Резюмирование инцидента с помощью Microsoft Copilot в Microsoft Defender

• Применяется к:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR применяет возможности Security Copilot для обобщения инцидентов, предоставления важных сведений и аналитических сведений для упрощения задач исследования. Исследование атак — это важный шаг для групп реагирования на инциденты, позволяющий успешно защитить организацию от дальнейшего ущерба от киберугроз. Исследования часто могут быть трудоемкими, так как они включают в себя многочисленные шаги. Группам реагирования на инциденты необходимо понять, как произошла атака: разобраться в многочисленных оповещениях, определить, какие активы и организации задействованы, а также оценить масштаб и влияние атаки.

В этом руководстве описывается, что следует ожидать и как получить доступ к возможности резюмирования Copilot в Defender, включая сведения о предоставлении отзывов.

Перед началом работы

Если вы не знакомы с Security Copilot, ознакомьтесь со следующими статьями:

• Что такое Security Copilot?
• Security Copilot интерфейсы
• Начало работы с Security Copilot
• Общие сведения о проверке подлинности в Security Copilot
• Запрос в Security Copilot

Службы реагирования на инциденты могут легко получить правильный контекст для исследования и устранения инцидентов с помощью возможностей корреляции Defender XDR и обработки и контекстуализации данных на основе ИИ Security Copilot. Со сводкой об инциденте, сотрудники служб реагирования могут быстро получить важную аналитику, которая поможет в исследовании.

интеграция Security Copilot в Microsoft Defender

Возможность сводки инцидентов доступна на портале Microsoft Defender для клиентов, которые подготовили доступ к Security Copilot.

Эта возможность также доступна в автономном интерфейсе Security Copilot через подключаемый модуль Microsoft Defender XDR. Узнайте больше о предустановленных подключаемых модулях в Security Copilot.

Основные возможности

Инциденты, содержащие до 100 оповещений, можно объединить в одну сводку по инцидентам. Сводка по инциденту в зависимости от доступности данных включает следующее:

• Время и дату начала атаки.
• Объект или актив, с которого началась атака.
• Сводку временных шкал развертывания атаки.
• Активы, задействованные в атаке.
• Индикаторы компрометации (IoC).
• Имена задействованных субъектов угроз.

Для обобщения инцидента сделайте следующее:

1. Откройте страницу инцидента. Copilot автоматически создает сводку по инциденту при открытии страницы. Вы можете остановить создание сводки, нажав Отмена или перезапустить создание, выбрав Создать заново.

2. Сводная карточка инцидента загружается в области Copilot. Просмотрите созданную сводку на карточке.

   

   Совет

   Вы можете перейти к файлу, IP-адресу или странице URL-адреса из области результатов Copilot, щелкнув свидетельство в результатах.

3. Выберите многоточие других действий (...) в верхней части сводки по инцидентам карта, чтобы скопировать или повторно создать сводку или просмотреть сводку на портале Security Copilot. При выборе Открыть в Security Copilot открывается новая вкладка автономного портала Security Copilot, где можно вводить запросы и получать доступ к другим подключаемым модулям.

   

4. Просмотрите сводку и используйте информацию для направления исследования и реагирования на инцидент.

Пример сводной строки по инцидентам

На автономном портале Security Copilot можно использовать следующий запрос для создания сводок по инцидентам:

• Предоставьте сводку по инциденту в Defender {идентификатор инцидента}.

Совет

При создании сводки по инцидентам на портале Security Copilot корпорация Майкрософт рекомендует включить слово Defender в ваши запросы, чтобы функция сводки по инцидентам предоставляла результаты.

Предоставление отзывов

Корпорация Майкрософт настоятельно рекомендует предоставить отзыв компании Copilot, так как она имеет решающее значение для постоянного совершенствования возможностей. Вы можете оставить отзыв о сводке, нажав значок обратной связи в нижней части панели Copilot.

См. также

• Сведения о других встроенных интерфейсах Security Copilot
• Конфиденциальность и безопасность данных в Security Copilot

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.