Udostępnij za pośrednictwem

Copilot Microsoft w usłudze Microsoft Defender

  • Artykuł
  • Dotyczy:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Uwaga

Microsoft Defender XDR zapewnia ujednolicone środowisko XDR dla Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender for Identity, Ochrona usługi Office 365 w usłudze Microsoft Defender, Microsoft Defender for Cloud Apps i Microsoft Defender na potrzeby zarządzania lukami w zabezpieczeniach. Dowiedz się więcej o tym pakiecie ochrony przed i po naruszeniu zabezpieczeń w temacie Co to jest Microsoft Defender XDR?

Ten artykuł zawiera omówienie dla użytkowników Microsoft Copilot w Microsoft Defender, w tym kroki dostępu, kluczowe możliwości i linki do szczegółów tych możliwości.

Przed rozpoczęciem

Jeśli dopiero zaczynasz Security Copilot, zapoznaj się z nim, czytając następujące artykuły:

integracja Microsoft Copilot w Microsoft Defender

Microsoft Security Copilot łączy w sobie możliwości sztucznej inteligencji i ludzkiej wiedzy, aby pomóc zespołom ds. zabezpieczeń szybciej i skuteczniej reagować na ataki. Security Copilot jest osadzona w portalu Microsoft Defender, aby ułatwić zespołom ds. zabezpieczeń rozszerzone możliwości badania i reagowania na zdarzenia, wyszukiwania zagrożeń i ochrony organizacji za pomocą odpowiedniej analizy zagrożeń. Usługa Copilot w usłudze Defender jest dostępna dla użytkowników, którzy aprowizowali dostęp do Security Copilot.

Najważniejsze cechy

Badaj zdarzenia i reaguj na nie, jak ekspert

Zapewnij zespołom ds. bezpieczeństwa łatwe i precyzyjne prowadzenie dochodzeń w sprawie ataków w odpowiednim czasie. Funkcja Copilot ułatwia zespołom natychmiastowe zrozumienie ataków, szybkie analizowanie podejrzanych plików i skryptów oraz szybką ocenę i stosowanie odpowiednich środków zaradczych w celu zatrzymania i ograniczenia ataków.

Szybkie podsumowywanie zdarzeń

Badanie zdarzeń z wieloma alertami może być trudnym zadaniem. Aby natychmiast zrozumieć zdarzenie, możesz nacisnąć pozycję Copilot, aby podsumować zdarzenie. Copilot tworzy przegląd ataku. Omówienie zawiera podstawowe informacje umożliwiające zrozumienie, co wydarzyło się w ataku, jakie zasoby są związane z atakiem oraz oś czasu ataku. Funkcja Copilot automatycznie tworzy podsumowanie po przejściu do strony zdarzenia.

Wycinek ekranu przedstawiający kartę podsumowania zdarzenia w okienku funkcji Copilot widoczną na stronie zdarzenia usługi Microsoft Defender.

Podejmowanie działań w związku ze zdarzeniami poprzez reakcje nadzorowane

Rozwiązywanie zdarzeń wymaga od analityków zrozumienia ataku, aby wiedzieć, jakie rozwiązania są odpowiednie. Funkcja Copilot zaleca rozwiązania za pośrednictwem odpowiedzi z przewodnikiem, które są specyficzne dla każdego zdarzenia.

Wycinek ekranu przedstawiający okienko funkcji Copilot z odpowiedziami z przewodnikiem na stronie zdarzenia Microsoft Defender.

Łatwe uruchamianie analizy skryptów

Większość atakujących polega na zaawansowanym złośliwym oprogramowaniu podczas przeprowadzania ataków, aby uniknąć wykrywania i analizy. Złośliwe oprogramowanie jest zwykle ukryte i może mieć postać skryptów lub wierszy poleceń w programie PowerShell. Funkcja Copilot może szybko analizować skrypty, skracając czas badania.

Wycinek ekranu przedstawiający przycisk analizy skryptu w widoku historii ataku na stronie zdarzenia.

Generowanie podsumowań urządzeń

Badanie urządzeń biorących udział w zdarzeniach może być wymagającym zadaniem. Aby szybko ocenić urządzenie, funkcja Copilot może podsumować informacje o urządzeniu, w tym stan zabezpieczeń urządzenia, wszelkie nietypowe zachowania, listę oprogramowania podatnego na zagrożenia i odpowiednie informacje usługi Microsoft Intune.

Wycinek ekranu przedstawiający wyniki podsumowania urządzenia w funkcji Copilot w usłudze Defender.

