使用Microsoft Security Copilot进行威胁情报

适用于:

重要

2024 年 6 月 30 日,Microsoft Defender 威胁智能 (Defender TI) 独立门户 (https://ti.defender.microsoft.com) 已停用,不再可访问。 客户可以在Microsoft Defender门户中继续使用 Defender TI,也可以使用Microsoft Security Copilot了解更多

Defender 中的Microsoft Copilot应用 Microsoft Security Copilot 的功能,将Microsoft Defender 威胁智能 (Defender TI) 有关威胁参与者和工具的信息以及上下文威胁情报直接传递到Microsoft Defender门户。 根据威胁分析报告、情报档案和其他可用的 Defender TI 内容,你可以使用 Defender 中的 Copilot 汇总影响你的组织的最新威胁,根据暴露级别确定要优先处理哪些威胁,或获取有关你组织或全球威胁态势的更多知识。

注意

Defender TI 功能也可通过 Microsoft 威胁情报插件在Security Copilot独立体验中使用。 详细了解 Defender TI 与 Security Copilot 集成

技术要求

Security Copilot客户在 Defender 门户中为每个经过身份验证的 Copilot 用户获取对 Defender TI 的访问权限。 了解如何开始使用Security Copilot

使用 Defender 中的 Copilot 处理威胁情报内容

可以在 Defender 门户的以下页面中体验Security Copilot查找威胁情报的功能:

  • 威胁分析
  • Intel 配置文件
  • Intel 资源管理器
  • 情报项目

尝试第一个请求

  1. 从 Defender 门户导航栏打开之前提到的任何页面。 Copilot 侧窗格显示在右侧。

    显示“Microsoft Defender门户威胁分析”页的屏幕截图,其中突出显示了 Defender 侧窗格中的打开Microsoft Copilot。

    还可以通过选择页面顶部的 Copilot 图标屏幕截图来重新打开 Copilot,该图标在Microsoft Defender门户中显示 Copilot 图标

  2. 在 Copilot 提示栏中,询问想要详细了解的威胁参与者、攻击活动或任何其他威胁情报,然后选择“ 发送消息 ”图标 屏幕截图,其中显示了 Defender 中的 Copilot 中的“发送消息”图标, 或按 Enter请参阅 Defender TI 的示例提示

  3. Copilot 通过你的文本说明或问题生成响应。 当 Copilot 正在生成时,你可以通过选择“停止生成”来取消响应。

    显示 Defender 中的 Copilot 生成响应的屏幕截图,提示“提供对组织的最新威胁的概述”。

  4. 查看生成的响应。 Copilot 通常会生成包含摘要和指向相关 Defender TI 情报档案和文章的链接的响应。

    显示 Defender 中 Copilot 生成的响应的屏幕截图。

  5. 可以通过选择“ 提供反馈 ”图标“ 屏幕截图,显示 Defender 中 Copilot 中的”提供反馈“图标 ,然后选择” 正确显示“、” 需要改进“或” 不当“来提供有关生成的响应的反馈。 了解更多

  6. 若要启动与 Copilot 的新聊天会话,请选择“ 新建聊天 ”图标 屏幕截图,其中显示了 Defender 中 Copilot 中的“新建聊天”图标

注意

Copilot 将会话从 Defender 门户保存在Security Copilot独立门户中。 若要查看以前的会话,请从 Copilot 的主页菜单转到“我的会话”。 详细了解如何导航Microsoft Security Copilot

重要

你每次导航到 Defender 门户中的其他威胁情报页面(例如,从“威胁分析”转到“情报档案”时),Defender 中的 Copilot 都会启动新的聊天会话。 如果想要返回或继续上一个会话,请转到Security Copilot独立门户。

使用内置 Defender TI 提示

访问“威胁情报”页面时,Defender 中的 Copilot 还有以下内置提示来帮助你开始使用:

显示“Microsoft Defender门户威胁分析”页的屏幕截图,其中突出显示了“Defender 中打开的 Copilot”侧窗格中的内置提示。

收集和摘要威胁情报数据和趋势可能是一项令人生畏的任务,尤其是当它们来自多个数据集和源时。 如果希望 Copilot 概述你的环境中的最新威胁,请选择“汇总”提示。 Copilot 会列出并汇总相关威胁行为、活动和威胁行动者,并包含指向相关威胁分析报告或情报档案的链接,以提供详细信息。

确定要关注的威胁的优先级

Copilot 会根据你的环境对这些威胁的最高暴露级别提供应优先处理和关注哪些威胁的见解。 如果要找出哪些威胁可能会对组织产生重大影响,请选择“优先级”提示。 此提示可为你提供一个起点,因此可以降低会审、调查和缓解事件的复杂性。

询问针对通信基础结构行业的威胁参与者

威胁情报的一个重要方面是与全球威胁态势保持同步。 选择 “询问提示” ,如果希望 Copilot 汇总针对通信基础结构行业的威胁参与者的最新威胁文章,以便你可以收集有关其最新 TTP 或市场活动的信息,并及时评估和应用缓解或预防策略。

另请参阅