Microsoft Defender 中的 Microsoft Copilot

注意

Microsoft Defender XDR为Microsoft Defender for Endpoint(Microsoft Defender for Identity)提供统一的 XDR 体验漏洞管理的Microsoft Defender for Office 365、Microsoft Defender for Cloud Apps和Microsoft Defender。 在什么是Microsoft Defender XDR中详细了解此漏洞前和入侵后防御套件?

本文为Microsoft Defender中的Microsoft Copilot用户提供概述,包括访问步骤、关键功能以及这些功能的详细信息链接。

在开始之前了解

如果你不熟悉Security Copilot,应阅读以下文章来熟悉它:

Microsoft Defender 中的Microsoft Copilot集成

Microsoft Security Copilot将 AI 的强大功能和人类专业知识汇集在一起,帮助安全团队更快、更有效地应对攻击。 Security Copilot嵌入在 Microsoft Defender 门户中,以帮助为安全团队提供增强的功能,以调查和响应事件、搜寻威胁以及使用相关的威胁情报保护其组织。 Defender 中的 Copilot 可供已预配Security Copilot访问权限的用户使用。

关键功能

像专家一样调查和响应事件

使安全团队能够轻松精确及时地处理攻击调查。 Copilot 可帮助团队立即了解攻击、快速分析可疑文件和脚本,并及时评估并应用适当的缓解措施来停止和抑制攻击。

快速汇总事件

调查具有多个警报的事件可能是一项令人生畏的任务。 若要立即了解事件,可以点击 Copilot 让它为你汇总事件。 Copilot 创建攻击概述。 概述包含重要信息,供你了解攻击中发生的事件、涉及的资产以及攻击时间线。 导航到事件页面时 Copilot 将自动创建摘要。

该屏幕截图显示了 Microsoft Defender 事件页中看到的“Copilot”窗格上的“事件摘要”卡。

通过引导响应对事件采取措施

解决事件需要分析人员了解攻击,从而知晓合适的解决方案。 Copilot 通过特定于每个事件的引导式响应来推荐解决方案。

屏幕截图,其中突出显示了“Microsoft Defender 事件”页中的引导式响应的 Copilot 窗格。

轻松运行脚本分析

大多数攻击者在发起攻击时依赖复杂的恶意软件来避免检测和分析。 这些恶意软件通常经过模糊处理,可能采用 PowerShell 中的脚本或命令行的形式。 Copilot 可以快速分析脚本,从而缩短调查时间。

突出显示事件页中攻击情景视图中的脚本分析按钮的屏幕截图。

生成设备摘要

调查事件中涉及的设备可能是一项艰巨的任务。 为了快速评估设备,Copilot 可以汇总设备的信息,包括设备的安全状况、任何异常行为、易受攻击的软件列表以及相关的 Microsoft Intune 信息。

Defender 中 Copilot 中的设备摘要结果的屏幕截图。

及时分析文件

Copilot 通过文件分析帮助安全团队快速评估和了解可疑文件。 Copilot 提供文件的摘要,包括检测信息、相关文件证书、API 调用列表以及在文件中找到的字符串。

Defender 中的 Copilot 中文件分析结果的屏幕截图,其中突出显示了“隐藏详细信息”选项。

立即调查标识

使用 Copilot 生成 标识摘要 ,快速评估用户的风险。 使用有关用户角色和角色更改、登录行为、登录设备和相关联系信息的上下文信息确定标识何时面临风险或可疑。

显示用户详细信息窗格中的“汇总”选项的屏幕截图。

高效编写事件报告

安全运营团队通常会编写报告来记录重要信息,包括采取了哪些响应操作和相应结果、涉及的团队成员,以及其他有助于未来安全决策和学习的信息。 通常,记录事件可能很耗时。 若要使事件报告生效,它必须包含事件的摘要以及执行的操作,包括谁以及何时采取了哪些操作。 Copilot 通过快速整合这些信息片段来生成事件报告

