Описание Copilot в XDR в Microsoft Defender

  • 9 мин

Microsoft Security Copilot внедрен в XDR в Microsoft Defender, чтобы группы безопасности могли быстро и эффективно исследовать инциденты и реагировать на них. Microsoft Copilot для XDR в Microsoft Defender поддерживает следующие функции.

  • Создание сводки по инцидентам
  • Реагирование по инструкции
  • Анализ сценариев
  • Перевод запросов на естественном языке на язык KQL
  • Отчет об инцидентах
  • Анализ файлов
  • Сводка по устройствам

Существуют также некоторые варианты, распространенные во всех этих функциях, включая возможность предоставления отзывов по ответам на запросы и простого перехода к автономному интерфейсу.

Как описано в уроке внедрения, в внедренном интерфейсе Copilot можно напрямую вызывать специальные возможности продукта, обеспечивая эффективность обработки. Тем не более чем для обеспечения доступа к этим функциям Microsoft Security Copilot необходимо включить подключаемый модуль XDR в Microsoft Defender, и это делается с помощью автономного интерфейса. Дополнительные сведения см. в статье "Описание функций, доступных в автономном интерфейсе Microsoft Security Copilot".

Снимок экрана: окно

Создание сводки по инцидентам

Чтобы сразу понять инцидент, вы можете использовать Microsoft Copilot в XDR в Microsoft Defender, чтобы обобщить инцидент для вас. Copilot создает обзор атаки, содержащей важные сведения для вас, чтобы понять, что произошло в атаке, какие ресурсы вовлечены, и временную шкалу атаки. Copilot автоматически создает сводку при переходе на страницу инцидента.

Снимок экрана встроенного интерфейса Безопасности Copilot в XDR в Microsoft Defender, показывающий сводку инцидента.

Инциденты, содержащие до 100 оповещений, можно объединить в одну сводку по инцидентам. Сводка по инциденту в зависимости от доступности данных включает следующее:

  • Время и дату начала атаки.
  • Объект или актив, с которого началась атака.
  • Сводку временных шкал развертывания атаки.
  • Активы, задействованные в атаке.
  • Индикаторы компрометации (IOC).
  • Имена задействованных субъектов угроз.

Реагирование по инструкции

Copilot в XDR в Microsoft Defender использует возможности искусственного интеллекта и машинного обучения для контекстуализации инцидента и изучения предыдущих исследований для создания соответствующих действий реагирования, которые отображаются как интерактивные ответы. Возможность реагирования по инструкции от Copilot позволяет командам реагирования на инциденты на всех уровнях быстро и уверенно применять действия по реагированию для простого разрешения инцидентов.

Служба реагирования по инструкции рекомендует действия в следующих категориях:

  • рассмотрение — включает рекомендацию классифицировать инциденты как информационные, истинноположительные или ложные срабатывания;
  • сдерживание — включает рекомендуемые действия для сдерживания инцидента;
  • исследование — включает рекомендуемые действия для дальнейшего исследования;
  • исправление — включает рекомендуемые действия по реагированию для конкретных сущностей, вовлеченных в инцидент.

Каждая карточка содержит сведения о рекомендуемом действии, в том числе о том, почему действие рекомендуется, аналогичные инциденты и многое другое. Например, действие "Просмотр аналогичных инцидентов" становится доступным при наличии других инцидентов в организации, аналогичной текущему инциденту. Группы реагирования на инциденты также могут просматривать сведения о пользователях для действий по исправлению, таких как сброс паролей.

Снимок экрана, показывающий сведения, включенные в интерактивный ответ.

Не все инциденты и оповещения предоставляют интерактивные ответы. Интерактивные ответы доступны для таких типов инцидентов, как фишинг, компрометация бизнес-электронной почты и программ-шантажистов.

Анализ скриптов и кодов

Наиболее сложные и изощренные атаки, такие как программы-шантажисты, ускользают от обнаружения множеством способов, включая использование сценариев и PowerShell. Более того, эти сценарии часто запутаны, что усложняет их обнаружение и анализ. Командам по операциям безопасности необходимо быстро проанализировать скрипты и код, чтобы понять свои возможности и применить соответствующую защиту к атакам от дальнейшего прогресса в сети.

