Microsoft Defender 威脅情報中的 Microsoft Security Copilot
Microsoft Security Copilot 是雲端式 AI 平臺,可提供自然語言的 copilot 體驗。 它可以協助支援不同案例中的安全性專業人員,例如事件回應、威脅搜捕和情報收集。 如需其功能的詳細資訊,請參閱什麼是 Microsoft Security Copilot?。
Security Copilot 客戶取得每個已驗證的 Copilot 使用者存取 Microsoft Defender 威脅情報 (Defender TI) 。 若要確保您可以存取 Copilot,請參閱 Security Copilot 購買和授權資訊。
一旦您能夠存取 Security Copilot,本文中討論的主要功能便可在 Security Copilot 入口網站或 Microsoft Defender 入口網站中存取。
開始之前的須知事項
如果您不熟悉 Security Copilot,您應該閱讀下列文章來熟悉它:
- 什麼是 Microsoft 安全性 Copilot?
- Microsoft Security Copilot 體驗
- 開始使用 Microsoft Security Copilot
- 瞭解 Microsoft Security Copilot 中的驗證
- 在 Microsoft Security Copilot 中提示
在 Defender TI 中 Security Copilot 整合
Security Copilot 提供威脅執行者、入侵指標 (IOC) 、工具和弱點的相關信息,以及來自 Defender TI 的內容相關威脅情報。 您可以使用提示和提示集來調查事件、使用威脅情報資訊擴充您的搜捕流程,或深入瞭解貴組織或全域威脅環境。
您的提示務必清楚且明確。 如果您在提示中包括特定威脅行為者名稱或 IOC,可能可以獲得更好的結果。 如果您將 威脅情報 新增至提示,它也可能會有所幫助,例如:
- 向我顯示 Aqua Blizzard 的威脅情報資料。
- 摘要「malicious.com」的威脅情報資料。
參考事件時請具體說明 (例如「事件識別碼 15324」)。
嘗試不同的提示和變化,以查看最適合您使用案例的方式。 聊天 AI 模型各有不同,因此請根據您收到的結果來逐一查看並精簡您的提示。
Copilot 會儲存您的提示會話。 若要查看先前的會話,請從 [Security Copilot 首頁] 功能表,移至 [我的會話]。
![顯示 [Microsoft Security Copilot 首頁] 功能表的螢幕快照,其中已醒目提示 [我的會話]。](/zh-tw/defender/threat-intelligence/media/defender-ti-and-copilot/copilot-my-sessions.png)
注意事項
如需 Copilot 的逐步解說,包括釘選和共用功能,請參閱流覽 Microsoft Security Copilot。
重點功能
Security Copilot 可讓安全性小組立即瞭解威脅情報資訊、設定其優先順序,並採取行動。
您可以詢問威脅行為者、攻擊活動或您想要深入瞭解的任何其他威脅情報,Copilot 便會根據威脅分析報告、Intel 設定檔和文章,以及其他 Defender TI 內容來產生回應。
您也可以選擇 Defender 入口網站中可用的任何內建提示,以執行下列動作:
深入瞭解使用 Defender 中的 Copilot,以取得威脅情報
在 Defender TI 中開啟 Security Copilot 整合
移至 Microsoft 安全性 Copilot,然後使用認證來登入。
請確定Microsoft威脅情報外掛程式已開啟。 在提示欄中,選取 [來源] 圖示
![[來源] 圖示的螢幕擷取畫面](/zh-tw/defender/threat-intelligence/media/defender-ti-and-copilot/copilot-sources-icon.png)
。![Microsoft Security Copilot 中提示列的螢幕快照,其中已醒目提示 [來源] 圖示。](media/defender-ti-and-copilot/copilot-prompts-bar-sources.png)
在 [ 管理來源 ] 彈出視窗中,於 [ 外掛程式] 下方確認 [ Microsoft威脅情報 ] 切換已開啟,然後關閉視窗。
![[管理外掛程式] 彈出視窗的螢幕快照,其中已醒目提示 [Microsoft 威脅情報] 外掛程式。](media/defender-ti-and-copilot/copilot-manage-plugins.png)
