Copilot beschrijven in Microsoft Defender XDR

  • 9 minuten

Microsoft Security Copilot is ingesloten in Microsoft Defender XDR om beveiligingsteams in staat te stellen snel en efficiënt incidenten te onderzoeken en erop te reageren. Microsoft Copilot voor Microsoft Defender XDR ondersteunt de volgende functies.

  • Incidenten samenvatten
  • Begeleide antwoorden
  • Scriptanalyse
  • Natuurlijke taal voor KQL-query's
  • Incidentrapporten
  • Bestanden analyseren
  • Apparaatoverzicht

Er zijn ook enkele opties die gebruikelijk zijn voor al deze functies, waaronder de mogelijkheid om feedback te geven over promptreacties en naadloos over te stappen op de zelfstandige ervaring.

Zoals beschreven in de introductieeenheid, kan Copilot in de ingesloten ervaring de productspecifieke mogelijkheden rechtstreeks aanroepen, wat de verwerkingsefficiëntie biedt. Dat gezegd hebbende, moet de Microsoft Defender XDR-invoegtoepassing worden ingeschakeld om toegang te krijgen tot deze Functies van Microsoft Security Copilot. Dit gebeurt via de zelfstandige ervaring. Raadpleeg voor meer informatie de functies beschrijven die beschikbaar zijn in de zelfstandige ervaring van Microsoft Security Copilot.

Schermopname van het venster Invoegtoepassingen beheren waarin de Microsoft Defender XDR-invoegtoepassing wordt gemarkeerd.

Incidenten samenvatten

Als u direct inzicht wilt krijgen in een incident, kunt u Microsoft Copilot in Microsoft Defender XDR gebruiken om een incident voor u samen te vatten. Copilot maakt een overzicht van de aanval die essentiële informatie bevat, zodat u begrijpt wat er is gebeurd in de aanval, welke assets er zijn betrokken en de tijdlijn van de aanval. Copilot maakt automatisch een samenvatting wanneer u naar de pagina van een incident navigeert.

Schermopname van de ingesloten beveiligingservaring van Copilot in Microsoft Defender XDR, met een overzicht van incidenten.

Incidenten met maximaal 100 waarschuwingen kunnen worden samengevat in één incidentoverzicht. Een incidentoverzicht, afhankelijk van de beschikbaarheid van de gegevens, bevat het volgende:

  • De tijd en datum waarop een aanval is gestart.
  • De entiteit of asset waar de aanval is gestart.
  • Een samenvatting van de tijdlijnen van hoe de aanval zich ontvouwde.
  • De activa die betrokken zijn bij de aanval.
  • Indicatoren van inbreuk (IOC's).
  • Namen van betrokken bedreigingsactoren.

Begeleide antwoorden

Copilot in Microsoft Defender XDR maakt gebruik van AI- en machine learning-mogelijkheden om een incident te contextualiseren en te leren van eerdere onderzoeken om passende reactieacties te genereren, die worden weergegeven als begeleide antwoorden. Met de begeleide reactiemogelijkheid van Copilot kunnen teams voor incidentrespons op alle niveaus met vertrouwen en snel reactieacties toepassen om incidenten eenvoudig op te lossen.

Begeleide antwoorden bevelen acties aan in de volgende categorieën:

  • Triage: bevat een aanbeveling om incidenten te classificeren als informatief, waar-positief of fout-positief
  • Insluiting: heeft aanbevolen acties om een incident te bevatten
  • Onderzoek: bevat aanbevolen acties voor verder onderzoek
  • Herstel: bevat aanbevolen responsacties die van toepassing zijn op specifieke entiteiten die betrokken zijn bij een incident

Elke kaart bevat informatie over de aanbevolen actie, waaronder waarom de actie wordt aanbevolen, vergelijkbare incidenten en meer. De actie Vergelijkbare incidenten weergeven wordt bijvoorbeeld beschikbaar wanneer er andere incidenten binnen de organisatie zijn die vergelijkbaar zijn met het huidige incident. Teams voor incidentrespons kunnen ook gebruikersgegevens bekijken voor herstelacties, zoals het opnieuw instellen van wachtwoorden.

