在 Microsoft Defender 中使用 Microsoft Copilot 汇总事件

Microsoft Defender XDR应用Security Copilot的功能来汇总事件,提供有影响力的信息和见解来简化调查任务。 事件响应团队要成功保护组织免受网络威胁的进一步损害,攻击调查是关键的一步。 调查通常很耗时,因为它涉及许多步骤。 事件响应团队需要了解攻击是如何发生的:整理大量警报,确定涉及到哪些资产和实体,并评估攻击的范围和影响。

本指南概述了预期内容,还简要介绍了如何访问 Defender 中的 Copilot 汇总功能(包括有关提供反馈的信息)。

在开始之前了解

如果你不熟悉Security Copilot,应阅读以下文章来熟悉它:

事件响应者可以通过Defender XDR的相关功能和Security Copilot AI 支持的数据处理和上下文化轻松获取正确的上下文来调查和修正事件。 通过事件摘要,响应者可以快速获取重要信息来帮助推进调查。

Microsoft Defender 中的Security Copilot集成

事件摘要功能在Microsoft Defender门户中提供,供有权预配Security Copilot的客户使用。

此功能也可通过 Microsoft Defender XDR 插件在Security Copilot独立体验中使用。 详细了解 Security Copilot 中的预安装插件

关键功能

包含最多 100 个警报的事件可以汇总到一个事件摘要中。 根据数据的可用性,事件摘要包括以下信息:

  • 攻击开始的时间和日期。
  • 发起攻击的实体或资产。
  • 关于攻击如何展开的时间表摘要。
  • 攻击所涉及的资产。
  • 入侵指标 (IoC)。
  • 涉及的威胁行动者的名称。

若要汇总事件,请执行以下步骤:

  1. 打开事件页面。 在打开页面时,Copilot 会自动创建事件摘要。 可选择“取消”来停止创建摘要,选择“重新生成”来重新开始创建。

  2. 事件摘要卡会在 Copilot 窗格上加载。 在卡片上查看生成的摘要。

    屏幕截图显示 Copilot 窗格上的事件摘要卡,如Microsoft Defender事件页所示。

    提示

    可以通过单击结果中的证据,从 Copilot 结果窗格导航到文件、IP 或 URL 页。

  3. 选择事件摘要顶部的“更多操作”省略号 (...) 卡复制或重新生成摘要,或在Security Copilot门户中查看摘要。 选择“在安全 Copilot 中打开”将打开安全 Copilot 独立门户的新选项卡,可在其中输入提示并访问其他插件。

    显示事件摘要卡上可用的操作的屏幕截图。

  4. 查看摘要并使用信息指导调查和响应事件。

示例事件摘要提示

在Security Copilot独立门户中,可以使用以下提示生成事件摘要:

  • 提供 Defender 事件 {incident ID} 的摘要。

提示

在 Security Copilot 门户中生成事件摘要时,Microsoft建议在提示中包含“Defender”一词,以确保事件摘要功能提供结果。

提供反馈

Microsoft强烈建议你向 Copilot 提供反馈,因为它对于功能的持续改进至关重要。 可以通过选择“Copilot”窗格底部的“在 Defender 卡片中找到的 Copilot 的屏幕截图”反馈图标提供有关摘要的反馈。

另请参阅

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区