Microsoft Defender 威脅情報中的 Microsoft Security Copilot

重要事項

在 2024 年 6 月 30 日，Microsoft Defender 威脅情報 (Defender TI 獨立入口網站) (https://ti.defender.microsoft.com) 已淘汰且無法再存取。 客戶可以在 Microsoft Defender 入口網站或搭配 Microsoft Security Copilot 繼續使用Defender TI。 深入了解

Microsoft Security Copilot 是雲端式 AI 平臺，可提供自然語言的 copilot 體驗。 它可以協助支援不同案例中的安全性專業人員，例如事件回應、威脅搜捕和情報收集。 如需其功能的詳細資訊，請參閱什麼是 Microsoft Security Copilot？。

Security Copilot 客戶取得每個已驗證的 Copilot 使用者存取 Microsoft Defender 威脅情報 (Defender TI) 。 若要確保您可以存取 Copilot，請參閱 Security Copilot 購買和授權資訊。

一旦您能夠存取 Security Copilot，本文中討論的主要功能便可在 Security Copilot 入口網站或 Microsoft Defender 入口網站中存取。

開始之前的須知事項

如果您不熟悉 Security Copilot，請閱讀下列文章來熟悉它：

• 什麼是 Microsoft 安全性 Copilot?
• Microsoft Security Copilot 體驗
• 開始使用 Microsoft Security Copilot
• 瞭解 Microsoft Security Copilot 中的驗證
• 在 Microsoft Security Copilot 中提示

在 Defender TI 中 Security Copilot 整合

Security Copilot 提供威脅執行者、入侵指標 (IOC) 、工具和弱點的相關信息，以及來自 Defender TI 的內容相關威脅情報。 您可以使用提示和提示集來調查事件、使用威脅情報資訊擴充您的搜捕流程，或深入瞭解貴組織或全域威脅環境。

• 您的提示務必清楚且明確。 如果您在提示中包括特定威脅行為者名稱或 IOC，可能可以獲得更好的結果。 如果您將 威脅情報 新增至提示，它也可能會有所幫助，例如:

  • 向我顯示 Aqua Blizzard 的威脅情報資料。
  • 摘要「malicious.com」的威脅情報資料。

• 參考事件時請具體說明 (例如「事件識別碼 15324」)。

• 嘗試不同的提示和變化，以查看最適合您使用案例的方式。 聊天 AI 模型各有不同，因此請根據您收到的結果來逐一查看並精簡您的提示。

• Copilot 會儲存您的提示會話。 若要查看先前的會話，請從 [Security Copilot 首頁] 功能表，移至 [我的會話]。

  

  注意事項

  如需 Copilot 的逐步解說，包括釘選和共用功能，請參閱流覽 Microsoft Security Copilot。

深入瞭解如何建立有效的提示

重點功能

Security Copilot 可讓安全性小組立即瞭解威脅情報資訊、設定其優先順序，並採取行動。

您可以詢問威脅行為者、攻擊活動或您想要深入瞭解的任何其他威脅情報，Copilot 便會根據威脅分析報告、Intel 設定檔和文章，以及其他 Defender TI 內容來產生回應。

您也可以選擇 Defender 入口網站中可用的任何內建提示，以執行下列動作：

• 摘要 與組織相關的最新威脅
• 根據您環境對這些威脅的最高暴露程度，排定需要關注的威脅的 優先處理順序
• 詢問 以通訊基礎結構產業為目標的威脅執行者

深入瞭解使用 Defender 中的 Copilot，以取得威脅情報

在 Defender TI 中開啟 Security Copilot 整合

1. 移至 Microsoft 安全性 Copilot，然後使用認證來登入。

2. 請確定Microsoft威脅情報外掛程式已開啟。 在提示欄中，選取 [來源] 圖示 。

   

   在 [ 管理來源 ] 彈出視窗中，於 [ 外掛程式] 下方確認 [ Microsoft威脅情報 ] 切換已開啟，然後關閉視窗。

   

   注意事項

   某些角色可以開啟或關閉外掛程式的切換，例如Microsoft威脅情報。 如需詳細資訊，請參閱管理 Microsoft Security Copilot 中的外掛程式。

3. 在提示列中輸入您的提示。

內建系統功能

Security Copilot 具有內建的系統功能，可從開啟的不同外掛程式取得數據。

若要檢視 Defender TI 的內建系統功能清單:

1. 在提示列中，選取 [提示] 圖示 。

   

2. 選取 [查看所有系統功能]。 [ Microsoft威脅情報 ] 區段會列出您可以使用之 Defender TI 的所有可用功能。

Copilot 也提供下列也會從 Defender TI 傳遞資訊的提示集:

• 檢查外部威脅文章的影響 – 分析未在 Defender TI) 文章中發佈的外部或第三方 (，以擷取相關的 IOC、摘要情報，併產生搜捕查詢，以便評估文章中回報給組織的潛在威脅影響。
• 威脅執行者配置檔 – 產生分析已知威脅執行者的報表，包括防禦其常見工具和策略的建議。
• 以 MDTI 為基礎的威脅情報 360 報告文章 – 分析 Defender TI 文章 以擷取相關的 IOC、摘要說明情報，以及產生搜捕查詢，以便評估文章中所報告威脅對組織的潛在影響。
• 弱點影響評估 – 產生報告，摘要說明已知弱點的情報，包括如何解決該弱點的步驟。

若要檢視這些提示集，請在提示欄中選取 [提示] 圖示，然後選取 [查看所有提示集]。

範例 Defender TI 提示

您可以使用許多提示，以從 Defender TI 取得資訊。 本節列出一些構想和範例。

威脅情報趨勢的一般資訊

從威脅文章和威脅行為者取得威脅情報。

範例提示 :

• 摘要最近的威脅情報。
• 向我顯示最新的威脅文章。
• 取得過去六個月內與勒索軟體相關的威脅文章。

威脅行為者對應和基礎結構

取得威脅行為者以及策略、技術和程序 (TTP)、贊助國家、產業和與之相關聯的 IOC 的相關資訊。

範例提示:

• 告訴我更多關於 Silk Typhoon 的資訊。
• 共用與 Silk Typhoon 相關聯的 IOC。
• 共用與 Silk Typhoon 相關聯的 TTP。
• 共用與俄羅斯相關聯的威脅行為者。

CVE 提供的弱點資料

取得常見弱點和暴露 (CVE) 的內容資訊和威脅情報，這些資訊和威脅情報衍生自 Defender TI 文章、威脅分析報告，以及來自 Microsoft Defender 弱點管理 和 Microsoft Defender 外部受攻擊面管理 的數據。

範例提示:

• 共用易受弱點 CVE-2021-44228 影響的技術。
• 摘要弱點 CVE-2021-44228。
• 向我顯示最新的 CVE。
• 向我顯示與 CVE-2021-44228 相關聯的威脅行為者。
• 向我顯示與 CVE-2021-44228 相關聯的威脅文章。

與威脅情報相關的指標數據

取得指標 (的詳細資訊，例如，IP 位址、網域和檔案哈希) 根據Defender TI 中可用的許多 數據集 ，包括信譽分數、WHOIS資訊、功能變數名稱系統 (DNS) 、主機配對和憑證。

範例提示:

• 您可以對我瞭解功能變數名稱<的相關信息>？
• 顯示與 <域名相關的指標>。
• 顯示功能變數名稱的所有解決方式<>。
• 顯示與域名>相關的<主機配對。
• 向我顯示主機 <主機名稱> 的信譽。
• 顯示IP位址IP位址<的所有解決方式>。
• 在IP位址>中顯示開啟的服務<。

提供意見反應

您對於 defender TI 整合的意見反應 Security Copilot 有助於開發。 若要提供意見反應，請在 Copilot 中選取 [此回應如何？ 在每個已完成提示的底部，並選擇下列任何選項：

• 看起來正確 - 根據您的評定，如果結果正確，請選取此按鈕。
• 需要改進 - 根據您的評定，如果結果中的任何詳細資料不正確或不完整，請選取此按鈕。
• 不適當 - 如果結果包含可疑、模棱兩可或可能有害的資訊，請選取此按鈕。

針對每個意見反應按鈕，您可以在顯示的下一個對話方塊中提供詳細資訊。 可能的話，當結果 需要改進 時，寫幾句話，解釋可以執行什麼動作以改善結果。 如果您輸入 Defender TI 的特定提示，且結果不相關，則請包含該資訊。

安全性 Copilot 中的隱私權和資料安全性

當您與 Security Copilot 互動以取得 Defender TI 數據時，Copilot 會從 Defender TI 提取該數據。 系統會處理提示、已檢索的資料，以及提示結果中顯示的輸出，並將之儲存在 Copilot 服務中。 深入瞭解 Microsoft Security Copilot 中的隱私權和數據安全性

另請參閱

• 什麼是 Microsoft 安全性 Copilot?
• Microsoft 安全性 Copilot 中的隱私權和資料安全性
• 使用 Microsoft Security Copilot 威脅情報