Microsoft Defender 威胁智能 中的Microsoft Security Copilot

重要

2024 年 6 月 30 日,Microsoft Defender 威胁智能 (Defender TI) 独立门户 (https://ti.defender.microsoft.com) 已停用,不再可访问。 客户可以在Microsoft Defender门户中继续使用 Defender TI,也可以使用Microsoft Security Copilot了解更多

Microsoft Security Copilot是一个基于云的 AI 平台,可提供自然语言辅助体验。 它可以帮助支持不同方案中的安全专业人员,例如事件响应、威胁搜寻和情报收集。 有关它可以执行的操作的详细信息,请阅读什么是Microsoft Security Copilot?

Security Copilot客户的每个经过身份验证的 Copilot 用户都可以访问 Microsoft Defender 威胁智能 (Defender TI) 。 若要确保你有权访问 Copilot,请参阅Security Copilot购买和许可信息

有权访问Security Copilot后,可以在Security Copilot门户或Microsoft Defender门户中访问本文中讨论的主要功能。

在开始之前了解

如果你不熟悉Security Copilot,应该通过阅读以下文章来熟悉它:

defender TI 中的Security Copilot集成

Security Copilot提供有关威胁参与者的信息、入侵指标 (IOC) 、工具和漏洞,以及 Defender TI 的上下文威胁情报。 可以使用提示和提示本来调查事件、使用威胁情报信息扩充搜寻流,或者获取有关组织或全球威胁形势的更多知识。

  • 提示要清晰和具体。 如果在提示中包含特定的威胁行动者名称或 IOC,可能会得到更好的结果。 如果在提示中添加威胁情报,也可能会有所帮助,例如:

    • 显示 Aqua Blizzard 的威胁情报数据。
    • 汇总“malicious.com”的威胁情报数据。
  • 在引用事件时要具体(例如,“事件 ID 15324”)。

  • 尝试使用不同提示和变体,以查看最适合你的用例的提示和变体。 聊天 AI 模型各不相同,因此根据收到的结果循环访问和优化提示。

  • Copilot 保存提示会话。 若要查看以前的会话,请从“开始Security Copilot”菜单中转到“我的会话”。

    显示“Microsoft Security Copilot”主页“菜单的屏幕截图,其中突出显示了”我的会话”。

    注意

    有关 Copilot 的演练(包括固定和共享功能),请阅读导航Microsoft Security Copilot

详细了解如何创建有效提示

关键功能

Security Copilot可让安全团队立即了解威胁情报信息、确定其优先级并采取措施。

可以询问威胁行动者、攻击活动或你想要详细了解的任何其他威胁情报,Copilot 会根据威胁分析报告、Intel 配置文件和文章以及其他 Defender TI 内容生成响应。

还可以选择 Defender 门户中提供的任何内置提示来执行以下操作:

  • 汇总与你的组织相关的最新威胁
  • 根据环境对这些威胁的最高暴露级别确定要关注的威胁的优先级
  • 询问 针对通信基础结构行业的威胁参与者

详细了解如何在 Defender 中使用 Copilot 获取威胁情报

在 Defender TI 中启用Security Copilot集成

  1. 转到 Microsoft 安全 Copilot,然后使用登录信息登录。

  2. 确保已打开Microsoft威胁情报插件。 在提示栏中,选择“”图标 “源”图标的屏幕截图。

    Microsoft Security Copilot中提示栏的屏幕截图,其中突出显示了“源”图标。

    在出现的“ 管理源” 弹出窗口中,在 “插件”下,确认“ Microsoft威胁情报 ”开关已打开,然后关闭窗口。

    “管理插件”弹出窗口的屏幕截图,其中突出显示了“Microsoft威胁情报”插件。

    注意

    某些角色可以打开或关闭Microsoft威胁情报等插件的开关。 有关详细信息,请阅读在 Microsoft Security Copilot 中管理插件

  3. 在提示栏中输入提示。

内置系统功能

Security Copilot具有内置的系统功能,可以从打开的不同插件获取数据。

要查看 Defender TI 的内置系统功能列表,请执行以下步骤:

  1. 在提示栏中,选择“提示”图标 提示”图标的“屏幕截图”。

    Microsoft Security Copilot中提示栏的屏幕截图,其中突出显示了提示图标。

  2. 选择“查看所有系统功能”。 “ Microsoft威胁情报 ”部分列出了可以使用的 Defender TI 的所有可用功能。

Copilot 还具有以下提示本,其中也提供来自 Defender TI 的信息:

若要查看这些提示本,请在提示栏中选择“提示”图标,然后选择“查看所有提示本”。

示例 Defender TI 提示

可以使用许多提示从 Defender TI 获取信息。 本部分列出了一些想法和示例。

从威胁文章和威胁行动者那里获取威胁情报。

示例提示

  • 汇总最近的威胁情报。
  • 向我显示最新的威胁文章。
  • 获取过去六个月内与勒索软件相关的威胁文章。

威胁行动者映射和基础结构

获取威胁行动者及与之关联的战术、技术和程序 (TTP)、资助国家/地区、行业和 IOC 的相关信息。

示例提示:

  • 告诉我有关 Silk Typhoon 的详细信息。
  • 共享与 Silk Typhoon 相关的 IOC。
  • 共享与 Silk Typhoon 相关的 TTP。
  • 共享与俄罗斯相关的威胁行动者。

按 CVE 提供的漏洞数据

获取有关常见漏洞和暴露的上下文信息和威胁情报 (CVE) ,这些信息派生自 Defender TI 文章、威胁分析报告以及来自Microsoft Defender 漏洞管理Microsoft Defender 外部攻击面管理的数据。

示例提示:

  • 共享易受 CVE-2021-44228 漏洞影响的技术。
  • 汇总 CVE-2021-44228 漏洞。
  • 显示最新的 CVE。
  • 显示与 CVE-2021-44228 关联的威胁行动者。
  • 显示与 CVE-2021-44228 关联的威胁文章。

与威胁情报相关的指标数据

获取有关指示器 (的详细信息,例如,根据 Defender TI 中提供的众多 数据集) IP 地址、域和文件哈希,包括信誉分数、WHOIS 信息、域名系统 (DNS) 、主机对和证书。

示例提示:

  • 有关域名<>,可以告诉我什么?
  • 显示与域名>相关的<指标。
  • 显示域名>的所有解决方法<
  • 显示与域名>相关的<主机对。
  • 向我显示主机 主机名<> 的信誉。
  • 显示 IP 地址 IP 地址<>的所有解决方法。
  • IP 地址>中<显示打开的服务。

提供反馈

你对 Security Copilot 中 Defender TI 集成的反馈有助于开发。 若要提供反馈,请在 Copilot 中选择“ 此响应如何?” 在每个已完成的提示符的底部,选择以下任一选项:

  • 看起来正确 - 如果你评估认为结果准确,请选择此按钮。
  • 需要改进 - 如果你评估认为结果中的任何详细信息不正确或不完整,请选择此按钮。
  • 不适当 - 如果结果包含可疑、不明确或可能有害的信息,请选择此按钮。

对于每个反馈按钮,可以在显示的下一个对话框中提供详细信息。 当结果需要改进时,只要有可能,就请写几句话,解释可以采取哪些措施来改善结果。 如果输入了特定于 Defender TI 的提示,并且结果不相关,请包含该信息。

安全 Copilot 中的隐私和数据安全

与 Security Copilot 交互以获取 Defender TI 数据时,Copilot 会从 Defender TI 拉取该数据。 系统会处理提示、检索到的数据以及提示结果中显示的输出,并将其存储在 Copilot 服务中。 在 Microsoft Security Copilot 中详细了解隐私和数据安全

另请参阅