Возможность анализа сценариев от Copilot в Microsoft Defender XDR предоставляет группам безопасности дополнительные возможности для проверки сценариев и кодов без использования внешних инструментов. Эта возможность также снижает сложность анализа, сводя к минимуму проблемы и позволяя группам безопасности быстро оценить и идентифицировать сценарий как вредоносный или безопасный.

Вы можете получить доступ к возможности анализа скриптов на временной шкале оповещений в инциденте для записи временной шкалы, состоящей из скрипта или кода. На следующем рисунке на временной шкале показана запись powershell.exe.

Примечание.

Функции анализа скриптов постоянно разрабатываются. Выполняется анализ скриптов на языках, отличных от PowerShell, пакетов и bash.

Снимок экрана, показывающий параметр для анализа скрипта PowerShell.

Copilot анализирует скрипт и отображает результаты в карточке анализа скрипта. Пользователи могут выбрать код Show, чтобы просмотреть определенные строки кода, связанные с анализом. Чтобы скрыть код, пользователям нужно выбрать только скрытие кода.

Снимок экрана, показывающий строки кода, связанные с анализом скрипта.

Создание запросов KQL

Copilot in Microsoft Defender XDR предоставляется с помощником по запросам при расширенной охоте.

Охотники за угрозами или аналитики безопасности, которые еще не знакомы или еще не знакомы с KQL, могут выполнить запрос или задать вопрос на естественном языке (например, получить все оповещения с участием администратора пользователя123). Затем Copilot создаст запрос на KQL, соответствующий данному, с помощью схемы данных расширенной охоты.

Эта возможность позволяет сократить время, необходимое для создания запроса охоты с нуля, благодаря чему охотники на угрозы и аналитики безопасности могут сосредоточиться на охоте и исследовании угроз.

Чтобы получить доступ к естественному языку помощнику по запросу KQL, пользователи с доступом к Copilot выбирают расширенную охоту на левой панели навигации на портале XDR Defender.

Снимок экрана, показывающий экран помощника по запросам Copilot, внедренный в XDR Defender.

Используя панель запроса запроса на поиск угроз, пользователь может запросить запрос на поиск угроз, используя естественный язык, например : "Дайте мне все устройства, которые выполнили вход в течение последних 10 минут".

Снимок экрана, показывающий запрос KQL, созданный из запроса естественного языка.

После этого можно запустить запрос, выбрав «Добавить и выполнить». Созданный запрос отображается последним в редакторе запросов. Чтобы внести дополнительные изменения, выберите «Добавить в редактор».

Параметр запуска созданного запроса также можно настроить автоматически с помощью значка параметров.

Снимок экрана, показывающий параметр автоматического выполнения созданного запроса.

Создание отчетов об инцидентах

Полный и понятный отчет об инцидентах является важным справочным материалом для отделов безопасности и управления операциями по обеспечению безопасности. Однако составление всеобъемлющего отчета с важными подробностями может быть трудоемкой задачей для отделов операций по обеспечению безопасности, поскольку этот процесс включает сбор, организацию и обобщение информации об инцидентах из нескольких источников. Теперь отделы безопасности могут мгновенно создавать на портале развернутый отчет об инцидентах.

Используя обработку данных на основе искусственного интеллекта Copilot, команды безопасности могут немедленно создавать отчеты об инцидентах с помощью кнопки в Microsoft Defender XDR.

В то время как сводка по инцидентам дает обзор инцидента и того, как он произошел, в отчете об инцидентах объединена информация об инцидентах из различных источников данных, доступных в Microsoft Sentinel и Microsoft Defender XDR. Отчет об инциденте также включает все шаги, управляемые аналитиками, и автоматизированные действия, аналитики, участвующие в ответе, и комментарии аналитиков.

Copilot создает отчет об инциденте, содержащий следующие сведения:

  • Основные метки времени управления инцидентами, в том числе:
    • Создание и закрытие инцидентов
    • Первые и последние журналы, независимо от того, был ли журнал управляемым аналитиком или автоматическим, захваченным в инциденте
  • Аналитики, участвующие в реагировании на инциденты.
  • Классификация инцидентов, включая комментарии аналитиков о том, как инцидент был оценен и классифицирован.
  • Действия по расследованию, применяемые аналитиками и отмеченные в журналах инцидентов
  • Действия по исправлению, в том числе:
    • Действия вручную, применяемые аналитиками и отмеченные в журналах инцидентов
    • Автоматические действия, примененные системой, включая сборники схем Microsoft Sentinel, выполнялись и применены действия XDR в Microsoft Defender
  • Выполните такие действия, как рекомендации, открытые проблемы или дальнейшие шаги, отмеченные аналитиками в журналах инцидентов.

