使用 Microsoft Defender 中的Microsoft Copilot汇总标识信息
调查用户的安全运营团队可以使用 Microsoft Defender Microsoft Security Copilot 中的标识摘要功能轻松了解标识信息。 通过生成 AI 和利用Microsoft Defender for Identity的强大功能,Copilot 创建有关组织中标识的上下文见解,帮助分析师快速了解重要数据以加快调查速度。
借助标识摘要功能,分析师可以立即识别对组织产生负面影响的可疑或风险标识相关更改和操作。 摘要还包括影响标识的潜在错误配置。 Copilot 使用自然语言提供清晰且可操作的用户信息,分析师可以在其事件调查活动中使用这些信息。 该功能当前侧重于用户,并将在其下一次迭代中包括服务帐户。
本指南介绍什么是标识摘要功能及其工作原理,包括如何提供有关生成结果的反馈。
在开始之前了解
如果你不熟悉Security Copilot,应阅读以下文章来熟悉它:
借助标识摘要功能,分析师可以立即识别对组织产生负面影响的可疑或风险标识相关更改和操作。 摘要还包括影响标识的潜在错误配置。 Copilot 使用自然语言提供清晰且可操作的用户信息,分析师可以在其事件调查活动中使用这些信息。 该功能当前侧重于用户,并将在其下一次迭代中包括服务帐户。
Microsoft Defender 中的Security Copilot集成
标识摘要功能在Microsoft Defender门户中提供,供具有预配Security Copilot访问权限的客户使用。
访问 Security Copilot 独立门户的用户可以通过 Microsoft Defender XDR 插件使用此功能。 详细了解 Security Copilot 中的预安装插件。
关键功能
标识摘要包含有关标识的基本信息,包括:
- 创建用户帐户的日期,以及用户帐户是高、中还是低严重性
- 与登录位置、登录频率或登录尝试失败频率相关的任何异常行为模式
- 用户的当前角色,包括其部门和职位,以及与用户的职务和部门相比是否有显著的角色更改,以突出显示不一致
- 有关过去 30 天内用户上次登录设备的数据,无论设备是否与用户关联
- 使用的身份验证方法和应用程序
- 基于Microsoft Entra ID与用户关联的风险
- 常规信息,例如用户的专业职称和联系信息、部门及其经理的联系信息
可以通过以下方式访问标识摘要功能:
在事件页上,选择事件图上的标识,然后 (1) 选择 “用户详细信息”。 在用户详细信息窗格中, (2) 选择 “汇总”。 结果显示在 Copilot 侧面板中。
或者,可以选择“用户详细信息”窗格底部的“ 转到用户页 ”以打开用户页面。 Copilot 在打开用户页面时自动生成标识摘要并显示侧面板。
还可以通过在事件的“ 资产 ”选项卡中选择用户来访问标识摘要功能。 在用户详细信息窗格中选择“ 汇总 ”以生成标识摘要。
在警报页中,选择用户,然后在用户详细信息窗格中选择“ 汇总 ”以生成标识摘要。
在高级搜寻页中,可以通过在结果表中选择用户,然后选择指向用户页面的链接来访问标识摘要功能。 Copilot 在打开用户页面时自动生成标识摘要并显示侧面板。
在“main”菜单中,导航到“资产>标识”。 从列表中选择用户名,然后选择“ 查看用户页 ”以打开用户页。 Copilot 在打开用户页面时自动生成标识摘要并显示侧面板。
在Microsoft Defender门户的搜索框中键入用户名,然后从搜索结果中选择用户名。 在“用户详细信息”侧面板中,选择“ 汇总 ”以生成标识摘要。
查看标识摘要结果。 可以通过选择标识摘要卡顶部的“更多操作”省略号 (...) ,将结果复制到剪贴板、重新生成结果或打开Security Copilot。 可以使用Security Copilot门户中的提示和其他插件来扩展对标识的调查。
示例标识摘要提示
在Security Copilot独立门户中,可以使用以下提示生成标识摘要:
- 显示上一个 {time frame} 中此用户的 Defender 摘要。
提示
在Security Copilot门户中调查用户时,Microsoft建议在提示中包含“Defender”一词,以确保标识摘要功能提供结果。 在调查时间范围内,最多可以指定 120 天,如果未指定 30 天,则默认值为 30 天。
提供反馈
Microsoft强烈建议你向 Copilot 提供反馈,因为它对于功能的持续改进至关重要。 若要提供反馈,请导航到 Copilot 侧面板底部,然后选择“反馈”图标“ 。
填写专用文本框以分享你的想法、体验和请求。 Microsoft重视你的反馈,并认真对待我们提升 Copilot 性能和用户体验的承诺。
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。