Klasyfikowanie i rozwiązywanie zdarzeń za pomocą reakcji nadzorowanych od funkcji Microsoft Copilot w usłudze Microsoft Defender
Microsoft Security Copilot w portalu Microsoft Defender obsługuje zespoły reagowania na zdarzenia w natychmiastowym rozwiązywaniu zdarzeń z odpowiedziami z przewodnikiem. Funkcja Copilot w usłudze Defender używa sztucznej inteligencji i możliwości uczenia maszynowego do kontekstualizacji zdarzenia i uczenia się na podstawie poprzednich badań w celu wygenerowania odpowiednich akcji reagowania.
W tym przewodniku opisano sposób uzyskiwania dostępu do reakcji nadzorowanych, w tym informacje na temat przekazywania opinii na temat odpowiedzi.
Przed rozpoczęciem
Jeśli dopiero zaczynasz Security Copilot, zapoznaj się z nim, czytając następujące artykuły:
- Co to jest Security Copilot?
- środowiska Security Copilot
- Wprowadzenie do funkcji Copilot rozwiązań zabezpieczających
- Omówienie uwierzytelniania w Security Copilot
- Monitowanie w Security Copilot
Reagowanie na zdarzenia w portalu usługi Microsoft Defender często wymaga znajomości dostępnych akcji portalu w celu zatrzymania ataków. Nowe osoby reagujące na zdarzenia mogą mieć też różne wyobrażenie tego, gdzie i jak zacząć reagować w odpowiedzi na zdarzenia. Funkcja reakcji nadzorowanej funkcji Copilot w usłudze Defender umożliwia zespołom reagowania na zdarzenia na wszystkich poziomach pewne i szybkie stosowanie akcji reagowania w celu łatwego rozwiązywania zdarzeń.
integracja Security Copilot w Microsoft Defender
Odpowiedzi z przewodnikiem są dostępne w portalu Microsoft Defender dla klientów, którzy aprowizowali dostęp do Security Copilot.
Odpowiedzi z przewodnikiem są również dostępne w środowisku autonomicznym Security Copilot za pośrednictwem wtyczki Microsoft Defender XDR. Dowiedz się więcej o wstępnie zainstalowanych wtyczkach w Security Copilot.
Najważniejsze cechy
Reakcje nadzorowane zalecają akcje w następujących kategoriach:
- Klasyfikacja — zawiera zalecenie dotyczące klasyfikowania zdarzeń jako informacyjnych, prawdziwie dodatnich lub fałszywie dodatnich
- Powstrzymywanie zagrożeń — zawiera akcje zalecane w celu powstrzymania zdarzenia
- Badanie — obejmuje zalecane działania do dalszego badania
- Korygowanie — obejmuje zalecane akcje reagowania, które należy zastosować do określonych jednostek biorących udział w zdarzeniu
Każda karta zawiera informacje o zalecanej akcji, w tym jednostkę, w której należy zastosować akcję, oraz przyczynę zalecenia akcji. Karty podkreślają również, kiedy zalecana akcja została wykonana przez zautomatyzowane badanie, takie jak zakłócenie ataku lub reakcja zautomatyzowanego badania.
Karty reakcji nadzorowanych można sortować na podstawie stanu dostępnego dla każdej karty. Możesz wybrać określony stan podczas wyświetlania reakcji nadzorowanych, klikając pozycję Stan i wybierając odpowiedni stan, który chcesz wyświetlić. Wszystkie karty reakcji nadzorowanych, niezależnie od stanu, są wyświetlane domyślnie.
Aby użyć reakcji nadzorowanych, wykonaj następujące kroki:
Otwórz stronę zdarzenia. Funkcja Copilot automatycznie generuje reakcje nadzorowane po otwarciu strony zdarzenia. Po prawej stronie strony zdarzenia zostanie wyświetlone okienko Copilot z kartami reakcji nadzorowanej.
Przejrzyj każdą kartę przed zastosowaniem zaleceń. Wybierz wielokropek (...) Więcej akcji na karcie odpowiedzi, aby wyświetlić opcje dostępne dla każdej rekomendacji. Oto kilka przykładów.
