Udostępnij za pośrednictwem

Podsumowanie informacji o tożsamości za pomocą Microsoft Copilot w Microsoft Defender

  • Artykuł
  • Dotyczy:
    Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Zespoły ds. operacji zabezpieczeń badające użytkowników mogą łatwo zrozumieć informacje o tożsamości dzięki możliwości podsumowania tożsamości w Microsoft Security Copilot w Microsoft Defender. Dzięki generowaniu sztucznej inteligencji i wykorzystaniu możliwości Microsoft Defender for Identity, Copilot tworzy kontekstowe szczegółowe informacje o tożsamości w organizacji, pomagając analitykom szybko zrozumieć ważne dane, aby przyspieszyć badanie.

Dzięki możliwości podsumowania tożsamości analitycy mogą natychmiast identyfikować podejrzane lub ryzykowne zmiany i akcje związane z tożsamością, które mogą negatywnie wpłynąć na organizację. Podsumowanie zawiera również potencjalne błędy konfiguracji, które wpływają na tożsamość. Korzystając z języka naturalnego, copilot dostarcza jasnych i praktycznych informacji o użytkownikach, których analitycy mogą używać w swoich działaniach związanych z badaniem zdarzeń. Obecnie ta funkcja koncentruje się na użytkownikach i będzie uwzględniać konta usług w następnej iteracji.

W tym przewodniku opisano, czym jest funkcja podsumowania tożsamości i jak działa, w tym sposób przekazywania opinii na temat wygenerowanych wyników.

Przed rozpoczęciem

Jeśli dopiero zaczynasz Security Copilot, zapoznaj się z nim, czytając następujące artykuły:

Dzięki możliwości podsumowania tożsamości analitycy mogą natychmiast identyfikować podejrzane lub ryzykowne zmiany i akcje związane z tożsamością, które mogą negatywnie wpłynąć na organizację. Podsumowanie zawiera również potencjalne błędy konfiguracji, które wpływają na tożsamość. Korzystając z języka naturalnego, copilot dostarcza jasnych i praktycznych informacji o użytkownikach, których analitycy mogą używać w swoich działaniach związanych z badaniem zdarzeń. Obecnie ta funkcja koncentruje się na użytkownikach i będzie uwzględniać konta usług w następnej iteracji.

integracja Security Copilot w Microsoft Defender

Funkcja podsumowania tożsamości jest dostępna w portalu Microsoft Defender dla klientów, którzy aprowizowali dostęp do Security Copilot.

Użytkownicy uzyskujący dostęp do autonomicznego portalu Security Copilot mogą korzystać z tej funkcji za pośrednictwem wtyczki Microsoft Defender XDR. Dowiedz się więcej o wstępnie zainstalowanych wtyczkach w Security Copilot.

Najważniejsze cechy

Podsumowanie tożsamości zawiera podstawowe informacje o tożsamości, w tym:

  • Data utworzenia konta użytkownika oraz to, czy konto użytkownika ma wysoką, średnią lub niską krytyczność
  • Wszelkie nietypowe wzorce zachowania związane z lokalizacjami logowania, częstotliwością logowania lub częstotliwością nieudanych prób logowania
  • Bieżąca rola użytkownika, w tym jego dział i stanowisko, oraz to, czy istnieją znaczące zmiany roli w porównaniu z stanowiskiem i działem użytkownika w celu wyróżnienia niespójności
  • Dane dotyczące ostatniego logowania użytkownika do urządzenia, niezależnie od tego, czy urządzenie jest skojarzone z użytkownikiem, w ciągu ostatnich 30 dni
  • Używane metody uwierzytelniania i aplikacje
  • Ryzyko związane z użytkownikiem na podstawie Tożsamość Microsoft Entra
  • Ogólne informacje, takie jak tytuł zawodowy użytkownika i informacje kontaktowe, dział i informacje kontaktowe kierownika

Dostęp do funkcji podsumowania tożsamości można uzyskać na następujące sposoby:

  • Na stronie zdarzenia wybierz tożsamość na grafie zdarzenia, a następnie (1) wybierz pozycję Szczegóły użytkownika. W okienku szczegółów użytkownika (2) wybierz pozycję Podsumuj. Wyniki są wyświetlane w panelu bocznym Copilot.

