Поделиться через


Обобщение сведений об удостоверениях с помощью Microsoft Copilot в Microsoft Defender

Команды по операциям безопасности, изучающие пользователей, могут легко понять сведения об удостоверениях с помощью функции сводки по удостоверениям в Microsoft Security Copilot в Microsoft Defender. Используя генерируемый ИИ и используя возможности Microsoft Defender для удостоверений, Copilot создает контекстную аналитику об удостоверении в организации, помогая аналитикам быстро понять важные данные, чтобы ускорить исследование.

Благодаря возможности сводки удостоверений аналитики могут сразу же выявлять подозрительные или рискованные изменения и действия, связанные с удостоверениями, которые могут негативно повлиять на организацию. В сводке также содержатся потенциальные неправильные настройки, влияющие на удостоверение. Используя естественный язык, Copilot предоставляет четкие и практические сведения о пользователях, которые аналитики могут использовать в своих действиях по расследованию инцидентов. В настоящее время эта возможность ориентирована на пользователей и будет включать учетные записи служб в свою следующую итерацию.

В этом руководстве описывается, что такое возможность сводки по удостоверениям и как она работает, в том числе способ предоставления отзывов о созданных результатах.

Перед началом работы

Если вы не знакомы с Security Copilot, ознакомьтесь со следующими статьями:

Благодаря возможности сводки удостоверений аналитики могут сразу же выявлять подозрительные или рискованные изменения и действия, связанные с удостоверениями, которые могут негативно повлиять на организацию. В сводке также содержатся потенциальные неправильные настройки, влияющие на удостоверение. Используя естественный язык, Copilot предоставляет четкие и практические сведения о пользователях, которые аналитики могут использовать в своих действиях по расследованию инцидентов. В настоящее время эта возможность ориентирована на пользователей и будет включать учетные записи служб в свою следующую итерацию.

интеграция Security Copilot в Microsoft Defender

Возможность сводки удостоверений доступна на портале Microsoft Defender для клиентов, которые подготовили доступ к Security Copilot.

Пользователи, обращающиеся к автономному порталу Security Copilot, могут использовать эту возможность с помощью подключаемого модуля Microsoft Defender XDR. Узнайте больше о предустановленных подключаемых модулях в Security Copilot.

Основные возможности

Сводка по удостоверениям содержит важную информацию об удостоверении, в том числе:

  • Дата создания учетной записи пользователя, а также то, имеет ли учетная запись пользователя высокий, средний или низкий уровень важности.
  • Любые необычные шаблоны поведения, связанные с расположениями входа, частотой входа или частотой неудачных попыток входа
  • Текущая роль пользователя, включая его отдел и должность, а также наличие заметных изменений роли по сравнению с должностью и отделом пользователя, чтобы подчеркнуть несоответствия
  • Данные о последнем входе пользователя на устройство, независимо от того, связано ли устройство с пользователем, за последние 30 дней
  • Используемые методы проверки подлинности и приложения
  • Риски, связанные с пользователем на основе Microsoft Entra ID
  • Общие сведения, такие как должность и контактная информация пользователя, отдел и контактные данные его руководителя

Доступ к функции сводки по удостоверениям можно получить следующими способами:

  • На странице инцидента выберите удостоверение на графе инцидентов, а затем (1) выберите Сведения о пользователе. В области сведений о пользователе (2) выберите Сводка. Результаты отображаются на боковой панели Copilot.

    Снимок экрана: параметр Суммировать в области сведений о пользователе.

  • Кроме того, можно выбрать Перейти к странице пользователя в нижней части области сведений о пользователе, чтобы открыть страницу пользователя. Copilot автоматически создает сводку по удостоверениям и отображает боковую панель при открытии страницы пользователя.

  • Вы также можете получить доступ к возможности сводки удостоверений, выбрав пользователя на вкладке Активы инцидента. Выберите Сводные данные в области сведений о пользователе, чтобы создать сводку по удостоверениям.

    Снимок экрана: вкладка

  • На странице оповещений выберите пользователя, а затем в области сведений о пользователе нажмите кнопку Суммировать , чтобы создать сводку по удостоверениям.

  • На странице расширенной охоты вы можете получить доступ к возможности сводки удостоверений, выбрав пользователя в таблице результатов, а затем выбрав ссылку на страницу пользователя. Copilot автоматически создает сводку по удостоверениям и отображает боковую панель при открытии страницы пользователя.

  • В меню main перейдите в раздел Удостоверения ресурсов>. Выберите имя пользователя в списке, а затем выберите Просмотреть страницу пользователя , чтобы открыть страницу пользователя. Copilot автоматически создает сводку по удостоверениям и отображает боковую панель при открытии страницы пользователя.

    Снимок экрана: выделен параметр

  • Введите имя пользователя в поле поиска Microsoft Defender портала и выберите его в результатах поиска. На боковой панели сведений о пользователе выберите Сводка , чтобы создать сводку по удостоверениям.

Просмотрите сводные результаты удостоверений. Результаты можно скопировать в буфер обмена, повторно создать результаты или открыть Security Copilot, выбрав многоточие других действий (...) поверх сводки удостоверений карта. Вы можете расширить исследование удостоверений с помощью запросов и других подключаемых модулей на портале Security Copilot.

Пример запроса сводки по удостоверениям

На автономном портале Security Copilot для создания сводки по удостоверениям можно использовать следующий запрос:

  • Отображение сводки этого пользователя в Защитнике за последний {time frame}.

Совет

При изучении пользователей на портале Security Copilot корпорация Майкрософт рекомендует включить слово Defender в ваши запросы, чтобы убедиться, что функция сводки удостоверений предоставляет результаты. Вы можете указать до 120 дней в интервале времени исследования, при этом значение по умолчанию — 30 дней, если вы не указываете один.

Предоставление отзывов

Корпорация Майкрософт настоятельно рекомендует предоставить отзыв компании Copilot, так как она имеет решающее значение для постоянного совершенствования возможностей. Чтобы отправить отзыв, перейдите в нижнюю часть боковой панели Copilot и выберите значок обратной связи Снимок экрана: значок обратной связи для Copilot в карточках Defender.

Снимок экрана: текстовое поле

Заполните выделенное текстовое поле, чтобы поделиться своими мыслями, опытом и запросами. Корпорация Майкрософт ценит ваши отзывы и серьезно относится к ним в наших обязательствах по повышению производительности и пользовательского интерфейса Copilot.

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.