Aby zastosować akcję, wybierz odpowiednią akcję znajdującą się na każdej karcie. Akcja reakcji nadzorowanej na każdej karcie jest dostosowana do typu zdarzenia i konkretnej jednostki.
Możesz przekazać opinię do każdej karty odpowiedzi, aby stale ulepszać przyszłe odpowiedzi od firmy Copilot. Aby przekazać opinię, wybierz ikonę się w prawym dolnym rogu każdej karty.
Uwaga
Wyszarzone przyciski akcji oznaczają, że te akcje są ograniczone przez Twoje uprawnienia. Aby uzyskać więcej informacji, zapoznaj się ujednoliconymi uprawnieniami dostępu opartego na rolach.
Copilot pomaga przyspieszyć zadania dochodzeniowe analityków. Gdy zdarzenie wymaga dalszego zbadania działania użytkownika, copilot sugeruje tekst, którego analitycy mogą używać do komunikowania się z użytkownikiem. Karta odpowiedzi z przewodnikiem zawiera akcję Kontakt z użytkownikiem w aplikacji Teams lub Kopiuj do schowka , która kopiuje sugerowany tekst do schowka. Analitycy mogą następnie wkleić tekst do wiadomości e-mail lub innego narzędzia do komunikacji. Analityk może również uzyskać więcej kontekstu dotyczącego użytkownika za pomocą akcji Wyświetl użytkownika .
Rozwiązanie Copilot obsługuje również zespoły reagowania na zdarzenia, umożliwiając analitykom uzyskanie większego kontekstu dotyczącego akcji reagowania przy użyciu dodatkowych szczegółowych informacji. Aby uzyskać reakcje korygujące, zespoły reagowania na zdarzenia mogą wyświetlać dodatkowe informacje z opcjami takimi jak Wyświetl podobne zdarzenia lub Wyświetl podobne wiadomości e-mail.
Akcja Wyświetl podobne zdarzenia jest dostępna, gdy w organizacji występują inne zdarzenia podobne do bieżącego zdarzenia. Karta „Podobne zdarzenia” zawiera listę podobnych zdarzeń, które można przejrzeć. Usługa Microsoft Defender automatycznie identyfikuje podobne zdarzenia w organizacji za pośrednictwem uczenia maszynowego. Zespoły reagowania na zdarzenia mogą używać informacji z tych podobnych zdarzeń do klasyfikowania zdarzeń i dalszego przeglądania wykonanych w ich przypadku akcji.
Akcja Wyświetl podobne wiadomości e-mail, właściwa dla zdarzeń dotyczących wyłudzania informacji, prowadzi do strony zaawansowanego wyszukiwania zagrożeń, na której jest automatycznie generowane zapytanie KQL do wyświetlania podobnych wiadomości e-mail w organizacji. To automatyczne generowanie zapytań związane ze zdarzeniem ułatwia zespołom reagowania na zdarzenia dalsze badanie innych wiadomości e-mail, które mogą być związane ze zdarzeniem. Możesz przeglądać zapytania i modyfikować je w razie potrzeby.
Przykładowy monit odpowiedzi z przewodnikiem
W Security Copilot autonomicznym portalu możesz użyć następującego monitu, aby wygenerować odpowiedzi z przewodnikiem:
- Generowanie odpowiedzi z przewodnikiem i zaleceń dotyczących zdarzenia usługi Defender {identyfikator zdarzenia}.
Porada
Podczas generowania odpowiedzi z przewodnikiem w portalu Security Copilot firma Microsoft zaleca dołączenie słowa Defender w monitach, aby upewnić się, że funkcja odpowiedzi z przewodnikiem zapewnia wyniki.
Przekazywanie opinii
Firma Microsoft zdecydowanie zachęca do przekazywania opinii do rozwiązania Copilot, ponieważ jest to kluczowe dla ciągłego ulepszania możliwości. Aby przekazać opinię, przejdź do dołu panelu bocznego Copilot i wybierz ikonę .
Zobacz też
- Dowiedz się więcej o innych osadzonych środowiskach funkcji Copilot rozwiązań zabezpieczających
- Prywatność i zabezpieczenia danych w funkcji Copilot rozwiązań zabezpieczających
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.