Обобщение сведений об удостоверениях с помощью Microsoft Copilot в Microsoft Defender
Команды по операциям безопасности, изучающие пользователей, могут легко понять сведения об удостоверениях с помощью функции сводки по удостоверениям в Microsoft Security Copilot в Microsoft Defender. Используя генерируемый ИИ и используя возможности Microsoft Defender для удостоверений, Copilot создает контекстную аналитику об удостоверении в организации, помогая аналитикам быстро понять важные данные, чтобы ускорить исследование.
Благодаря возможности сводки удостоверений аналитики могут сразу же выявлять подозрительные или рискованные изменения и действия, связанные с удостоверениями, которые могут негативно повлиять на организацию. В сводке также содержатся потенциальные неправильные настройки, влияющие на удостоверение. Используя естественный язык, Copilot предоставляет четкие и практические сведения о пользователях, которые аналитики могут использовать в своих действиях по расследованию инцидентов. В настоящее время эта возможность ориентирована на пользователей и будет включать учетные записи служб в свою следующую итерацию.
В этом руководстве описывается, что такое возможность сводки по удостоверениям и как она работает, в том числе способ предоставления отзывов о созданных результатах.
Перед началом работы
Если вы не знакомы с Security Copilot, ознакомьтесь со следующими статьями:
- Что такое Security Copilot?
- Security Copilot интерфейсы
- Начало работы с Security Copilot
- Общие сведения о проверке подлинности в Security Copilot
- Запрос в Security Copilot
Благодаря возможности сводки удостоверений аналитики могут сразу же выявлять подозрительные или рискованные изменения и действия, связанные с удостоверениями, которые могут негативно повлиять на организацию. В сводке также содержатся потенциальные неправильные настройки, влияющие на удостоверение. Используя естественный язык, Copilot предоставляет четкие и практические сведения о пользователях, которые аналитики могут использовать в своих действиях по расследованию инцидентов. В настоящее время эта возможность ориентирована на пользователей и будет включать учетные записи служб в свою следующую итерацию.
интеграция Security Copilot в Microsoft Defender
Возможность сводки удостоверений доступна на портале Microsoft Defender для клиентов, которые подготовили доступ к Security Copilot.
Пользователи, обращающиеся к автономному порталу Security Copilot, могут использовать эту возможность с помощью подключаемого модуля Microsoft Defender XDR. Узнайте больше о предустановленных подключаемых модулях в Security Copilot.
Основные возможности
Сводка по удостоверениям содержит важную информацию об удостоверении, в том числе:
- Дата создания учетной записи пользователя, а также то, имеет ли учетная запись пользователя высокий, средний или низкий уровень важности.
- Любые необычные шаблоны поведения, связанные с расположениями входа, частотой входа или частотой неудачных попыток входа
- Текущая роль пользователя, включая его отдел и должность, а также наличие заметных изменений роли по сравнению с должностью и отделом пользователя, чтобы подчеркнуть несоответствия
- Данные о последнем входе пользователя на устройство, независимо от того, связано ли устройство с пользователем, за последние 30 дней
- Используемые методы проверки подлинности и приложения
- Риски, связанные с пользователем на основе Microsoft Entra ID
- Общие сведения, такие как должность и контактная информация пользователя, отдел и контактные данные его руководителя
Доступ к функции сводки по удостоверениям можно получить следующими способами:
На странице инцидента выберите удостоверение на графе инцидентов, а затем (1) выберите Сведения о пользователе. В области сведений о пользователе (2) выберите Сводка. Результаты отображаются на боковой панели Copilot.
Кроме того, можно выбрать Перейти к странице пользователя в нижней части области сведений о пользователе, чтобы открыть страницу пользователя. Copilot автоматически создает сводку по удостоверениям и отображает боковую панель при открытии страницы пользователя.
Вы также можете получить доступ к возможности сводки удостоверений, выбрав пользователя на вкладке Активы инцидента. Выберите Сводные данные в области сведений о пользователе, чтобы создать сводку по удостоверениям.
На странице оповещений выберите пользователя, а затем в области сведений о пользователе нажмите кнопку Суммировать , чтобы создать сводку по удостоверениям.
На странице расширенной охоты вы можете получить доступ к возможности сводки удостоверений, выбрав пользователя в таблице результатов, а затем выбрав ссылку на страницу пользователя. Copilot автоматически создает сводку по удостоверениям и отображает боковую панель при открытии страницы пользователя.
В меню main перейдите в раздел Удостоверения ресурсов>. Выберите имя пользователя в списке, а затем выберите Просмотреть страницу пользователя , чтобы открыть страницу пользователя. Copilot автоматически создает сводку по удостоверениям и отображает боковую панель при открытии страницы пользователя.
Введите имя пользователя в поле поиска Microsoft Defender портала и выберите его в результатах поиска. На боковой панели сведений о пользователе выберите Сводка , чтобы создать сводку по удостоверениям.
Просмотрите сводные результаты удостоверений. Результаты можно скопировать в буфер обмена, повторно создать результаты или открыть Security Copilot, выбрав многоточие других действий (...) поверх сводки удостоверений карта. Вы можете расширить исследование удостоверений с помощью запросов и других подключаемых модулей на портале Security Copilot.
Пример запроса сводки по удостоверениям
На автономном портале Security Copilot для создания сводки по удостоверениям можно использовать следующий запрос:
- Отображение сводки этого пользователя в Защитнике за последний {time frame}.
Совет
При изучении пользователей на портале Security Copilot корпорация Майкрософт рекомендует включить слово Defender в ваши запросы, чтобы убедиться, что функция сводки удостоверений предоставляет результаты. Вы можете указать до 120 дней в интервале времени исследования, при этом значение по умолчанию — 30 дней, если вы не указываете один.
Предоставление отзывов
Корпорация Майкрософт настоятельно рекомендует предоставить отзыв компании Copilot, так как она имеет решающее значение для постоянного совершенствования возможностей. Чтобы отправить отзыв, перейдите в нижнюю часть боковой панели Copilot и выберите значок .
Заполните выделенное текстовое поле, чтобы поделиться своими мыслями, опытом и запросами. Корпорация Майкрософт ценит ваши отзывы и серьезно относится к ним в наших обязательствах по повышению производительности и пользовательского интерфейса Copilot.
См. также
- Сведения о других встроенных интерфейсах Security Copilot
- Конфиденциальность и безопасность данных в Security Copilot
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.