Schermopname met de informatie die is opgenomen in een begeleide reactie.

Niet alle incidenten/waarschuwingen bieden begeleide antwoorden. Begeleide antwoorden zijn beschikbaar voor incidenttypen, zoals phishing, zakelijke e-mailinbreuk en ransomware.

Scripts en codes analyseren

De meeste complexe en geavanceerde aanvallen, zoals ransomware, ontwijken detectie op verschillende manieren, waaronder het gebruik van scripts en PowerShell. Bovendien worden deze scripts vaak verborgen, wat bijdraagt aan de complexiteit van detectie en analyse. Beveiligingsteams moeten scripts en code snel analyseren om de mogelijkheden ervan te begrijpen en de juiste beperking toe te passen op aanvallen die verder binnen een netwerk worden uitgevoerd.

De scriptanalysemogelijkheid van Copilot in Microsoft Defender XDR biedt beveiligingsteams toegevoegde capaciteit om scripts en code te inspecteren zonder externe hulpprogramma's te gebruiken. Deze mogelijkheid vermindert ook de complexiteit van analyse, minimaliseert uitdagingen en stelt beveiligingsteams in staat om snel een script te beoordelen en te identificeren als schadelijk of goedaardig.

U hebt toegang tot de mogelijkheid voor scriptanalyse in de tijdlijn met waarschuwingen binnen een incident, voor een tijdlijnvermelding die bestaat uit een script of code. In de volgende afbeelding wordt op de tijdlijn een powershell.exe vermelding weergegeven.

Notitie

Scriptanalysefuncties zijn continu in ontwikkeling. Analyse van scripts in andere talen dan PowerShell, batch en bash worden geëvalueerd.

Schermopname met de optie voor het analyseren van een PowerShell-script.

Copilot analyseert het script en geeft de resultaten weer in de kaart voor scriptanalyse. Gebruikers kunnen de code weergeven selecteren om specifieke regels code weer te geven die betrekking hebben op de analyse. Als u de code wilt verbergen, hoeven gebruikers alleen code verbergen te selecteren.

Schermopname met de regels code die betrekking hebben op de scriptanalyse.

KQL-query's genereren

Copilot in Microsoft Defender XDR wordt geleverd met een functie voor queryassistent bij geavanceerde opsporing.

Bedreigingsjagers of beveiligingsanalisten die nog niet bekend zijn met of nog niet bekend zijn met KQL, kunnen een aanvraag indienen of een vraag stellen in natuurlijke taal (bijvoorbeeld Alle waarschuwingen met betrekking tot gebruikersbeheerder123 ophalen). Copilot genereert vervolgens een KQL-query die overeenkomt met de aanvraag met behulp van het geavanceerde opsporingsgegevensschema.

Deze functie vermindert de tijd die nodig is om een opsporingsquery helemaal opnieuw te schrijven, zodat bedreigingsjagers en beveiligingsanalisten zich kunnen richten op opsporing en het onderzoeken van bedreigingen.

Voor toegang tot de natuurlijke taal voor KQL-queryassistent selecteren gebruikers met toegang tot Copilot geavanceerde opsporing in het linkernavigatiedeelvenster van de Defender XDR-portal.

Schermopname met het copilot-queryassistentscherm dat is ingesloten in Defender XDR.

Met behulp van de promptbalk kan de gebruiker vragen om een query voor het opsporen van bedreigingen, met behulp van natuurlijke taal, zoals 'Geef mij alle apparaten die zich binnen de afgelopen tien minuten hebben aangemeld'.

Schermopname van de KQL-query die is gegenereerd op basis van een aanvraag in natuurlijke taal.

