使用 Microsoft Defender 中的 Microsoft Copilot 汇总设备信息

Microsoft Defender门户中的Microsoft Security Copilot可帮助安全团队通过 AI 支持的调查功能加快设备检查速度。

在开始之前了解

如果你不熟悉Security Copilot,应阅读以下文章来熟悉它:

安全运营团队的任务是筛选设备数据,以查找可疑活动或实体来防止恶意攻击。 这些团队需要汇总大量数据并简化复杂信息,以快速评估、会审设备的状态和活动,并将其与潜在恶意攻击联系起来。

借助 Defender 中 Copilot 的设备摘要功能,安全团队能够获取设备的安全状况、易受攻击的软件信息以及任何异常行为。 安全分析人员可以使用设备摘要来加快事件和警报的调查。

Microsoft Defender 中的Security Copilot集成

设备摘要功能在 Microsoft Defender 门户中提供,适用于已预配Security Copilot访问权限的客户。

此功能也可通过 Microsoft Defender XDR 插件在Security Copilot独立门户中使用。 详细了解 Security Copilot 中的预安装插件

关键功能

Copilot 生成的设备摘要包含有关设备的重要信息,其中包括:

  • 重要Microsoft Defender XDR保护功能的状态,例如攻击面减少和篡改防护
  • 观察到的任何重要用户活动,例如异常登录尝试
  • 设备中安装的易受攻击软件的列表
  • 导致设备风险的其他安全功能(如防火墙设置)的状态
  • 表示设备状态的其他重要见解,例如设备上次处于活动状态的时间
  • Microsoft Intune 提供的设备见解,例如有关设备主要用户、设备组或已发现应用的信息

可以通过以下方式访问设备摘要功能:

  • 在主菜单中,通过选择“资产”下的“设备”打开“设备清单”页。 从列表中选择要调查的设备。 打开设备页后,Copilot 会自动汇总所选设备的设备信息,并在 Copilot 窗格中显示摘要。

    Defender 中 Copilot 中的设备摘要结果的屏幕截图。

  • 在事件页中,可以在事件图上选择设备,然后 (1) 选择“ 设备详细信息”。 在设备窗格中, (2) 选择“ 汇总 ”以生成设备摘要。 摘要将会显示在 Copilot 窗格中。

    屏幕截图中突出显示了在 Defender 中 Copilot 的事件页中访问设备摘要的步骤。

    还可以通过选择在事件的“资产”选项卡中列出的设备来访问设备摘要功能。 在设备窗格中选择“Copilot”以生成设备摘要。

    屏幕截图中突出显示了 Defender 中 Copilot 事件页“资产”选项卡中的设备摘要选项。

查看设备摘要的结果。 可以通过选择设备摘要卡顶部的“更多操作”省略号 (...) ,将结果复制到剪贴板、重新生成结果或打开Security Copilot门户。

示例设备摘要提示

在Security Copilot独立门户中,可以使用以下提示生成设备摘要:

  • 在 Defender 事件 {事件编号中汇总设备信息。

提示

在Security Copilot门户中调查设备时,Microsoft建议在提示中包含“Defender”一词,以确保设备摘要功能提供结果。

提供反馈

你的反馈有助于提高 Copilot 生成的结果的质量。 可以通过导航到 Copilot 窗格底部并选择“反馈”图标(Defender 中 Copilot 的反馈图标的屏幕截图)来提供有关结果的反馈。

另请参阅

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区