Copilot-integratie beschrijven met Microsoft Defender XDR

  • 12 minuten

Microsoft Defender XDR kan worden geïntegreerd met Microsoft Security Copilot. Integratie met Security Copilot kan worden ervaren via de zelfstandige en ingesloten ervaringen.

De zelfstandige ervaring

Voor bedrijven die onboarding uitvoeren op Microsoft Security Copilot, wordt de integratie ingeschakeld via invoegtoepassingen die toegankelijk zijn via de Copilot-portal (de zelfstandige ervaring). Er zijn twee afzonderlijke invoegtoepassingen die ondersteuning bieden voor integratie met Microsoft Defender XDR:

  • Microsoft Defender XDR
  • Natuurlijke taal naar KQL voor Microsoft Defender XDR

Een schermopname van de Microsoft Defender XDR-invoegtoepassing en de natuurlijke taal voor KQL voor de Microsoft Defender XDR-invoegtoepassing, in Microsoft Security Copilot.

Microsoft Defender XDR-invoegtoepassing

De Microsoft Defender XDR-invoegtoepassing bevat mogelijkheden waarmee gebruikers het volgende kunnen doen:

  • Bestanden analyseren
  • Een incidentrapport genereren
  • Een begeleide reactie genereren
  • Incidenten en gerelateerde waarschuwingen vermelden
  • De beveiligingsstatus van het apparaat samenvatten
  • meer...

Microsoft Defender XDR-mogelijkheden in Copilot zijn ingebouwde prompts die u kunt gebruiken, maar u kunt ook uw eigen prompts invoeren op basis van de ondersteunde mogelijkheden.

Copilot bevat ook een ingebouwd promptbook voor microsoft Defender XDR-incidentonderzoek dat u kunt gebruiken om een rapport over een specifiek incident op te halen, met gerelateerde waarschuwingen, reputatiescores, gebruikers en apparaten.

Natuurlijke taal voor KQL voor Microsoft Defender-invoegtoepassing

De invoegtoepassing Natuurlijke taal naar KQL voor Microsoft Defender maakt queryassistentfunctionaliteit mogelijk waarmee elke vraag in natuurlijke taal in de context van opsporing van bedreigingen wordt geconverteerd naar een kant-en-klare Kusto-querytaal KQL-query (KQL). De queryassistent bespaart beveiligingsteams tijd door een KQL-query te genereren die vervolgens automatisch kan worden uitgevoerd of verder kan worden aangepast aan de behoeften van de analist.

De ingesloten ervaring

Als de invoegtoepassing is ingeschakeld, kan Copilot-integratie met Defender XDR ook worden ervaren via de ingesloten ervaring, ook wel Copilot genoemd in Microsoft Defender XDR.

Met Copilot in Microsoft Defender XDR kunnen beveiligingsteams snel en efficiënt incidenten onderzoeken en erop reageren via de Microsoft Defender XDR-portal. Copilot in Microsoft Defender XDR ondersteunt de volgende functies.

  • Incidenten samenvatten
  • Begeleide antwoorden
  • Scriptanalyse
  • Natuurlijke taal voor KQL-query's
  • Incidentrapporten
  • Bestanden analyseren
  • Samenvattingen van apparaten en identiteiten

Gebruikers kunnen ook naadloos draaien van de ingesloten ervaring naar de zelfstandige ervaring.

Incidenten samenvatten

Als u een incident onmiddellijk wilt begrijpen, kunt u Copilot in Microsoft Defender XDR gebruiken om een incident voor u samen te vatten. Copilot maakt een overzicht van de aanval die essentiële informatie bevat, zodat u begrijpt wat er is gebeurd in de aanval, welke assets betrokken zijn, de tijdlijn van de aanval en meer. Copilot maakt automatisch een samenvatting wanneer u naar de pagina van een incident navigeert. Incidenten met maximaal 100 waarschuwingen kunnen worden samengevat in één incidentoverzicht.

Schermopname van de ingesloten beveiligingservaring van Copilot in Microsoft Defender XDR, met een overzicht van incidenten.