Szybkie analizowanie plików

Rozwiązanie Copilot pomaga zespołom ds. zabezpieczeń szybko ocenić i zrozumieć podejrzane pliki za pomocą analizy plików. Usługa Copilot udostępnia podsumowanie pliku, w tym informacje o wykrywaniu, powiązane certyfikaty plików, listę wywołań interfejsu API i ciągi znalezione w pliku.

Wycinek ekranu przedstawiający wyniki analizy plików w programie Copilot w usłudze Defender z wyróżnioną opcją Ukryj szczegóły.

Natychmiast zbadaj tożsamości

Szybko oceń ryzyko użytkownika, generując podsumowanie tożsamości za pomocą rozwiązania Copilot. Określ, kiedy tożsamość jest zagrożona lub podejrzana, korzystając z kontekstowych informacji o zmianach roli i roli użytkownika, zachowaniach logowania, zalogowanych urządzeniach i odpowiednich informacjach kontaktowych.

Zrzut ekranu przedstawiający opcję Podsumowanie w okienku szczegółów użytkownika.

Wydajne pisanie raportów o zdarzeniach

Zespoły ds. operacji zabezpieczeń zazwyczaj sporządzają raporty w celu rejestrowania ważnych informacji, w tym podjętych działań i odpowiadających im wyników, zaangażowanych członków zespołu oraz innych informacji, które pomogą w podejmowaniu przyszłych decyzji dotyczących zabezpieczeń i zdobywaniu wiedzy. Często dokumentowanie zdarzeń może być czasochłonne. Aby raport o zdarzeniu był skuteczny, musi zawierać podsumowanie zdarzenia wraz z podjętymi działaniami, w tym o tym, jakie działania zostały podjęte przez kogo i kiedy. Funkcja Copilot generuje raport o zdarzeniu, szybko konsolidując te informacje.

Zrzut ekranu karty raportu o zdarzeniu na stronie zdarzenia pokazujący górną połowę karty.

Wyszukuj zagrożenia jak profesjonalista

Rozwiązanie Copilot w usłudze Defender pomaga zespołom ds. zabezpieczeń aktywnie wyszukiwać zagrożenia w sieci, szybko tworząc odpowiednie zapytania KQL.

Generowanie zapytań w języku KQL z danych wejściowych w języku naturalnym

Zespoły ds. zabezpieczeń korzystające z zaawansowanego wyszukiwania zagrożeń w celu proaktywnego wyszukiwania zagrożeń w sieci mogą teraz użyć zapytania asystent, które konwertuje dowolne pytanie w języku naturalnym w kontekście wyszukiwania zagrożeń na gotowe do uruchomienia zapytanie KQL. Asystent zapytań oszczędza czas zespołów ds. zabezpieczeń, generując zapytania w języku KQL, które mogą być następnie automatycznie uruchamiane lub dalej dostosowywane do potrzeb analityków. Przeczytaj więcej na temat asystenta zapytań w funkcji Copilot rozwiązań zabezpieczających podczas zaawansowanego wyszukiwania zagrożeń.

Wycinek ekranu funkcji Copilot w zaawansowanym wyszukiwaniu zagrożeń.

Ochrona organizacji za pomocą odpowiedniej analizy zagrożeń

Umożliwianie organizacji zabezpieczeń podejmowania świadomych decyzji przy użyciu najnowszej analizy zagrożeń. Funkcja Copilot konsoliduje i podsumowuje analizę zagrożeń, aby pomóc zespołom ds. bezpieczeństwa w skutecznym określaniu priorytetów i reagowaniu na zagrożenia.

Monitorowanie analizy zagrożeń

Poproś funkcję Copilot o podsumowanie istotnych zagrożeń wpływających na środowisko, określenie priorytetów rozwiązywania zagrożeń na podstawie poziomów narażenia lub znalezienie podmiotów stanowiących zagrożenie dla Twojej branży. Przeczytaj więcej na temat Security Copilot w analizie zagrożeń.

Wycinek ekranu przedstawiający okienko Copilot w analizie zagrożeń w usłudze Defender XDR.

Dostęp do funkcji Copilot w usłudze Defender

Aby upewnić się, że masz dostęp do rozwiązania Copilot w usłudze Defender, zobacz Security Copilot informacje dotyczące zakupu i licencjonowania. Po uzyskaniu dostępu do Security Copilot kluczowe funkcje stają się dostępne w portalu Microsoft Defender.

