使用 Microsoft Defender 中的 Microsoft Copilot 摘要身分識別資訊
調查使用者的安全性作業小組可以使用 Microsoft Defender 中 Microsoft Security Copilot 中的身分識別摘要功能,輕鬆地瞭解身分識別資訊。 透過產生 AI 並運用 適用於身分識別的 Microsoft Defender 能力,Copilot 會建立有關組織中身分識別的內容深入解析,協助分析師快速瞭解重要數據以加速調查。
利用身分識別摘要功能,分析師可以立即識別可疑或具風險的身分識別相關變更,以及可能會對組織造成負面影響的動作。 摘要也包含影響身分識別的潛在錯誤設定。 使用自然語言,Copilot 提供清楚且可採取動作的使用者資訊,讓分析師可以在其事件調查活動中使用。 此功能目前著重於使用者,並將服務帳戶包含在其下一個反覆專案中。
本指南說明身分識別摘要功能是什麼及其運作方式,包括如何提供所產生結果的意見反應。
開始之前的須知事項
如果您不熟悉 Security Copilot,請閱讀下列文章來熟悉它:
- 什麼是 Security Copilot?
- Security Copilot 體驗
- 開始使用安全性 Copilot
- 瞭解 Security Copilot 中的驗證
- 在 Security Copilot 中提示
利用身分識別摘要功能,分析師可以立即識別可疑或具風險的身分識別相關變更,以及可能會對組織造成負面影響的動作。 摘要也包含影響身分識別的潛在錯誤設定。 使用自然語言,Copilot 提供清楚且可採取動作的使用者資訊,讓分析師可以在其事件調查活動中使用。 此功能目前著重於使用者,並將服務帳戶包含在其下一個反覆專案中。
Microsoft Defender中的 Security Copilot整合
身分識別摘要功能可在 Microsoft Defender 入口網站中供已布建存取 Security Copilot的客戶使用。
存取 Security Copilot 獨立入口網站的使用者可以透過 Microsoft Defender 全面偵測回應 外掛程式來使用此功能。 深入瞭解 Security Copilot 中預安裝的外掛程式。
重點功能
身分識別摘要包含關於身分識別的基本資訊,包括:
- 建立用戶帳戶的日期,以及用戶帳戶是否為高、中或低重要性
- 任何與登入位置、登入頻率或登入嘗試失敗頻率相關的異常行為模式
- 使用者目前的角色,包括其部門和職位,以及相較於用戶的職稱和部門,是否有值得注意的角色變更,以強調不一致
- 過去 30 天內用戶最後一次登入裝置的數據,無論裝置是否與使用者相關聯
- 使用的驗證方法和應用程式
- 根據 Microsoft Entra ID 與使用者相關聯的風險
- 一般資訊,例如使用者的專業職稱和連絡資訊、部門及其經理的聯繫人資訊
您可以透過下列方式存取身分識別摘要功能:
從事件頁面選擇事件圖表上的身分識別,然後 (1) 選取 [使用者詳細數據]。 在 [使用者詳細數據] 窗格中, (2) 選取 [ 摘要]。 結果會顯示在 Copilot 側邊面板中。
或者,您可以選取使用者詳細資料窗格底部的 [ 移至使用者] 頁面 ,以開啟使用者頁面。 Copilot 會自動產生身分識別摘要,並在開啟用戶頁面時顯示側邊面板。
您也可以在事件的 [ 資產 ] 索引標籤中選擇使用者,以存取身分識別摘要功能。 在使用者詳細數據窗格中選取 [ 摘要 ],以產生身分識別摘要。
在警示頁面中,選取使用者,然後在使用者詳細數據窗格中選取 [ 摘要 ],以產生身分識別摘要。
在進階搜捕頁面中,您可以在結果數據表中選取使用者,然後選取使用者頁面的連結,以存取身分識別摘要功能。 Copilot 會自動產生身分識別摘要,並在開啟用戶頁面時顯示側邊面板。
從主功能表中,流覽至 [資產 > 身分識別]。 從清單中選取使用者名稱,然後選取 [ 檢視用戶頁面 ] 以開啟使用者頁面。 Copilot 會自動產生身分識別摘要,並在開啟用戶頁面時顯示側邊面板。
在 Microsoft Defender 入口網站的搜尋方塊中輸入使用者名稱,然後從搜尋結果中選取用戶名稱。 在使用者詳細數據側邊面板中,選取 [ 摘要 ] 以產生身分識別摘要。
檢閱身分識別摘要結果。 您可以將結果複製到剪貼簿、重新產生結果,或選取身分識別摘要卡片上方的 [其他動作] 省略號 (...) 開啟 Security Copilot。 您可以使用 Security Copilot 入口網站中的提示和其他外掛程式來擴充身分識別調查。
範例身分識別摘要提示
在 Security Copilot 獨立入口網站中,您可以使用下列提示來產生身分識別摘要:
- 顯示此使用者在上一個 {time frame} 中的 Defender 摘要。
提示
在 Security Copilot 入口網站中調查使用者時,Microsoft建議在提示中包含 Defender 一詞,以確保身分識別摘要功能會傳遞結果。 您可以在調查時間範圍中指定最多 120 天,預設值為 30 天,而您不表示。
提供意見反應
Microsoft強烈鼓勵您提供意見反應給 Copilot,因為這對功能的持續改進非常重要。 若要提供意見反應,請流覽至 Copilot 側邊面板底部,然後選取意見反應圖示 。
填寫專用文本框,以分享您的想法、體驗和要求。 Microsoft重視您的意見反應,並在我們致力於增強 Copilot 的效能和用戶體驗時加以重視。
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。