Чтобы создать отчет об инциденте, пользователь выбирает отчет о инциденте в правом верхнем углу страницы инцидента или значок на панели Copilot.

Снимок экрана, показывающий два варианта создания отчета об инциденте.

Созданный отчет зависит от сведений об инциденте, доступных от XDR в Microsoft Defender и Microsoft Sentinel. Выбрав многоточие на карточке отчета об инциденте, пользователь может скопировать отчет в буфер обмена, опубликовать в журнал действий, повторно создать отчет или открыть в автономном интерфейсе Copilot.

Снимок экрана, показывающий созданный отчет об инциденте и раскрывающееся меню доступных параметров, выбрав многоточие.

Анализ файлов

Сложные атаки часто используют файлы, которые имитируют легитимные или системные файлы, чтобы избежать обнаружения. Copilot в Microsoft Defender XDR позволяет отделам безопасности оперативно идентифицировать вредоносные и подозрительные файлы с помощью возможностей анализа файлов на основе искусственного интеллекта.

Существует множество способов доступа к странице с подробным профилем определенного файла. Например, можно использовать функцию поиска, вы можете выбрать файлы на вкладке доказательств и ответа инцидента или использовать граф инцидентов.

В этом примере вы перейдете к файлам через граф инцидентов инцидента с затронутыми файлами. График инцидентов показывает полную область атаки, как атака распространилась по сети с течением времени, где она началась, и насколько далеко злоумышленник пошел.

На графике инцидентов выбор файлов отображает параметр просмотра файлов. При выборе файлов представления откроется панель справа от списка затронутых файлов экрана. При выборе любого файла отображается обзор сведений о файле и параметр для анализа файла. При выборе "Анализ" откроется анализ файла Copilot.

Сводка по устройствам и удостоверениям

Благодаря возможности Copilot в Defender составлять сводки по устройствам отделы безопасности могут получать информацию о состоянии безопасности устройства, а также сведения об уязвимом программном обеспечении и любых необычных расширениях функциональности. Аналитики по безопасности могут использовать сводку устройства для ускорения изучения инцидентов и оповещений.

Существует множество способов доступа к сводке устройств. В этом примере вы перейдете к сводке по устройству на странице ресурсов инцидентов. При выборе вкладки ресурсов для инцидента отображаются все ресурсы. На панели навигации слева выберите "Устройства", а затем выберите определенное имя устройства. На странице обзора, открывающейся справа, можно выбрать Copilot.

Аналогичным образом Copilot in Microsoft Defender XDR может составлять свожки по удостоверениям.

Общие функциональные возможности в ключевых функциях

Существуют некоторые варианты, распространенные в функциях Copilot для XDR в Microsoft Defender.

Обратная связь

Как и в автономном режиме, внедренный интерфейс предоставляет пользователям механизм для предоставления отзывов о точности созданного ИИ ответа. Для любого созданного ИИ содержимого можно выбрать запрос обратной связи в правом нижнем углу окна содержимого и выбрать из доступных параметров.

Снимок экрана значка обратной связи для созданного ИИ содержимого и трех вариантов. Варианты подтверждены, он выглядит отлично, от целевого, неточного и потенциально вредного, неуместного.

Переход к изолированному интерфейсу

Как аналитик, использующий Microsoft Defender XDR, вы, вероятно, подолгу пользуетесь Defender XDR, поэтому встроенный интерфейс — отличный отправной пункт для исследования вопросов безопасности В зависимости от полученных вами сведений вы можете решить, что требуется более глубокое исследование. При таком сценарии вы можете легко перейти к изолированному интерфейсу, чтобы провести более подробное, перекрестное исследование продуктов, задействовав все возможности Copilot, доступные для вашей роли.

Для содержимого, созданного с помощью встроенного интерфейса, можно легко перейти к автономному интерфейсу. Чтобы перейти к автономному интерфейсу, выберите многоточие в созданном окне содержимого и нажмите кнопку "Открыть в Безопасности Copilot".

Снимок экрана, показывающий параметр открытия в Security Copilot, который доступен, выбрав многоточие в окне содержимого, созданного ИИ.