共用方式為


使用 Microsoft Defender 中的 Microsoft 安全性 Copilot 摘要事件

Microsoft Defender 全面偵測回應 會套用 Security Copilot 的功能來摘要事件、提供具影響力的資訊和見解,以簡化調查工作。 攻擊調查是事件回應小組成功保護組織免受網路威脅進一步損害的重要步驟。 調查通常很耗時,因為它牽涉到許多步驟。 事件回應小組必須瞭解攻擊如何發生: 排序多個警示、識別涉及的資產和實體,以及評估攻擊的範圍和影響。

本指南概述可預期的內容及如何存取 Defender 中的 Copilot 摘要功能,包括提供意見反應的資訊。

開始之前的須知事項

如果您不熟悉 Security Copilot,請閱讀下列文章來熟悉它:

事件回應者可以透過 Defender 全面偵測回應的相互關聯功能,以及 Security Copilot AI 支援的數據處理和內容相關化,輕鬆地取得適當的內容來調查和補救事件。 使用事件摘要,回應者可以快速取得重要資訊,以協助調查。

Security Copilot中的整合 Microsoft Defender

事件摘要功能可在 Microsoft Defender 入口網站中供已布建存取 Security Copilot 的客戶使用。

這項功能也可透過 Microsoft Defender 全面偵測回應 外掛程式 Security Copilot 獨立體驗中使用。 深入瞭解 Security Copilot 中預安裝的外掛程式

重點功能

最多包含 100 個警示的事件可以摘要成一個事件摘要。 事件摘要,視資料的可用性而定,包含下列項目:

  • 攻擊開始的時間和日期。
  • 開始攻擊的實體或資產。
  • 攻擊如何展開的時程表摘要。
  • 涉及攻擊的資產。
  • 入侵指標 (IoCs)。
  • 涉及的 威脅執行者 的名稱。

若要摘要事件,請執行下列步驟:

  1. 開啟事件頁面。 Copilot 會在開啟頁面時自動建立事件摘要。 您可以選取 [取消] 以停止摘要建立,或選取 [重新產生] 以重新開始建立。

  2. 事件摘要卡片會在 Copilot 窗格上載入。 檢閱卡片上產生的摘要。

    顯示 [Copilot] 窗格上事件摘要卡片的螢幕快照,如 Microsoft Defender 事件頁面中所示。

    提示

    您可以透過按一下結果中的證據,從 Copilot 結果窗格瀏覽至檔案、IP 或 URL 頁面。

  3. 選取事件摘要卡片頂端的 [其他動作] 省略號 (...) ,以複製或重新產生摘要,或在 Security Copilot 入口網站中檢視摘要。 選取 [在安全性 Copilot 中開啟] 會開啟新的安全性 Copilot 獨立入口網站,您可以在此輸入提示並存取其他外掛程式。

    顯示事件摘要卡片上可用動作的螢幕快照。

  4. 檢視摘要,並使用該資訊來引導您對事件的調查和回應。

範例事件摘要提示

在 Security Copilot 獨立入口網站中,您可以使用下列提示來產生事件摘要:

  • 提供 Defender 事件 {事件標識符} 的摘要。

提示

在 Security Copilot 入口網站中產生事件摘要時,Microsoft建議在提示中包含Defender一詞,以確保事件摘要功能會傳遞結果。

提供意見反應

Microsoft強烈鼓勵您提供意見反應給 Copilot,因為這對功能的持續改進非常重要。 您可以透過選取在 Copilot 窗格底部找到的意見反應圖示 [Defender 中的 Copilot 卡片之意見反應圖示的螢幕擷取畫面] 來提供有關摘要的意見反應。

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群