Przykładowe monity w programie Copilot

W portalu Microsoft Defender można znaleźć przykładowe monity ułatwiające nawigację i korzystanie z niektórych możliwości rozwiązania Copilot. Monity mają na celu ułatwienie zrozumienia tych możliwości i efektywnego korzystania z nich. Oto kilka przykładów monitów, które mogą być widoczne w portalu:

Zaawansowane monity dotyczące wyszukiwania zagrożeń:

Zrzut ekranu przedstawiający monity Copilot na stronie zaawansowanego wyszukiwania zagrożeń.

Monity dotyczące analizy zagrożeń:

Zrzut ekranu przedstawiający monity copilot na stronie analizy zagrożeń.

Badanie można rozszerzyć w autonomicznym portalu Security Copilot przy użyciu monitów języka naturalnego. Poniżej przedstawiono przykładowe monity, które można wpisać na pasku monitu, aby ułatwić podsumowanie zdarzenia za pomocą zaleceń:

  • Wpisz Podsumowanie zdarzenia {numer zdarzenia} i zakończ z zestawem zaleceń w celu wygenerowania podsumowania zdarzenia i zaleceń.
  • Wpisz Co możesz mi powiedzieć o reputacji wskaźników w skryptze? Czy są złośliwe? Jeśli tak, to dlaczego? w celu przeanalizowania skryptu i wygenerowania szczegółów dotyczących skryptu.

Monitowanie w programie Copilot ułatwia efektywne nawigowanie po możliwościach i korzystanie z nich. Możesz również użyć paska monitu do generowania zapytań KQL, podsumowywania zdarzeń i analizowania plików. Zobacz porady dotyczące tworzenia skutecznych monitów w skutecznym monitowanie. Możesz również użyć wstępnie utworzonych wierszy polecenia, aby ułatwić rozpoczęcie pracy z rozwiązaniem Copilot. Aby dowiedzieć się więcej na temat elementów promptbook, zobacz promptbooks in Copilot (Podręczniki wiersza polecenia w programie Copilot).

Przekazywanie opinii

Wszystkie możliwości rozwiązania Copilot w usłudze Defender mają możliwość przekazywania opinii. Aby przekazać opinię, wykonaj następujące kroki:

  1. Wybierz ikonę opinii Zrzut ekranu przedstawiający ikonę opinii dla rozwiązania Copilot w kartach usługi Defender znajdującą się u dołu dowolnej karty wyników w panelu bocznym Copilot.
  2. Wybierz pozycję Wygląda prawidłowo , jeśli uznasz wyniki za dokładne. Możesz podać więcej informacji w następnym oknie dialogowym.
  3. Wybierz pozycję Wymaga poprawy , jeśli wynik został oceniony jako brakujący lub niekompletny. W następnym oknie dialogowym można podać więcej informacji na temat oceny i przesłać ją do firmy Microsoft.
  4. Możesz również zgłosić wyniki, jeśli zawierają wątpliwe lub niejednoznaczne informacje, wybierając pozycję Nieodpowiednie. Podaj więcej informacji o wynikach w następnym oknie dialogowym i wybierz pozycję Prześlij.

Prywatność i bezpieczeństwo danych

Program Copilot stale ewoluuje przy użyciu danychprzechowywanych, przetwarzanych i udostępnianych w zależności od ustawień zdefiniowanych przez administratora. Firma Microsoft zapewnia, że dane są zawsze chronione i bezpieczne podczas korzystania z rozwiązania Copilot. Aby dowiedzieć się więcej na temat bezpieczeństwa i prywatności danych w usłudze Copilot, zobacz Prywatność i bezpieczeństwo danych w usłudze Copilot.

Ze względu na jego ciągłą ewolucję, funkcja Copilot może przegapić kilka rzeczy. Przeglądanie i przekazywanie opinii na temat wyników pomaga ulepszyć przyszłe odpowiedzi rozwiązania Copilot.

Wtyczki w Security Copilot

Usługa Copilot używa wstępnie zainstalowanych wtyczek firmy Microsoft, takich jak Microsoft Defender XDR, Analiza zagrożeń usługi Defender i język naturalny do KQL dla wtyczek Microsoft Sentinel i Defender XDR w celu generowania odpowiednich informacji, zapewnienia większego kontekstu dla zdarzeń i generowania dokładniejszych wyników. Upewnij się, że wtyczki są włączone w rozwiązaniu Copilot, aby umożliwić dostęp do odpowiednich danych i wygenerować żądaną zawartość z innych usług firmy Microsoft w organizacji.

Następne kroki

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.