Begeleide antwoorden

Copilot in Microsoft Defender XDR maakt gebruik van AI- en machine learning-mogelijkheden om een incident te contextualiseren en te leren van eerdere onderzoeken om passende reactieacties te genereren, die worden weergegeven als begeleide antwoorden. Met de begeleide reactiemogelijkheid van Copilot kunnen teams voor incidentrespons op alle niveaus met vertrouwen en snel reactieacties toepassen om incidenten eenvoudig op te lossen.

Begeleide antwoorden bevelen acties aan in de volgende categorieën:

  • Triage: bevat een aanbeveling om incidenten te classificeren als informatief, waar-positief of fout-positief
  • Insluiting: heeft aanbevolen acties om een incident te bevatten
  • Onderzoek: bevat aanbevolen acties voor verder onderzoek
  • Herstel: bevat aanbevolen responsacties die van toepassing zijn op specifieke entiteiten die betrokken zijn bij een incident

Elke kaart bevat informatie over de aanbevolen actie, waaronder waarom de actie wordt aanbevolen, vergelijkbare incidenten en meer. De actie Vergelijkbare incidenten weergeven wordt bijvoorbeeld beschikbaar wanneer er andere incidenten binnen de organisatie zijn die vergelijkbaar zijn met het huidige incident. Teams voor incidentrespons kunnen ook gebruikersgegevens bekijken voor herstelacties, zoals het opnieuw instellen van wachtwoorden.

Schermopname met de informatie die is opgenomen in een begeleide reactie.

Niet alle incidenten/waarschuwingen bieden begeleide antwoorden. Begeleide antwoorden zijn beschikbaar voor incidenttypen, zoals phishing, zakelijke e-mailinbreuk en ransomware.

Scripts en codes analyseren

De scriptanalysemogelijkheid van Copilot in Microsoft Defender XDR biedt beveiligingsteams toegevoegde capaciteit om scripts en code te inspecteren zonder externe hulpprogramma's te gebruiken. Deze mogelijkheid vermindert ook de complexiteit van analyse, minimaliseert uitdagingen en stelt beveiligingsteams in staat om snel een script te beoordelen en te identificeren als schadelijk of goedaardig.

Er zijn verschillende manieren waarop u toegang hebt tot de mogelijkheid voor scriptanalyse. In de volgende afbeelding ziet u de processtructuur voor een waarschuwing die de uitvoering van een PowerShell-script omvat. Als u de knop Analyseren selecteert, wordt de Copilot-scriptanalyse gegenereerd.

Schermopname met de optie voor het analyseren van een PowerShell-script.

KQL-query's genereren

Copilot in Microsoft Defender XDR wordt geleverd met een functie voor queryassistent bij geavanceerde opsporing.

Voor toegang tot de natuurlijke taal voor KQL-queryassistent selecteren gebruikers met toegang tot Copilot geavanceerde opsporing in het linkernavigatiedeelvenster van de Defender XDR-portal.

Copilot biedt aanwijzingen waarmee u kunt beginnen met het opsporen van bedreigingen met Copilot, of u kunt uw eigen vraag in natuurlijke taal schrijven, in de promptbalk, om een KQL-query te genereren. Bijvoorbeeld: Geef me alle apparaten die zich binnen de afgelopen 10 minuten hebben aangemeld. Copilot genereert vervolgens een KQL-query die overeenkomt met de aanvraag met behulp van het geavanceerde opsporingsgegevensschema.

De gebruiker kan er vervolgens voor kiezen om de query uit te voeren door Toevoegen en uitvoeren te selecteren. De gegenereerde query wordt vervolgens weergegeven als de laatste query in de query-editor. Als u verdere aanpassingen wilt aanbrengen, selecteert u Toevoegen aan editor.

Incidentrapporten maken

Een uitgebreid en duidelijk incidentrapport is een essentiële referentie voor beveiligingsteams en het beheer van beveiligingsactiviteiten. Het schrijven van een uitgebreid rapport met de belangrijke details kan echter een tijdrovende taak zijn voor beveiligingsteams, omdat het gaat om het verzamelen, organiseren en samenvatten van incidentinformatie uit meerdere bronnen. Beveiligingsteams kunnen nu direct een uitgebreid incidentrapport maken in de portal.

