Sortera och undersöka incidenter med guidade svar från Microsoft Copilot i Microsoft Defender
Microsoft Security Copilot i Microsoft Defender-portalen stöder incidenthanteringsteam för att omedelbart lösa incidenter med guidade svar. Copilot i Defender använder funktioner för AI och maskininlärning för att kontextualisera en incident och lära sig från tidigare undersökningar för att generera lämpliga svarsåtgärder.
Den här guiden beskriver hur du får åtkomst till funktionen för guidade svar, inklusive information om hur du ger feedback om svaren.
Ha kunskap innan du börjar
Om du inte har Security Copilot tidigare bör du bekanta dig med det genom att läsa följande artiklar:
- Vad är Security Copilot?
- Security Copilot upplevelser
- Komma igång med Security Copilot
- Förstå autentisering i Security Copilot
- Fråga i Security Copilot
Att svara på incidenter i Microsoft Defender-portalen kräver ofta kunskap om portalens tillgängliga åtgärder för att stoppa attacker. Dessutom kan nya incidenthanteringspersonal ha olika idéer om var och hur de ska börja svara på incidenter. Den guidade svarsfunktionen av Copilot i Defender gör det möjligt för team för incidentsvar på alla nivåer att tillämpa svarsåtgärder på ett säkert och snabbt sätt för att enkelt lösa incidenter.
Security Copilot integrering i Microsoft Defender
Guidade svar är tillgängliga i Microsoft Defender-portalen för kunder som har etablerat åtkomst till Security Copilot.
Guidade svar är också tillgängliga i Security Copilot fristående upplevelse via Microsoft Defender XDR plugin-programmet. Läs mer om förinstallerade plugin-program i Security Copilot.
Nyckelfunktioner
Guidade svar rekommenderar åtgärder i följande kategorier:
- Sortering – innehåller en rekommendation för att klassificera incidenter som information, sant positiva eller falskt positiva
- Inneslutning – innehåller rekommenderade åtgärder för att begränsa en incident
- Undersökning – innehåller rekommenderade åtgärder för vidare undersökning
- Åtgärd – innehåller rekommenderade svarsåtgärder som ska tillämpas på specifika entiteter som är inblandade i en incident
Varje kort innehåller information om den rekommenderade åtgärden, inklusive den entitet där åtgärden måste tillämpas och varför åtgärden rekommenderas. Korten framhäver också när en rekommenderad åtgärd utfördes av automatiserad undersökning som attackstörningar eller automatiserade undersökningssvar.
De guidade svarskorten kan sorteras baserat på den tillgängliga statusen för varje kort. Du kan välja en specifik status när du visar de guidade svaren genom att klicka på Status och välja lämplig status som du vill visa. Alla guidade svarskort oavsett status visas som standard.
Utför följande steg för att använda guidade svar:
Öppna en incidentsida. Copilot genererar automatiskt guidade svar när en incidentsida öppnas. Copilot-fönstret visas till höger på incidentsidan och visar de guidade svarskorten.
Granska varje kort innan du tillämpar rekommendationerna. Välj ellipsen Fler åtgärder (...) ovanpå ett svarskort för att visa de alternativ som är tillgängliga för varje rekommendation. Här är några exempel.
Om du vill tillämpa en åtgärd väljer du önskad åtgärd på varje kort. Den guidade svarsåtgärden på varje kort är skräddarsydd för typen av incident och den specifika entitet som ingår.
Du kan ge feedback till varje svarskort för att kontinuerligt förbättra framtida svar från Copilot. Om du vill ge feedback väljer du feedbackikonen som finns längst ned till höger på varje kort.
Obs!
Nedtonade åtgärdsknappar innebär att dessa åtgärder begränsas av din behörighet. Mer information finns på sidan Behörigheter för enhetlig rollbaserad åtkomst (Role-based Access – RBAC).
Copilot hjälper till att påskynda analytikernas undersökningsuppgifter. När en incident kräver ytterligare undersökning av en användaraktivitet föreslår Copilot text som analytiker kan använda för att kommunicera med en användare. Det guidade svarskortet innehåller en kontaktanvändare i Teams eller åtgärden Kopiera till Urklipp som kopierar den föreslagna texten till Urklipp. Analytiker kan sedan klistra in texten i ett e-postmeddelande eller ett annat kommunikationsverktyg. Analytikern kan också få mer kontext om användaren via åtgärden Visa användare .
Copilot stöder även incidenthanteringsteam genom att göra det möjligt för analytiker att få mer kontext om svarsåtgärder med ytterligare insikter. För åtgärdssvar kan team för incidentsvar visa ytterligare information med alternativ som Visa liknande incidenter eller Visa liknande e-postmeddelanden.
Åtgärden Visa liknande incidenter blir tillgänglig när det finns andra incidenter i organisationen som liknar den aktuella incidenten. På fliken Liknande incidenter visas liknande incidenter som du kan granska. Microsoft Defender identifierar automatiskt liknande incidenter i organisationen via maskininlärning. Team för incidentsvar kan använda informationen från dessa liknande incidenter för att klassificera dem och ytterligare granska de åtgärder som utförs i dessa liknande incidenter.
Åtgärden Visa liknande e-postmeddelanden är specifik för nätfiskeincidenter och tar dig till sidan avancerad jakt där en KQL-fråga för att visa liknande e-postmeddelanden i organisationen genereras automatiskt. Den här automatiska frågegenereringen som är relaterad till en incident hjälper team för incidentsvar att undersöka andra e-postmeddelanden som kan vara relaterade till incidenten. Du kan granska frågan och ändra den efter behov.
Exempel på guidad svarsprompt
I den Security Copilot fristående portalen kan du använda följande prompt för att generera guidade svar:
- Generera guidade svar och rekommendationer för Defender-incidenten {incident-ID}.
Tips
När du genererar guidade svar i Security Copilot-portalen rekommenderar Microsoft att du inkluderar ordet Defender i dina uppmaningar för att säkerställa att funktionen för guidade svar ger resultatet.
Ge feedback
Microsoft uppmuntrar dig starkt att ge feedback till Copilot, eftersom det är avgörande för en funktions kontinuerliga förbättring. Om du vill ge feedback går du till botten av Copilot-sidopanelen och väljer feedbackikonen .
Se även
- Lär dig mer om andra inbäddade upplevelser i Security Copilot
- Sekretess och datasäkerhet i Security Copilot
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.