事件页中事件报告卡的屏幕截图,其中显示了卡片的上半部分。

像专业人士一样搜寻

Defender 中的 Copilot 通过快速构建适当的 KQL 查询,帮助安全团队主动在网络中搜寻威胁。

从自然语言输入生成 KQL 查询

使用高级搜寻在网络中主动搜寻威胁的安全团队现在可以使用查询助手,将威胁搜寻上下文中的任何自然语言问题转换为随时可运行的 KQL 查询。 查询助手通过生成 KQL 查询来节省安全团队的时间,该查询随后可以根据分析师需求自动运行或进一步调整。 在高级搜寻中的安全 Copilot 中了解有关查询助手的详细信息。

高级搜寻中的 Copilot 窗格的屏幕截图。

使用相关威胁情报保护组织

使你的安全组织能够使用最新的威胁情报做出明智的决策。 Copilot 能够整合并汇总威胁情报,帮助安全团队确定威胁的优先级并有效地响应它们。

监视威胁情报

要求 Copilot 汇总影响你环境的相关威胁、根据暴露级别确定解决威胁的优先级,或查找可能针对你的行业的威胁行动者。 详细了解威胁情报中的Security Copilot

Defender XDR 中威胁情报中“Copilot”窗格的屏幕截图。

访问 Defender 中的 Copilot

若要确保你有权访问 Defender 中的 Copilot,请参阅Security Copilot购买和许可信息。 有权访问Security Copilot后,关键功能将在Microsoft Defender门户中可用。

Copilot 中的示例提示

在Microsoft Defender门户中,可以找到示例提示,以帮助你导航和使用某些 Copilot 功能。 提示旨在帮助你了解这些功能以及如何有效地使用这些功能。 下面是门户中可能会看到的一些提示示例:

高级搜寻提示:

突出显示高级搜寻页中的 Copilot 提示的屏幕截图。

威胁情报提示:

突出显示威胁情报页中的 Copilot 提示的屏幕截图。

可以使用自然语言提示在独立门户中Security Copilot扩展调查。 下面是可在提示栏中键入的示例提示,以帮助汇总事件并添加建议:

  • 键入 “汇总事件 {incident number}”,最后提供一组建议 以生成事件摘要和建议。
  • 键入 有关脚本中指标的信誉,可以告诉我什么?他们是恶意的吗?如果是,为什么? 分析脚本并生成有关脚本的详细信息。

Copilot 中的提示可帮助你有效地导航和使用功能。 还可以使用提示栏生成 KQL 查询、汇总事件和分析文件。 请参阅在有效提示中创建 有效提示的提示。 还可以使用预生成的提示簿来帮助你开始使用 Copilot。 若要了解有关 promptbook 的详细信息,请参阅 Copilot 中的 promptbooks

提供反馈

所有 Defender 中的 Copilot 功能都有提供反馈的选项。 若要提供反馈,请执行以下步骤:

  1. 选择反馈图标 Defender 卡片中 Copilot 反馈图标的屏幕截图。位于 Copilot 侧面板卡任何结果的底部。
  2. 如果认为结果准确,请选择“ 正确显示 ”。 你可以在下一个对话框中提供详细信息。
  3. 如果将结果评估为缺失或不完整,请选择“ 需要改进 ”。 可以在下一个对话框中提供有关评估的详细信息,并将此评估提交给 Microsoft。
  4. 如果结果包含可疑或模棱两可的信息,还可以选择“ 不适当”来报告结果。 在下一个对话框中提供有关结果的详细信息,然后选择“提交”。

隐私和数据安全

Copilot 使用存储处理共享数据不断改进,具体取决于你的管理员定义的设置。 Microsoft 可确保使用 Copilot 时数据始终受到保护且安全。 若要详细了解 Copilot 中的数据安全和隐私,请参阅 Copilot 中的隐私和数据安全

由于其持续改进,Copilot 可能会错过一些内容。 查看并提供有关结果的反馈,这有助于改进 Copilot 的未来响应。

Security Copilot 中的插件

Copilot 使用预安装的 Microsoft 插件(如 Microsoft Defender XDR、Defender 威胁智能、适用于 Microsoft Sentinel 的自然语言到 KQL、Defender XDR 插件)生成相关信息、为事件提供更多上下文,并生成更准确的结果。 确保在 Copilot 中启用插件以允许访问相关数据,并从组织中的其他 Microsoft 服务生成请求的内容。

后续步骤

另请参阅

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区