Dela via

Microsoft Security Copilot i Microsoft Defender Hotinformation

  • Artikel

Microsoft Security Copilot är en molnbaserad AI-plattform som ger copilot-upplevelse med naturligt språk. Det kan hjälpa säkerhetspersonal i olika scenarier, till exempel svara på incidenter, hotjakt och insamling av information. Mer information om vad den kan göra finns i Vad är Microsoft Security Copilot?.

Security Copilot kunder får åtkomst till Microsoft Defender Hotinformation (Defender TI) för var och en av sina autentiserade Copilot-användare. Se Security Copilot köp- och licensinformation för att säkerställa att du har åtkomst till Copilot.

När du har åtkomst till Security Copilot blir de viktiga funktioner som beskrivs i den här artikeln tillgängliga i antingen Security Copilot-portalen eller i Microsoft Defender-portalen.

Ha kunskap innan du börjar

Om du inte har Security Copilot bör du bekanta dig med det genom att läsa följande artiklar:

Security Copilot integrering i Defender TI

Security Copilot ger information om hotaktörer, indikatorer för kompromettering (IOP), verktyg och sårbarheter samt kontextuell hotinformation från Defender TI. Du kan använda prompterna och promptbooks för att undersöka incidenter, berika dina jaktflöden med information om hotinformation eller få mer information om organisationens eller det globala hotlandskapet.

  • Var tydlig och specifik med dina frågor. Du kan få bättre resultat om du inkluderar specifika namn på hotinnehavare eller IOC:er i dina frågor. Det kan också hjälpa om du lägger till hotinformation i din fråga, till exempel:

    • Visa hotinformationsdata för Aqua Blizzard.
    • Sammanfatta hotinformationsdata för "malicious.com".

  • Var specifik när du refererar till en incident (till exempel "incident-ID 15324").

  • Experimentera med olika frågor och variationer för att se vad som fungerar bäst för ditt användningsfall. Chatt-AI-modeller varierar, så iterera och förfina dina frågor baserat på de resultat du får.

  • Copilot sparar dina promptsessioner. Om du vill se föregående sessioner går du till Mina sessioner från menyn Security Copilot Start.

    Skärmbild som visar menyn Microsoft Security Copilot Start med Mina sessioner markerade.

    Obs!

    En genomgång av Copilot, inklusive pin-funktionen och delningsfunktionen, finns i Navigera Microsoft Security Copilot.

Läs mer om att skapa effektiva frågor

Nyckelfunktioner

Security Copilot låter säkerhetsteam förstå, prioritera och vidta åtgärder mot information om hotinformation omedelbart.

Du kan fråga om en hotaktör, en attackkampanj eller annan threat intelligence som du vill veta mer om, och Copilot genererar svar baserat på hotanalysrapporter, Intel-profiler och -artiklar och annat Defender TI-innehåll.

Du kan också välja någon av de inbyggda prompterna som är tillgängliga i Defender-portalen för att utföra följande åtgärder:

  • Sammanfatta de senaste hoten som rör din organisation
  • Prioritera vilka hot som ska fokuseras på baserat på din miljös högsta exponeringsnivå för dessa hot
  • Fråga om hotaktörerna som riktar sig till kommunikationsinfrastrukturbranschen

Läs mer om hur du använder Copilot i Defender för hotinformation

Aktivera Security Copilot-integrering i Defender TI

  1. Gå till Microsoft Security Copilot och logga in med dina autentiseringsuppgifter.

  2. Kontrollera att plugin-programmet Microsoft Threat Intelligence är aktiverat. I frågefältet väljer du ikonen KällorSkärmbild av ikonen Källor..

    Skärmbild av promptfältet i Microsoft Security Copilot med ikonen Källor markerad.

    I popup-fönstret Hantera källor som visas under Plugin-program bekräftar du att växlingsknappen Microsoft Threat Intelligence är aktiverad och stänger sedan fönstret.

    Skärmbild av popup-fönstret Hantera plugin-program med plugin-programmet Microsoft Threat Intelligence markerat.

    Obs!

    Vissa roller kan aktivera eller inaktivera reglaget för plugin-program som Microsoft Threat Intelligence. Mer information finns i Hantera plugin-program i Microsoft Security Copilot.

  3. Ange din uppmaning i frågefältet.

Inbyggda systemfunktioner

Security Copilot har inbyggda systemfunktioner som kan hämta data från de olika plugin-program som är aktiverade.

Använd följande steg för att visa listan över inbyggda systemfunktioner för Defender TI:

  1. I frågefältet väljer du ikonen FrågorSkärmbild av ikonen Frågor..

    Skärmbild av promptfältet i Microsoft Security Copilot med ikonen Promptar markerad.

  2. Välj Visa alla systemfunktioner. I avsnittet Microsoft Threat Intelligence visas alla tillgängliga funktioner för Defender TI som du kan använda.

