Udostępnij za pośrednictwem

Podsumuj zdarzenie za pomocą funkcji Microsoft Copilot w usłudze Microsoft Defender

  • Artykuł
  • Dotyczy:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR stosuje możliwości Security Copilot w celu podsumowania zdarzeń, dostarczając informacje o wpływie i szczegółowe informacje, aby uprościć zadania badania. Badanie ataków jest kluczowym krokiem dla zespołów reagowania na zdarzenia, aby skutecznie chronić organizację przed dalszymi szkodami spowodowanymi cyberzagrożeniami. Badania często mogą być czasochłonne, ponieważ obejmuje wiele kroków. Zespoły reagowania na zdarzenia muszą zrozumieć, w jaki sposób doszło do ataku: posortować liczne alerty, zidentyfikować zaangażowane zasoby i jednostki oraz ocenić zakres i wpływ ataku.

W tym przewodniku opisano, czego można oczekiwać i jak uzyskać dostęp do funkcji podsumowania funkcji Copilot w usłudze Defender, w tym informacje na temat przekazywania opinii.

Przed rozpoczęciem

Jeśli dopiero zaczynasz Security Copilot, zapoznaj się z nim, czytając następujące artykuły:

Podmioty reagujące na zdarzenia mogą łatwo uzyskać odpowiedni kontekst do badania i korygowania zdarzeń za pomocą funkcji korelacji Defender XDR oraz przetwarzania i kontekstualizacji danych opartych na sztucznej inteligencji Security Copilot. Dzięki podsumowaniu zdarzenia ratownicy mogą szybko uzyskać ważne informacje, które pomogą im w badaniu.

integracja Security Copilot w Microsoft Defender

Funkcja podsumowania zdarzeń jest dostępna w portalu Microsoft Defender dla klientów, którzy aprowizowali dostęp do Security Copilot.

Ta funkcja jest również dostępna w środowisku autonomicznym Security Copilot za pośrednictwem wtyczki Microsoft Defender XDR. Dowiedz się więcej o wstępnie zainstalowanych wtyczkach w Security Copilot.

Najważniejsze cechy

Zdarzenia zawierające do 100 alertów można podsumować w jednym podsumowaniu zdarzenia. Podsumowanie zdarzenia, w zależności od dostępności danych, obejmuje następujące elementy:

  • Godzina i data rozpoczęcia ataku.
  • Jednostka lub zasób, w którym rozpoczął się atak.
  • Podsumowanie osi czasu rozwinięcia ataku.
  • Zasoby biorące udział w ataku.
  • Wskaźniki naruszenia bezpieczeństwa (IOC).
  • Nazwy zaangażowanych podmiotów zajmujących się zagrożeniami.

Aby podsumować zdarzenie, wykonaj następujące kroki:

  1. Otwórz stronę zdarzenia. Funkcja Copilot automatycznie tworzy podsumowanie zdarzenia po otwarciu strony. Możesz zatrzymać tworzenie podsumowania, wybierając opcję Anuluj lub wznowić tworzenie, wybierając opcję Wygeneruj ponownie.

  2. Karta podsumowania zdarzenia jest ładowana w okienku funkcji Copilot. Przejrzyj wygenerowane podsumowanie na karcie.

    Zrzut ekranu przedstawiający kartę podsumowania zdarzenia w okienku Copilot, jak pokazano na stronie zdarzenia Microsoft Defender.

    Porada

    Możesz przejść do strony pliku, adresu IP lub adresu URL z okienka wyników usługi Copilot, klikając dowody w wynikach.

  3. Wybierz wielokropek Więcej akcji (...) w górnej części karty podsumowania zdarzenia, aby skopiować lub ponownie wygenerować podsumowanie, lub wyświetl podsumowanie w portalu Security Copilot. Wybranie pozycji Otwórz w funkcji Copilot rozwiązań zabezpieczających zabezpieczeń powoduje otwarcie nowej karty w autonomicznym portalu funkcji Copilot rozwiązań zabezpieczających, w którym można wprowadzać prompty i uzyskiwać dostęp do innych wtyczek.

    Zrzut ekranu przedstawiający akcje dostępne na karcie podsumowania zdarzenia.

  4. Przejrzyj podsumowanie i skorzystaj z informacji, aby kierować badaniem i reagowaniem na zdarzenie.

Przykładowy monit o podsumowanie zdarzenia

W Security Copilot autonomicznym portalu możesz użyć następującego monitu, aby wygenerować podsumowania zdarzeń:

  • Podaj podsumowanie zdarzenia usługi Defender {identyfikator zdarzenia}.

Porada

Podczas generowania podsumowania zdarzenia w portalu Security Copilot firma Microsoft zaleca dołączenie słowa Defender w monitach, aby upewnić się, że funkcja podsumowania zdarzenia dostarcza wyniki.

Przekazywanie opinii

Firma Microsoft zdecydowanie zachęca do przekazywania opinii do rozwiązania Copilot, ponieważ jest to kluczowe dla ciągłego ulepszania możliwości. Możesz przekazać opinię na temat podsumowania, wybierając ikonę opinii Wycinek ekranu przedstawiający ikonę opinii dla funkcji Copilot na kartach usługi Defender znajdujących się w dolnej części okienka Copilot.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.