Hoewel een incidentoverzicht een overzicht biedt van een incident en hoe het is gebeurd, voegt een incidentrapport incidentgegevens samen uit verschillende gegevensbronnen die beschikbaar zijn in Microsoft Sentinel en Microsoft Defender XDR. Het incidentrapport bevat ook alle door analisten gestuurde stappen en geautomatiseerde acties, de analisten die betrokken zijn bij het antwoord, de opmerkingen van de analisten en meer.

Als u een incidentrapport wilt maken, selecteert de gebruiker Het rapport Incident genereren in de rechterbovenhoek van de incidentpagina of het pictogram in het copilot-deelvenster. Zodra het incidentrapport is gegenereerd, geeft het selecteren van het beletselteken in het incidentrapport de gebruiker de mogelijkheid om het rapport naar het klembord te kopiëren, een bericht te plaatsen in een activiteitenlogboek, het rapport opnieuw te genereren of ervoor te kiezen om het te openen in de zelfstandige Copilot-ervaring.

Bestanden analyseren

Geavanceerde aanvallen maken vaak gebruik van bestanden die legitieme of systeembestanden nabootsen om detectie te voorkomen. Met Copilot in Microsoft Defender XDR kunnen beveiligingsteams snel schadelijke en verdachte bestanden identificeren via door AI gemaakte mogelijkheden voor bestandsanalyse.

Er zijn veel manieren om toegang te krijgen tot de gedetailleerde profielpagina van een specifiek bestand. In dit voorbeeld navigeert u naar bestanden via de incidentgrafiek van een incident met betrokken bestanden. In de incidentgrafiek ziet u het volledige bereik van de aanval, hoe de aanval zich in de loop van de tijd door uw netwerk verspreidt, waar deze is begonnen en hoe ver de aanvaller is gegaan.

Als u bestanden selecteert in de incidentgrafiek, wordt de optie weergegeven om bestanden weer te geven. Als u weergavebestanden selecteert, wordt aan de rechterkant van het scherm met betrokken bestanden een deelvenster geopend. Als u een bestand selecteert, wordt een overzicht van de bestandsgegevens en de optie voor het analyseren van het bestand weergegeven. Als u Analyseren selecteert, wordt de Copilot-bestandsanalyse geopend.

Apparaten en identiteiten samenvatten

Met de apparaatsamenvattingsmogelijkheid van Copilot in Defender kunnen beveiligingsteams de beveiligingspostuur van een apparaat, kwetsbare software-informatie en ongebruikelijk gedrag krijgen. Beveiligingsanalisten kunnen het overzicht van een apparaat gebruiken om het onderzoek van incidenten en waarschuwingen te versnellen.

Er zijn veel manieren om toegang te krijgen tot een apparaatoverzicht. In dit voorbeeld gaat u naar het apparaatoverzicht via de pagina met incidentassets. Als u het tabblad Assets voor een incident selecteert, worden alle assets weergegeven. Selecteer Apparaten in het linkernavigatievenster en selecteer vervolgens een specifieke apparaatnaam. Op de overzichtspagina die aan de rechterkant wordt geopend, is de optie om Copilot te selecteren.

Copilot in Microsoft Defender XDR kan ook identiteiten samenvatten.

Overstappen op de zelfstandige ervaring

Als analist die Microsoft Defender XDR gebruikt, besteedt u waarschijnlijk een goede hoeveelheid tijd in Defender XDR, dus de ingesloten ervaring is een geweldige plek om een beveiligingsonderzoek te starten. Afhankelijk van wat u leert, kunt u bepalen of er een dieper onderzoek nodig is. In dit scenario kunt u eenvoudig overstappen op de zelfstandige ervaring om een gedetailleerder, productoverschrijdend onderzoek uit te voeren dat alle Copilot-mogelijkheden voor uw rol mogelijk maakt.

Voor inhoud die wordt gegenereerd via de ingesloten ervaring, kunt u eenvoudig overstappen naar de zelfstandige ervaring. Als u naar de zelfstandige ervaring wilt gaan, selecteert u het beletselteken in het venster gegenereerde inhoud en kiest u Openen in Security Copilot.

Schermopname met de optie voor openen in Security Copilot, die beschikbaar is door het beletselteken te selecteren in het door AI gegenereerde inhoudsvenster.