De gebruiker kan er vervolgens voor kiezen om de query uit te voeren door Toevoegen en uitvoeren te selecteren. De gegenereerde query wordt vervolgens weergegeven als de laatste query in de query-editor. Als u verdere aanpassingen wilt aanbrengen, selecteert u Toevoegen aan editor.

De optie voor het uitvoeren van de gegenereerde query kan ook automatisch worden ingesteld via het instellingenpictogram.

Schermopname met de optie om de gegenereerde query automatisch uit te voeren.

Incidentrapporten maken

Een uitgebreid en duidelijk incidentrapport is een essentiële referentie voor beveiligingsteams en het beheer van beveiligingsactiviteiten. Het schrijven van een uitgebreid rapport met de belangrijke details kan echter een tijdrovende taak zijn voor beveiligingsteams, omdat het gaat om het verzamelen, organiseren en samenvatten van incidentinformatie uit meerdere bronnen. Beveiligingsteams kunnen nu direct een uitgebreid incidentrapport maken in de portal.

Door ai aangedreven gegevensverwerking van Copilot te gebruiken, kunnen beveiligingsteams onmiddellijk incidentrapporten maken met een klik op een knop in Microsoft Defender XDR.

Hoewel een incidentoverzicht een overzicht biedt van een incident en hoe het is gebeurd, voegt een incidentrapport incidentgegevens samen uit verschillende gegevensbronnen die beschikbaar zijn in Microsoft Sentinel en Microsoft Defender XDR. Het incidentrapport bevat ook alle door analisten gestuurde stappen en geautomatiseerde acties, de analisten die betrokken zijn bij het antwoord en de opmerkingen van de analisten.

Copilot maakt een incidentrapport met de volgende informatie:

  • De tijdstempels van de belangrijkste incidentbeheeracties, waaronder:
    • Incident maken en sluiten
    • Eerste en laatste logboek, ongeacht of het logboek is gebaseerd op analisten of geautomatiseerd, vastgelegd in het incident
  • De analisten die betrokken zijn bij het reageren op incidenten.
  • Incidentclassificatie, inclusief de opmerkingen van analisten over hoe het incident is geëvalueerd en geclassificeerd.
  • Onderzoeksacties die door analisten worden toegepast en vermeld in de incidentlogboeken
  • Herstelacties uitgevoerd, waaronder:
    • Handmatige acties toegepast door analisten en vermeld in de incidentlogboeken
    • Geautomatiseerde acties die door het systeem worden toegepast, waaronder Microsoft Sentinel Playbooks uitgevoerd en Microsoft Defender XDR-acties toegepast
  • Volg acties zoals aanbevelingen, open problemen of volgende stappen die door de analisten in de incidentlogboeken zijn genoteerd.

Als u een incidentrapport wilt maken, selecteert de gebruiker Het rapport Incident genereren in de rechterbovenhoek van de incidentpagina of het pictogram in het copilot-deelvenster.

Schermopname met de twee opties voor het genereren van een incidentrapport.

Het gegenereerde rapport is afhankelijk van de incidentgegevens die beschikbaar zijn in Microsoft Defender XDR en Microsoft Sentinel. Door het beletselteken op de rapportkaart voor incidenten te selecteren, kan de gebruiker het rapport naar het klembord kopiëren, posten naar een activiteitenlogboek, het rapport opnieuw genereren of ervoor kiezen om het te openen in de zelfstandige Copilot-ervaring.

Schermopname met het gegenereerde incidentrapport en het vervolgkeuzemenu met beschikbare opties door het beletselteken te selecteren.

Bestanden analyseren

Geavanceerde aanvallen maken vaak gebruik van bestanden die legitieme of systeembestanden nabootsen om detectie te voorkomen. Met Copilot in Microsoft Defender XDR kunnen beveiligingsteams snel schadelijke en verdachte bestanden identificeren via door AI gemaakte mogelijkheden voor bestandsanalyse.

