Microsoft Copilot i Microsoft Defender
Obs!
Microsoft Defender XDR ger en enhetlig XDR-upplevelse för Microsoft Defender för Endpoint, Microsoft Defender for Identity, Microsoft Defender för Office 365, Microsoft Defender for Cloud Apps och Microsoft Defender för sårbarhetshantering. Läs mer om den här försvarssviten före och efter intrång i Vad är Microsoft Defender XDR?
Den här artikeln innehåller en översikt över användare av Microsoft Copilot i Microsoft Defender, inklusive steg för åtkomst, viktiga funktioner och länkar till information om dessa funktioner.
Ha kunskap innan du börjar
Om du inte har Security Copilot tidigare bör du bekanta dig med det genom att läsa följande artiklar:
- Vad är Security Copilot?
- Security Copilot upplevelser
- Komma igång med Security Copilot
- Förstå autentisering i Security Copilot
- Fråga i Security Copilot
Microsoft Copilot integrering i Microsoft Defender
Microsoft Security Copilot sammanför kraften i AI och mänsklig expertis för att hjälpa säkerhetsteam att reagera snabbare och mer effektivt på attacker. Security Copilot är inbäddat i Microsoft Defender-portalen för att ge säkerhetsteam förbättrade funktioner för att undersöka och reagera på incidenter, söka efter hot och skydda organisationen med relevant hotinformation. Copilot i Defender är tillgängligt för användare som har etablerat åtkomst till Security Copilot.
Nyckelfunktioner
Undersöka och svara på incidenter som en expert
Gör det möjligt för säkerhetsteam att hantera undersökningar av attacker snabbt och enkelt. Copilot hjälper team att förstå attacker direkt, snabbt analysera misstänkta filer och skript och snabbt utvärdera och tillämpa lämpliga åtgärder för att stoppa och begränsa attacker.
Sammanfatta incidenter snabbt
Det kan vara utmanande att undersöka incidenter med flera varningar. Om du vill förstå en incident direkt kan du trycka på Copilot för att sammanfatta en incident åt dig. Copilot skapar en översikt över attacken. Översikten innehåller viktig information som hjälper dig att förstå vad som hände i attacken, vilka tillgångar som är inblandade och tidslinjen för attacken. Copilot skapar automatiskt en sammanfattning när du navigerar till en incidentsida.
Vidta åtgärder för incidenter via guidade svar
Att lösa incidenter kräver att analytiker har en förståelse för en attack för att veta vilka lösningar som är lämpliga. Copilot rekommenderar lösningar via guidade svar som är specifika för varje incident.
Kör skriptanalys enkelt
De flesta angripare förlitar sig på avancerad skadlig kod när de startar attacker för att undvika identifiering och analys. Dessa skadliga program är vanligtvis dolda och kan vara i form av skript eller kommandorader i PowerShell. Copilot kan snabbt analysera skript, vilket minskar tiden för undersökning.
Skapa enhetssammanfattningar
Att undersöka enheter som är inblandade i incidenter kan vara ett uppgiftsjobb. För att snabbt utvärdera en enhet kan Copilot sammanfatta en enhets information, inklusive enhetens säkerhetsstatus, ovanliga beteenden, en lista över sårbara program och relevant Microsoft Intune-information.
Analysera filer snabbt
Copilot hjälper säkerhetsteam att snabbt utvärdera och förstå misstänkta filer med filanalys. Copilot tillhandahåller en filsammanfattning, inklusive identifieringsinformation, relaterade filcertifikat, en lista över API-anrop och strängar som finns i filen.
Undersöka identiteter omedelbart
Utvärdera snabbt en användares risk genom att generera en identitetssammanfattning med Copilot. Identifiera när en identitet är i riskzonen eller misstänkt med sammanhangsberoende information om en användares roll- och rolländringar, inloggningsbeteenden, enheter som är inloggade på och relevant kontaktinformation.
Skriva incidentrapporter effektivt
Säkerhetsteam skriver vanligtvis rapporter för att registrera viktig information, bland annat vilka svarsåtgärder som vidtogs och deras resultat, de berörda teammedlemmarna och annan information som underlättar framtida säkerhetsbeslut och inlärning. Ofta kan det vara tidskrävande att dokumentera incidenter. För att en incidentrapport ska vara effektiv måste den innehålla en incidentsammanfattning tillsammans med de åtgärder som vidtagits, inklusive vilka åtgärder som vidtagits av vem och när. Copilot genererar en incidentrapport genom att snabbt konsolidera dessa informationsdelar.
Jaga som ett proffs
Copilot i Defender hjälper säkerhetsteam att proaktivt söka efter hot i nätverket genom att snabbt skapa lämpliga KQL-frågor.