    Zrzut ekranu przedstawiający opcję Podsumowanie w okienku szczegółów użytkownika.

  • Alternatywnie możesz wybrać pozycję Przejdź do strony użytkownika w dolnej części okienka szczegółów użytkownika, aby otworzyć stronę użytkownika. Program Copilot automatycznie generuje podsumowanie tożsamości i wyświetla panel boczny po otwarciu strony użytkownika.

  • Możesz również uzyskać dostęp do możliwości podsumowania tożsamości, wybierając użytkownika na karcie Zasoby zdarzenia. Wybierz pozycję Podsumowanie w okienku szczegółów użytkownika, aby wygenerować podsumowanie tożsamości.

    Zrzut ekranu przedstawiający kartę Zasoby i wyróżnione konto użytkownika.

  • Na stronie alertu wybierz użytkownika, a następnie wybierz pozycję Podsumuj w okienku szczegółów użytkownika, aby wygenerować podsumowanie tożsamości.

  • Na stronie zaawansowanego wyszukiwania zagrożeń możesz uzyskać dostęp do możliwości podsumowania tożsamości, wybierając użytkownika w tabeli wyników, a następnie wybierając link do strony użytkownika. Program Copilot automatycznie generuje podsumowanie tożsamości i wyświetla panel boczny po otwarciu strony użytkownika.

  • Z menu głównego przejdź do pozycji Tożsamości zasobów>. Wybierz nazwę użytkownika z listy, a następnie wybierz pozycję Wyświetl stronę użytkownika , aby otworzyć stronę użytkownika. Program Copilot automatycznie generuje podsumowanie tożsamości i wyświetla panel boczny po otwarciu strony użytkownika.

    Zrzut ekranu przedstawiający opcję wyświetlenia strony użytkownika w wyszukiwaniu nazwy użytkownika w obszarze Tożsamości.

  • Wpisz nazwę użytkownika w polu wyszukiwania portalu Microsoft Defender, a następnie wybierz nazwę użytkownika z wyników wyszukiwania. W panelu po stronie szczegółów użytkownika wybierz pozycję Podsumuj , aby wygenerować podsumowanie tożsamości.

Przejrzyj wyniki podsumowania tożsamości. Możesz skopiować wyniki do schowka, ponownie wygenerować wyniki lub otworzyć Security Copilot, wybierając wielokropek Więcej akcji (...) na karcie podsumowania tożsamości. Badanie tożsamości można rozszerzyć za pomocą monitów i innych wtyczek w portalu Security Copilot.

Przykładowy monit o podsumowanie tożsamości

W Security Copilot autonomicznym portalu możesz użyć następującego monitu, aby wygenerować podsumowanie tożsamości:

  • Pokaż podsumowanie usługi Defender tego użytkownika w ostatnim {przedział czasu}.

Porada

Podczas badania użytkowników w portalu Security Copilot firma Microsoft zaleca dołączenie słowa Defender w monitach, aby upewnić się, że funkcja podsumowania tożsamości dostarcza wyniki. Możesz określić maksymalnie 120 dni w okresie badania, przy czym wartość domyślna to 30 dni, gdy nie wskazujesz tego.

Przekazywanie opinii

Firma Microsoft zdecydowanie zachęca do przekazywania opinii do rozwiązania Copilot, ponieważ jest to kluczowe dla ciągłego ulepszania możliwości. Aby przekazać opinię, przejdź do dołu panelu bocznego Copilot i wybierz ikonę opinii Zrzut ekranu przedstawiający ikonę opinii dla rozwiązania Copilot na kartach usługi Defender.

Zrzut ekranu przedstawiający pole tekstowe Opinie, w którym możesz udostępnić swoją opinię.

Wypełnij dedykowane pole tekstowe, aby podzielić się swoimi przemyśleniami, doświadczeniami i żądaniami. Firma Microsoft ceni Twoją opinię i traktuje ją poważnie w naszym zobowiązaniu do zwiększenia wydajności i środowiska użytkownika rozwiązania Copilot.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.