Er zijn veel manieren om toegang te krijgen tot de gedetailleerde profielpagina van een specifiek bestand. U kunt bijvoorbeeld de zoekfunctie gebruiken, u kunt bestanden selecteren op het tabblad Bewijs en Antwoord van een incident of de grafiek Incident gebruiken.

In dit voorbeeld navigeert u naar bestanden via de incidentgrafiek van een incident met betrokken bestanden. In de incidentgrafiek ziet u het volledige bereik van de aanval, hoe de aanval zich in de loop van de tijd door uw netwerk verspreidt, waar deze is begonnen en hoe ver de aanvaller is gegaan.

Als u bestanden selecteert in de incidentgrafiek, wordt de optie weergegeven om bestanden weer te geven. Als u weergavebestanden selecteert, wordt aan de rechterkant van het scherm met betrokken bestanden een deelvenster geopend. Als u een bestand selecteert, wordt een overzicht van de bestandsgegevens en de optie voor het analyseren van het bestand weergegeven. Als u Analyseren selecteert, wordt de Copilot-bestandsanalyse geopend.

Apparaten en identiteiten samenvatten

Met de apparaatsamenvattingsmogelijkheid van Copilot in Defender kunnen beveiligingsteams de beveiligingspostuur van een apparaat, kwetsbare software-informatie en ongebruikelijk gedrag krijgen. Beveiligingsanalisten kunnen het overzicht van een apparaat gebruiken om het onderzoek van incidenten en waarschuwingen te versnellen.

Er zijn veel manieren om toegang te krijgen tot een apparaatoverzicht. In dit voorbeeld gaat u naar het apparaatoverzicht via de pagina met incidentassets. Als u het tabblad Assets voor een incident selecteert, worden alle assets weergegeven. Selecteer Apparaten in het linkernavigatievenster en selecteer vervolgens een specifieke apparaatnaam. Op de overzichtspagina die aan de rechterkant wordt geopend, is de optie om Copilot te selecteren.

Copilot in Microsoft Defender XDR kan ook identiteiten samenvatten.

Algemene functionaliteit voor belangrijke functies

Er zijn enkele opties die gebruikelijk zijn voor de functies van Copilot voor Microsoft Defender XDR.

Feedback geven

Net als bij de zelfstandige ervaring biedt de ingesloten ervaring gebruikers een mechanisme om feedback te geven over de nauwkeurigheid van het door AI gegenereerde antwoord. Voor alle door AI gegenereerde inhoud kunt u de feedbackprompt rechtsonder in het inhoudsvenster selecteren en een keuze maken uit de beschikbare opties.

Schermopname van het feedbackpictogram voor door AI gegenereerde inhoud en de drie opties. De opties worden bevestigd, het ziet er geweldig uit, buiten het doel, onnauwkeurig en mogelijk schadelijk, ongepast.

Overstappen op de zelfstandige ervaring

Als analist die Microsoft Defender XDR gebruikt, besteedt u waarschijnlijk een goede hoeveelheid tijd in Defender XDR, dus de ingesloten ervaring is een geweldige plek om een beveiligingsonderzoek te starten. Afhankelijk van wat u leert, kunt u bepalen of er een dieper onderzoek nodig is. In dit scenario kunt u eenvoudig overstappen op de zelfstandige ervaring om een gedetailleerder, productoverschrijdend onderzoek uit te voeren dat alle Copilot-mogelijkheden voor uw rol mogelijk maakt.

Voor inhoud die wordt gegenereerd via de ingesloten ervaring, kunt u eenvoudig overstappen naar de zelfstandige ervaring. Als u naar de zelfstandige ervaring wilt gaan, selecteert u het beletselteken in het venster gegenereerde inhoud en kiest u Openen in Security Copilot.

Schermopname met de optie voor openen in Security Copilot, die beschikbaar is door het beletselteken te selecteren in het door AI gegenereerde inhoudsvenster.