Beskriva Copilot-integrering med Microsoft Defender XDR

  • 12 minuter

Microsoft Defender XDR integreras med Microsoft Security Copilot. Integrering med Security Copilot kan upplevas genom fristående och inbäddade upplevelser.

Den fristående upplevelsen

För företag som är registrerade i Microsoft Security Copilot aktiveras integreringen via plugin-program som nås via Copilot-portalen (den fristående upplevelsen). Det finns två separata plugin-program som stöder integrering med Microsoft Defender XDR:

  • Microsoft Defender XDR
  • Naturligt språk till KQL för Microsoft Defender XDR

En skärmbild av plugin-programmet Microsoft Defender XDR och plugin-programmet Naturligt språk till KQL för Microsoft Defender XDR i Microsoft Security Copilot.

Microsoft Defender XDR-plugin-program

Plugin-programmet Microsoft Defender XDR innehåller funktioner som gör det möjligt för användare att:

  • Analysera filer
  • Generera en incidentrapport
  • Generera ett guidat svar
  • Lista incidenter och relaterade aviseringar
  • Sammanfatta enhetens säkerhetstillstånd
  • mer...

Microsoft Defender XDR-funktioner i Copilot är inbyggda uppmaningar som du kan använda, men du kan också ange egna frågor baserat på vilka funktioner som stöds.

Copilot innehåller också en inbyggd promptbook för Microsoft Defender XDR-incidentundersökning som du kan använda för att hämta en rapport om en specifik incident, med relaterade aviseringar, ryktespoäng, användare och enheter.

Naturligt språk till KQL för Plugin-programmet Microsoft Defender

Plugin-programmet Naturligt språk till KQL för Microsoft Defender möjliggör frågeassistentfunktioner som konverterar alla frågor på naturligt språk i samband med hotjakt till en KQL-fråga (ready-to-run Kusto-frågespråk). Frågeassistenten sparar tid för säkerhetsteam genom att generera en KQL-fråga som sedan kan köras automatiskt eller justeras ytterligare enligt analytikerns behov.

Den inbäddade upplevelsen

När plugin-programmet är aktiverat kan Copilot-integrering med Defender XDR också upplevas via den inbäddade upplevelsen, som kallas Copilot i Microsoft Defender XDR.

Med Copilot i Microsoft Defender XDR kan säkerhetsteam snabbt och effektivt undersöka och svara på incidenter via Microsoft Defender XDR-portalen. Copilot i Microsoft Defender XDR stöder följande funktioner.

  • Sammanfatta incidenter
  • Guidade svar
  • Skriptanalys
  • Naturligt språk till KQL-frågor
  • Incidentrapporter
  • Analysera filer
  • Enhets- och identitetssammanfattningar

Användare kan också smidigt pivotleda från den inbäddade upplevelsen till den fristående upplevelsen.

Sammanfatta incidenter

Om du omedelbart vill förstå en incident kan du använda Copilot i Microsoft Defender XDR för att sammanfatta en incident åt dig. Copilot skapar en översikt över attacken som innehåller viktig information för att du ska förstå vad som hände i attacken, vilka tillgångar som är inblandade, tidslinjen för attacken med mera. Copilot skapar automatiskt en sammanfattning när du navigerar till en incident sida. Incidenter som innehåller upp till 100 aviseringar kan sammanfattas i en incidentsammanfattning.

Skärmdump av Security Copilot Embedded-upplevelsen i Microsoft Defender XDR, som visar en incidentsammanfattning.

Guidade svar

Copilot i Microsoft Defender XDR använder AI- och maskininlärningsfunktioner för att kontextualisera en incident och lära sig av tidigare undersökningar för att generera lämpliga svarsåtgärder, som visas som guidade svar. Copilots interaktiva svarskapacitet gör det möjligt för incidenthanteringsteam på alla nivåer att på ett säkert och snabbt sätt tillämpa svarsåtgärder för att enkelt lösa incidenter.

Guidade svar rekommenderar åtgärder i följande kategorier:

  • Sortering – innehåller en rekommendation för att klassificera incidenter som information, sant positiva eller falskt positiva
  • Inneslutning – innehåller rekommenderade åtgärder för att begränsa en incident
  • Undersökning – innehåller rekommenderade åtgärder för vidare undersökning
  • Åtgärd – innehåller rekommenderade svarsåtgärder som ska tillämpas på specifika entiteter som är inblandade i en incident

Varje kort innehåller information om den rekommenderade åtgärden, inklusive varför åtgärden rekommenderas, liknande incidenter med mera. Åtgärden Visa liknande incidenter blir till exempel tillgänglig när det finns andra incidenter i organisationen som liknar den aktuella incidenten. Incidenthanteringsteam kan också visa användarinformation för reparationsåtgärder, till exempel återställning av lösenord.

Skärmbild som visar den information som ingår i ett guidat svar.

Alla incidenter/aviseringar ger inte guidade svar. Guidade svar är tillgängliga för incidenttyper som nätfiske, komprometterande affärsmeddelanden och utpressningstrojaner.

Analysera skript och koder

Skriptanalysfunktionen för Copilot i Microsoft Defender XDR ger säkerhetsteam ökad kapacitet för att inspektera skript och kod utan att använda externa verktyg. Den här funktionen minskar också komplexiteten i analys, minimerar utmaningar och gör det möjligt för säkerhetsteam att snabbt utvärdera och identifiera ett skript som skadligt eller ofarligt.