Copilot har också följande promptbooks som även levererar information från Defender TI:

  • Kontrollera effekten av en extern hotartikel – Analyserar en extern eller tredje part (som inte publiceras i Defender TI) artikel för att extrahera relaterade IOPS, sammanfatta intelligensen och generera jaktfrågor så att du kan utvärdera den potentiella effekten av hotet som rapporteras i artikeln till din organisation.
  • Profil för hotskådespelare – Genererar en rapport som profilerar en känd hotskådespelare, inklusive förslag för att försvara sig mot deras vanliga verktyg och taktiker.
  • Hotinformation 360-rapport baserad på MDTI-artikel – Analyserar en Defender TI-artikel för att extrahera relaterade IOPS, sammanfatta intelligensen och generera jaktfrågor så att du kan utvärdera den potentiella effekten av hotet som rapporteras i artikeln till din organisation.
  • Utvärdering av sårbarhetspåverkan – Genererar en rapport som sammanfattar intelligensen för en känd säkerhetsrisk, inklusive steg för hur du åtgärdar den.

Om du vill visa dessa promptbooks går du till promptfältet och väljer ikonen Frågor och sedan Visa alla promptbooks.

Exempel på Defender TI-frågor

Du kan använda många frågor för att hämta information från Defender TI. I det här avsnittet visas några idéer och exempel.

Hämta hotinformation från hotartiklar och hotaktörer.

Exempelfrågor:

  • Sammanfatta den senaste hotinformationen.
  • Visa de senaste hotartiklarna.
  • Hämta hotartiklar relaterade till utpressningstrojaner under de senaste sex månaderna.

Mappning och infrastruktur för hotaktörer

Få information om hotaktörer och de taktiker, tekniker och procedurer (TTP:er), sponsrade tillstånd, branscher och IOP:er som är associerade med dem.

Exempelfrågor:

  • Berätta mer om Silk Typhoon.
  • Dela de IOPS som är associerade med Silk Typhoon.
  • Dela de TTP:er som är associerade med Silk Typhoon.
  • Dela hotaktörer som är associerade med Ryssland.

Sårbarhetsdata från CVE

Hämta sammanhangsbaserad information och hotinformation om vanliga sårbarheter och exponeringar (CVE), som härleds från Defender TI-artiklar, hotanalysrapporter och data från Microsoft Defender – hantering av säkerhetsrisker och Microsoft Defender – hantering av extern attackyta.

Exempelfrågor:

  • Dela de tekniker som är mottagliga för sårbarheten CVE-2021-44228.
  • Sammanfatta sårbarheten CVE-2021-44228.
  • Visa mig de senaste CVE:erna.
  • Visa hotaktörer som är associerade med CVE-2021-44228.
  • Visa hotartiklarna som är associerade med CVE-2021-44228.

Indikatordata i förhållande till hotinformation

Få detaljerad information om en indikator (till exempel IP-adresser, domäner och filhashvärden) baserat på de många datauppsättningar som är tillgängliga i Defender TI, inklusive ryktespoäng, WHOIS-information, domännamnssystem (DNS), värdpar och certifikat.

Exempelfrågor:

  • Vad kan du berätta om domännamnet<>?
  • Visa indikatorer relaterade till <domännamn>.
  • Visa alla lösningar för <domännamn>.
  • Visa värdpar relaterade till <domännamn>.
  • Visa värdnamnets<> rykte.
  • Visa mig alla upplösningar för IP-adressens <IP-adress>.
  • Visa de öppna tjänsterna i <IP-adressen>.

Ge feedback

Din feedback om Defender TI-integreringen i Security Copilot hjälper dig med utvecklingen. Om du vill ge feedback i Copilot väljer du Hur är det här svaret? Längst ned i varje slutförd prompt och välj något av följande alternativ:

  • Ser rätt ut – Välj den här knappen om resultatet är korrekt, baserat på din utvärdering.
  • Behöver förbättras – Välj den här knappen om någon information i resultatet är felaktig eller ofullständig, baserat på din utvärdering.
  • Olämpligt – Välj den här knappen om resultatet innehåller tvivelaktig, tvetydig eller potentiellt skadlig information.

För varje feedbackknapp kan du ange mer information i nästa dialogruta som visas. När det är möjligt, och när resultatet är Behöver förbättras, skriver du några ord som förklarar vad som kan göras för att förbättra resultatet. Om du har angett uppmaningar som är specifika för Defender TI och resultaten inte är relaterade, tar du med den informationen.

Sekretess och datasäkerhet i Security Copilot

När du interagerar med Security Copilot för att hämta Defender TI-data hämtar Copilot dessa data från Defender TI. Frågorna, de data som hämtas och utdata som visas i frågeresultatet bearbetas och lagras i Copilot-tjänsten. Läs mer om sekretess och datasäkerhet i Microsoft Security Copilot

Se även