Dela via

Sammanfatta en incident med Microsoft Copilot i Microsoft Defender

  • Artikel
  • Gäller för:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR använder funktionerna i Security Copilot för att sammanfatta incidenter, vilket ger effektfull information och insikter för att förenkla undersökningsuppgifterna. Attackundersökning är ett viktigt steg för incidenthanteringsteam att framgångsrikt skydda en organisation mot ytterligare skador från ett cyberhot. Undersökningar kan ofta vara tidskrävande eftersom det omfattar flera steg. Incidenthanteringsteam måste förstå hur attacken inträffade: sortera igenom flera aviseringar, identifiera vilka tillgångar och entiteter som är inblandade och utvärdera omfattningen och effekten av en attack.

Den här guiden beskriver vad du kan förvänta dig och hur du kommer åt sammanfattningsfunktionen för Copilot i Defender, inklusive information om hur du ger feedback.

Ha kunskap innan du börjar

Om du inte har Security Copilot tidigare bör du bekanta dig med det genom att läsa följande artiklar:

Incidenthantering kan enkelt få rätt kontext för att undersöka och åtgärda incidenter via Defender XDR korrelationsfunktioner och Security Copilot AI-baserad databehandling och kontextualisering. Med en incidentsammanfattning kan svarare snabbt få viktig information för att hjälpa till i sin undersökning.

Security Copilot integrering i Microsoft Defender

Incidentsammanfattningsfunktionen är tillgänglig i Microsoft Defender-portalen för kunder som har etablerat åtkomst till Security Copilot.

Den här funktionen är också tillgänglig i Security Copilot fristående upplevelse via Microsoft Defender XDR plugin-programmet. Läs mer om förinstallerade plugin-program i Security Copilot.

Nyckelfunktioner

Incidenter som innehåller upp till 100 aviseringar kan sammanfattas i en incidentsammanfattning. En incidentsammanfattning, beroende på tillgängligheten för data, innehåller följande:

  • Tid och datum då en attack startade.
  • Entiteten eller tillgången där attacken startade.
  • En sammanfattning av tidslinjer för hur attacken utvecklades.
  • De tillgångar som är inblandade i attacken.
  • Indikatorer för kompromettering (IoC).
  • Namn på inblandade hotaktörer.

Utför följande steg för att sammanfatta en incident:

  1. Öppna en incidentsida. Copilot skapar automatiskt en incidentsammanfattning när sidan öppnas. Du kan stoppa skapandet av sammanfattningen genom att välja Avbryt eller starta om skapandet genom att välja Återskapa.

  2. Incidentsammanfattningskortet läses in i security Copilot-fönstret på incidentsidan. Granska den genererade sammanfattningen på kortet.

    Skärmbild som visar kortet incidentsammanfattning i Copilot-fönstret som visas på sidan Microsoft Defender incident.

    Tips

    Du kan navigera till en fil,IP- eller URL-sida i resultatfönstret för Copilot genom att klicka på bevisen i resultaten.

  3. Välj ellipsen Fler åtgärder (...) överst på incidentsammanfattningskortet för att kopiera eller återskapa sammanfattningen eller visa sammanfattningen i Security Copilot-portalen. Om du väljer Öppna i Security Copilot öppnas en ny flik i den fristående Security Copilot-portalen där du kan ange frågor och komma åt andra plugin-program.

    Skärmbild som visar de åtgärder som är tillgängliga på kortet incidentsammanfattning.

  4. Granska sammanfattningen och använd informationen för att vägleda din undersökning och ditt svar på incidenten.

Exempel på sammanfattningsprompt för incidenter

I den Security Copilot fristående portalen kan du använda följande prompt för att generera incidentsammanfattningar:

  • Ange en sammanfattning av Defender-incidenten {incident-ID}.

Tips

När du genererar en incidentsammanfattning i Security Copilot-portalen rekommenderar Microsoft att du inkluderar ordet Defender i dina uppmaningar för att säkerställa att incidentsammanfattningen ger resultatet.

Ge feedback

Microsoft uppmuntrar dig starkt att ge feedback till Copilot, eftersom det är avgörande för en funktions kontinuerliga förbättring. Du kan ge feedback om sammanfattningen genom att välja feedbackikonen Skärmbild av feedbackikonen för Copilot i Defender-kort längst ned i Copilot-fönstret.

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.