bronnen gemarkeerd.

    Controleer in het pop-upvenster Bronnen beheren onder Invoegtoepassingen of de wisselknop Microsoft Threat Intelligence is ingeschakeld en sluit het venster.

    Schermopname van het pop-upvenster Invoegtoepassingen beheren met de invoegtoepassing Microsoft Threat Intelligence gemarkeerd.

    Opmerking

    Sommige rollen kunnen de wisselknop in- of uitschakelen voor invoegtoepassingen zoals Microsoft Threat Intelligence. Lees Invoegtoepassingen beheren in Microsoft Security Copilot voor meer informatie.

  3. Voer je prompt in de promptbalk in.

Ingebouwde systeemfuncties

Security Copilot heeft ingebouwde systeemfuncties waarmee gegevens kunnen worden opgehaald uit de verschillende invoegtoepassingen die zijn ingeschakeld.

Voer de volgende stappen uit om de lijst met ingebouwde systeemmogelijkheden voor Defender TI weer te geven:

  1. Selecteer in de promptbalk het pictogram PromptsSchermopname van het pictogram Prompts.

    Schermopname van de promptbalk in Microsoft Security Copilot met het pictogram Prompts gemarkeerd.

  2. Selecteer Alle systeemmogelijkheden weergeven. In de sectie Microsoft Threat Intelligence vindt u alle beschikbare mogelijkheden voor Defender TI die u kunt gebruiken.

Copilot heeft ook de volgende promptbooks die ook informatie van Defender TI leveren:

  • De impact van een artikel over externe bedreigingen controleren : analyseert een artikel van een externe of externe partij (dat wil gezegd, niet gepubliceerd in Defender TI) om gerelateerde IOC's te extraheren, de intelligentie samen te vatten en opsporingsquery's te genereren, zodat u de mogelijke impact kunt beoordelen van de bedreiging die in het artikel aan uw organisatie wordt gerapporteerd.
  • Profiel van bedreigingsacteur : genereert een rapport dat een bekende bedreigingsacteur profileert, inclusief suggesties om zich te verdedigen tegen hun algemene hulpprogramma's en tactieken.
  • Bedreigingsinformatie 360-rapport op basis van MDTI-artikel : analyseert een Defender TI-artikel om gerelateerde IOC's te extraheren, de intelligentie samen te vatten en opsporingsquery's te genereren, zodat u de mogelijke impact kunt beoordelen van de bedreiging die in het artikel aan uw organisatie wordt gerapporteerd.
  • Evaluatie van de impact op beveiligingsproblemen : hiermee wordt een rapport gegenereerd met een samenvatting van de intelligentie voor een bekend beveiligingsprobleem, inclusief stappen voor het oplossen ervan.

Als je deze promptbooks wilt weergeven, selecteer je in de promptbalk het pictogram Prompts en vervolgens Alle promptbooks weergeven.

Voorbeeld van Defender TI-prompts

Je kunt veel prompts gebruiken om informatie op te halen uit Defender TI. In deze sectie vindt u enkele ideeën en voorbeelden.

Haal bedreigingsinformatie op uit bedreigingsartikelen en bedreigingsactoren.

Voorbeeldprompts:

  • Geef een overzicht van de recente bedreigingsinformatie.
  • Laat me de meest recente bedreigingsartikelen zien.
  • Haal bedreigingsartikelen op met betrekking tot ransomware in de afgelopen zes maanden.

Bedreigingsactors en infrastructuur in kaart brengen

Krijg informatie over bedreigingsactors en de tactieken, technieken en procedures (TTP's), gesponsorde staten, branches en IOC's die eraan zijn gekoppeld.

Voorbeeldprompts:

  • Vertel me meer over Silk Typhoon.
  • Deel de IOC's die zijn gekoppeld aan Silk Typhoon.
  • Deel de TTP's die zijn gekoppeld aan Silk Typhoon.
  • Deel bedreigingsactors die zijn gekoppeld aan Rusland.

Gegevens over beveiligingsproblemen per CVE

Contextuele informatie en bedreigingsinformatie ophalen over veelvoorkomende beveiligingsproblemen en blootstellingen (CVE's), die zijn afgeleid van Defender TI-artikelen, bedreigingsanalyserapporten en gegevens van Microsoft Defender Vulnerability Management en Microsoft Defender Extern beheer bij kwetsbaarheid voor aanvallen.

Voorbeeldprompts:

  • Deel de technologieën die gevoelig zijn voor het beveiligingsprobleem CVE-2021-44228.
  • Geef een overzicht van het beveiligingsprobleem CVE-2021-44228.
  • Toon me de meest recente CVE's.
  • Toon me bedreigingsactoren die zijn gekoppeld aan CVE-2021-44228.
  • Toon me de bedreigingsartikelen die zijn gekoppeld aan CVE-2021-44228.

Indicatorgegevens met betrekking tot bedreigingsinformatie

Krijg gedetailleerde informatie over een indicator (bijvoorbeeld IP-adressen, domeinen en bestands-hashes) op basis van de vele gegevenssets die beschikbaar zijn in Defender TI, waaronder reputatiescores, WHOIS-informatie, domeinnaamsysteem (DNS), hostparen en certificaten.

Voorbeeldprompts:

  • Wat kunt u me vertellen over de domeinnaam<>?
  • Indicatoren weergeven met betrekking tot <domeinnaam>.
  • Toon me alle oplossingen voor <domeinnaam>.
  • Laat mij hostparen zien die betrekking hebben op <domeinnaam>.
  • Toon de reputatie van de host hostnaam<>.
  • Alle oplossingen voor IP-adres IP-adres< weergeven>.
  • De geopende services in <ip-adres weergeven>.

Feedback geven

Uw feedback over de Defender TI-integratie in Security Copilot helpt bij de ontwikkeling. Als u feedback wilt geven, selecteert u in Copilot Hoe is dit antwoord? Kies onder aan elke voltooide prompt een van de volgende opties:

  • Ziet er goed uit: selecteer deze knop als de resultaten nauwkeurig zijn, op basis van jouw evaluatie.
  • Heeft verbetering nodig: selecteer deze knop als een detail in de resultaten onjuist of onvolledig is op basis van jouw evaluatie.
  • Ongepast:: selecteer deze knop als de resultaten twijfelachtige, dubbelzinnige of mogelijk schadelijke informatie bevatten.

Elke feedbackknop heeft een dialoogvenster waarin je meer informatie kunt opgeven. Schrijf, indien mogelijk en wanneer het resultaat Heeft verbetering nodig is, een paar woorden waarin wordt uitgelegd wat er kan worden gedaan om het resultaat te verbeteren. Als je Defender TI-specifieke prompts hebt ingevoerd en de resultaten zijn niet gerelateerd aan Defender TI, neem je die informatie op.

Privacy en gegevensbeveiliging in Copilot voor beveiliging

Wanneer u met Security Copilot werkt om Defender TI-gegevens op te halen, haalt Copilot die gegevens op uit Defender TI. De prompts, de opgehaalde gegevens en de uitvoer in de promptresultaten worden verwerkt en opgeslagen in de service Copilot voor Beveiliging. Meer informatie over privacy en gegevensbeveiliging in Microsoft Security Copilot

Zie ook