Det finns flera sätt att komma åt funktionen för skriptanalys. Bilden som följer visar processträdet för en avisering som innehåller körning av ett PowerShell-skript. Om du väljer knappen Analysera genereras Copilot-skriptanalysen.

Skärmbild som visar alternativet att analysera ett PowerShell-skript.

Generera KQL-frågor

Copilot i Microsoft Defender XDR levereras med en frågeassistentfunktion i avancerad jakt.

För att få åtkomst till det naturliga språket till KQL-frågeassistenten väljer användare med åtkomst till Copilot avancerad jakt i det vänstra navigeringsfönstret i Defender XDR-portalen.

Copilot tillhandahåller uppmaningar som du kan använda för att börja jaga efter hot med Copilot, eller så kan du skriva en egen fråga om naturligt språk i snabbfältet för att generera en KQL-fråga. Till exempel"Ge mig alla enheter som loggat in under de senaste 10 minuterna." Copilot genererar sedan en KQL-fråga som motsvarar begäran med hjälp av dataschemat för avancerad jakt.

Användaren kan sedan välja att köra frågan genom att välja Lägg till och köra. Den genererade frågan visas sedan som den sista frågan i frågeredigeraren. Om du vill göra ytterligare justeringar väljer du Lägg till i redigeraren.

Skapa incidentrapporter

En omfattande och tydlig incidentrapport är en viktig referens för säkerhetsteam och hantering av säkerhetsåtgärder. Att skriva en omfattande rapport med viktig information kan dock vara en tidskrävande uppgift för säkerhetsteam eftersom det handlar om att samla in, organisera och sammanfatta incidentinformation från flera källor. Säkerhetsteam kan nu omedelbart skapa en omfattande incidentrapport i portalen.

En incidentsammanfattning ger en översikt över en incident och hur den inträffade, men en incidentrapport konsoliderar incidentinformation från olika datakällor som är tillgängliga i Microsoft Sentinel och Microsoft Defender XDR. Incidentrapporten innehåller också alla analytikerdrivna steg och automatiserade åtgärder, de analytiker som deltar i svaret, kommentarerna från analytikerna med mera.

För att skapa en incidentrapport väljer användaren Generera incidentrapport i det övre högra hörnet på incidentsidan eller ikonen i fönstret Copilot. När incidentrapporten har genererats visar valet av ellipser i incidentrapporten användaren med alternativet att kopiera rapporten till Urklipp, publicera till en aktivitetslogg, återskapa rapporten eller välja att öppna i den fristående Copilot-upplevelsen.

Analysera filer

Avancerade attacker använder ofta filer som efterliknar legitima filer eller systemfiler för att undvika identifiering. Med Copilot i Microsoft Defender XDR kan säkerhetsteam snabbt identifiera skadliga och misstänkta filer via AI-baserade filanalysfunktioner.

Det finns många sätt att komma åt den detaljerade profilsidan för en specifik fil. I det här exemplet navigerar du till filer via incidentdiagrammet för en incident med påverkade filer. Incidentdiagrammet visar hela omfattningen av attacken, hur attacken spred sig genom nätverket över tid, var den startade och hur långt angriparen gick.

I incidentdiagrammet visas alternativet för att visa filer genom att välja filer. Om du väljer visningsfiler öppnas en panel till höger i skärmlistan som påverkade filer. Om du väljer en fil visas en översikt över filinformationen och alternativet för att analysera filen. Om du väljer Analysera öppnas Copilot-filanalysen.

Sammanfatta enheter och identiteter

Med funktionen för enhetssammanfattning för Copilot i Defender kan säkerhetsteam få en enhets säkerhetsstatus, sårbar programvaruinformation och ovanliga beteenden. Säkerhetsanalytiker kan använda en enhets sammanfattning för att påskynda undersökningen av incidenter och aviseringar.

Det finns många sätt att komma åt en enhetssammanfattning. I det här exemplet navigerar du till enhetssammanfattningen via sidan incidenttillgångar. Om du väljer fliken Tillgångar för en incident visas alla tillgångar. Välj Enheter i den vänstra navigeringspanelen och välj sedan ett specifikt enhetsnamn. På översiktssidan som öppnas till höger är alternativet att välja Copilot.

På samma sätt kan Copilot i Microsoft Defender XDR sammanfatta identiteter.

Flytta till den fristående upplevelsen

Som analytiker med Microsoft Defender XDR kommer du förmodligen att tillbringa mycket tid i Defender XDR, så den inbäddade upplevelsen är ett bra ställe att starta en säkerhetsundersökning på. Beroende på vad du lär dig kan du fastställa att en djupare undersökning behövs. I det här scenariot kan du enkelt övergå till den fristående upplevelsen för att genomföra en mer detaljerad undersökning mellan produkter som ger dig alla Copilot-funktioner som är aktiverade för din roll.

För innehåll som genereras via den inbäddade upplevelsen kan du enkelt övergå till den fristående upplevelsen. Om du vill flytta till den fristående upplevelsen väljer du ellipserna i det genererade innehållsfönstret och väljer sedan Öppna i Security Copilot.

Skärmbild som visar alternativet att öppna i Security Copilot, som är tillgängligt genom att välja ellipserna i fönstret AI-genererat innehåll.