注意事項
某些角色可以開啟或關閉外掛程式的切換,例如Microsoft威脅情報。 如需詳細資訊,請參閱管理 Microsoft Security Copilot 中的外掛程式。
在提示列中輸入您的提示。
內建系統功能
Security Copilot 具有內建的系統功能,可從開啟的不同外掛程式取得數據。
若要檢視 Defender TI 的內建系統功能清單:
在提示列中,選取 [提示] 圖示
。
選取 [查看所有系統功能]。 [ Microsoft威脅情報 ] 區段會列出您可以使用之 Defender TI 的所有可用功能。
Copilot 也提供下列也會從 Defender TI 傳遞資訊的提示集:
- 檢查外部威脅文章的影響 – 分析未在 Defender TI) 文章中發佈的外部或第三方 (,以擷取相關的 IOC、摘要情報,併產生搜捕查詢,以便評估文章中回報給組織的潛在威脅影響。
- 威脅執行者配置檔 – 產生分析已知威脅執行者的報表,包括防禦其常見工具和策略的建議。
- 以 MDTI 為基礎的威脅情報 360 報告文章 – 分析 Defender TI 文章 以擷取相關的 IOC、摘要說明情報,以及產生搜捕查詢,以便評估文章中所報告威脅對組織的潛在影響。
- 弱點影響評估 – 產生報告,摘要說明已知弱點的情報,包括如何解決該弱點的步驟。
若要檢視這些提示集,請在提示欄中選取 [提示] 圖示,然後選取 [查看所有提示集]。
範例 Defender TI 提示
您可以使用許多提示,以從 Defender TI 取得資訊。 本節列出一些構想和範例。
威脅情報趨勢的一般資訊
從威脅文章和威脅行為者取得威脅情報。
範例提示 :
- 摘要最近的威脅情報。
- 向我顯示最新的威脅文章。
- 取得過去六個月內與勒索軟體相關的威脅文章。
威脅行為者對應和基礎結構
取得威脅行為者以及策略、技術和程序 (TTP)、贊助國家、產業和與之相關聯的 IOC 的相關資訊。
範例提示:
- 告訴我更多關於 Silk Typhoon 的資訊。
- 共用與 Silk Typhoon 相關聯的 IOC。
- 共用與 Silk Typhoon 相關聯的 TTP。
- 共用與俄羅斯相關聯的威脅行為者。
CVE 提供的弱點資料
取得常見弱點和暴露 (CVE) 的內容資訊和威脅情報,這些資訊和威脅情報衍生自 Defender TI 文章、威脅分析報告,以及來自 Microsoft Defender 弱點管理 和 Microsoft Defender 外部受攻擊面管理 的數據。
範例提示:
- 共用易受弱點 CVE-2021-44228 影響的技術。
- 摘要弱點 CVE-2021-44228。
- 向我顯示最新的 CVE。
- 向我顯示與 CVE-2021-44228 相關聯的威脅行為者。
- 向我顯示與 CVE-2021-44228 相關聯的威脅文章。
與威脅情報相關的指標數據
取得指標 (的詳細資訊,例如,IP 位址、網域和檔案哈希) 根據Defender TI 中可用的許多 數據集 ,包括信譽分數、WHOIS資訊、功能變數名稱系統 (DNS) 、主機配對和憑證。
範例提示:
- 您可以對我瞭解功能變數名稱<的相關信息>?
- 顯示與 <域名相關的指標>。
- 顯示功能變數名稱的所有解決方式<>。
- 顯示與域名>相關的<主機配對。
- 向我顯示主機 <主機名稱> 的信譽。
- 顯示IP位址IP位址<的所有解決方式>。
- 在IP位址>中顯示開啟的服務<。
提供意見反應
您對於 defender TI 整合的意見反應 Security Copilot 有助於開發。 若要提供意見反應,請在 Copilot 中選取 [此回應如何? 在每個已完成提示的底部,並選擇下列任何選項:
- 看起來正確 - 根據您的評定,如果結果正確,請選取此按鈕。
- 需要改進 - 根據您的評定,如果結果中的任何詳細資料不正確或不完整,請選取此按鈕。
- 不適當 - 如果結果包含可疑、模棱兩可或可能有害的資訊,請選取此按鈕。
針對每個意見反應按鈕,您可以在顯示的下一個對話方塊中提供詳細資訊。 可能的話,當結果 需要改進 時,寫幾句話,解釋可以執行什麼動作以改善結果。 如果您輸入 Defender TI 的特定提示,且結果不相關,則請包含該資訊。
安全性 Copilot 中的隱私權和資料安全性
當您與 Security Copilot 互動以取得 Defender TI 數據時,Copilot 會從 Defender TI 提取該數據。 系統會處理提示、已檢索的資料,以及提示結果中顯示的輸出,並將之儲存在 Copilot 服務中。 深入瞭解 Microsoft Security Copilot 中的隱私權和數據安全性