Generera KQL-frågor från indata på naturligt språk
Säkerhetsteam som använder avancerad jakt för att proaktivt jaga hot i sitt nätverk kan nu använda en fråga assistent som konverterar alla frågor på naturligt språk, i samband med hotjakt, till en färdig KQL-fråga. Frågeassistenten sparar tid för säkerhetsteam genom att generera en KQL-fråga som sedan kan köras automatiskt eller justeras ytterligare enligt analytikerns behov. Läs mer om frågeassistenten i Security Copilot i avancerad jakt.
Skydda din organisation med relevant hotinformation
Ge din säkerhetsorganisation möjlighet att fatta välgrundade beslut med den senaste hotinformationen. Copilot konsoliderar och sammanfattar hotinformation för att hjälpa säkerhetsteam att prioritera och reagera effektivt på hot.
Övervaka hotinformation
Be Copilot sammanfatta relevanta hot som påverkar din miljö, att prioritera att lösa hot baserat på dina exponeringsnivåer eller att hitta hot aktörer som kan riktas mot din bransch. Läs mer om Security Copilot i hotinformation.
Åtkomst till Copilot i Defender
För att säkerställa att du har åtkomst till Copilot i Defender kan du läsa informationen om Security Copilot köp och licensiering. När du har åtkomst till Security Copilot blir de viktigaste funktionerna tillgängliga i Microsoft Defender-portalen.
Exempelfrågor i Copilot
I Microsoft Defender portalen hittar du exempelfrågor som hjälper dig att navigera och använda vissa Copilot-funktioner. Uppmaningarna är utformade för att hjälpa dig att förstå dessa funktioner och hur du använder dem effektivt. Här är några exempel på frågor som du kan se i portalen:
Avancerade jaktfrågor:
Hotinformationsprompter:
Du kan utöka undersökningen i Security Copilot fristående portalen med hjälp av frågor om naturligt språk. Följande är exempelfrågor som du kan skriva i promptfältet för att sammanfatta en incident med rekommendationer:
- Skriv Sammanfatta incident {incidentnummer} och avsluta med en uppsättning rekommendationer för att generera incidentsammanfattningen och rekommendationerna.
- Skriv Vad kan du berätta om indikatorernas rykte i skriptet? Är de skadliga? I så fall, varför? för att analysera skriptet och generera information om skriptet.
Genom att fråga i Copilot kan du navigera och använda funktionerna på ett effektivt sätt. Du kan också använda promptfältet för att generera KQL-frågor, sammanfatta incidenter och analysera filer. Se tips för att skapa effektiva prompter i effektiva frågor. Du kan också använda fördefinierade promptbooks som hjälper dig att komma igång med Copilot. Mer information om promptbooks finns i promptbooks i Copilot.
Ge feedback
Alla Copilot i Defender-funktioner har ett alternativ för att ge feedback. Utför följande steg om du vill ge feedback:
- Välj feedbackikonen Längst ned på resultatkortet i Copilot-sidopanelen.
- Välj Ser rätt ut om du anser att resultatet är korrekt. Du kan ange mer information i nästa dialogruta.
- Välj Behöver förbättras om du bedömer att resultatet saknas eller är ofullständigt. Du kan ange mer information om din utvärdering i nästa dialogruta och skicka den här utvärderingen till Microsoft.
- Du kan också rapportera resultatet om det innehåller tvivelaktig eller tvetydig information genom att välja Olämpligt. Ange mer information om resultatet i nästa dialogruta och välj att skicka in det.
Sekretess och datasäkerhet
Copilot utvecklas kontinuerligt med hjälp av data som lagras, bearbetas och delas beroende på de inställningar som definieras av administratören. Microsoft ser till att dina data alltid är skyddade och säkra när du använder Copilot. Mer information om datasäkerhet och sekretess i Copilot finns i Sekretess och datasäkerhet i Copilot.
På grund av den fortsatta utvecklingen kan Copilot missa vissa saker. Att granska och ge feedback om resultaten hjälper till att förbättra Copilots framtida svar.
Plugin-program i Security Copilot
Copilot använder förinstallerade Microsoft-plugin-program som Microsoft Defender XDR, Defender Threat Intelligence och Natural Language to KQL för Microsoft Sentinel och Defender XDR-plugin-program för att generera relevant information, ge mer sammanhang för incidenter och generera mer exakta resultat. Se till att plugin-program är aktiverade i Copilot för att tillåta åtkomst till relevanta data och generera begärt innehåll från andra Microsoft-tjänster i din organisation.
Nästa steg
- Ta reda på hur du sammanfattar incidenter
- Använda guidade svar när du svarar på incidenter
- Köra skriptanalys
- Analysera filer
- Skapa enhetssammanfattningar
- Generera identitetssammanfattningar
- Generera KQL-frågor
- Skapa incidentrapporter
- Använda hotinformation
Se även
- Komma igång med Security Copilot
- Sekretess och datasäkerhet i Copilot
- Vanliga frågor och svar om ansvarsfull AI
- Andra Security Copilot inbäddade upplevelser
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.