描述 Copilot 與 Microsoft Defender XDR 的整合
Microsoft Defender 全面偵測回應與 Microsoft Security Copilot 整合。 可透過獨立或內嵌式體驗,體驗看看如何整合入安全性 Copilot。
獨立體驗
對於已上線使用 Microsoft 安全性 Copilot 的企業,則可透過 Copilot 入口網站 (獨立體驗),使用外掛程式,就能啟用整合。 有兩個不同的外掛程式支援與 Microsoft Defender XDR 整合:
- Microsoft Defender XDR
- 適用於 Microsoft Defender XDR 的 KQL 自然語言
Microsoft Defender XDR 外掛程式
Microsoft Defender XDR 外掛程式包含的功能可讓使用者:
- 分析 檔案
- 產生事件報告
- 產生引導式回應
- 列出事件和相關警示
- 摘要說明裝置的安全性狀態
- 更多...
Copilot 中的 Microsoft Defender 全面偵測回應功能是您可以使用的內建提示,但您也可以根據支援的功能輸入自己的提示。
Copilot 還包括用於 Microsoft Defender XDR 事件調查的內建提示簿,您可以用它來取得有關特定事件、相關警示、信譽分數、使用者和裝置的報告。
適用於 Microsoft Defender 外掛程式的 KQL 自然語言
自然語言轉換為 Microsoft Defender KQL 外掛程式支援查詢助理功能,可將威脅搜捕內容中的任何自然語言問題轉換成現成可執行的 Kusto 查詢語言 (KQL) 查詢。 查詢助理會藉由產生 KQL 查詢,然後可根據分析師的需求自動執行或進一步調整該查詢,來節省安全性小組的時間。
內嵌式體驗
外掛程式啟用時,還可以透過内嵌式體驗來體驗 Copilot 與 Defender XDR 的整合,這稱為 Microsoft Defender XDR 中的 Copilot。
Microsoft Defender XDR 中的 Copilot 可讓安全性小組透過 Microsoft Defender XDR 入口網站快速有效地調查及回應事件。 Microsoft Defender XDR 中的 Copilot 支援下列功能。
- 概述事件
- 引導式回應
- 指令碼分析
- 自然語言轉換為 KQL 查詢
- 事件報告
- 分析檔案
- 裝置和身分識別摘要
使用者也可以順暢地從內嵌式體驗轉換為獨立體驗。
概述事件
若要立即了解事件,您可以使用 Microsoft Defender XDR 中的 Copilot 來概述事件。 Copilot 會建立攻擊的概觀,其中包含基本資訊,讓您了解攻擊中發生的內容、涉及的資產,以及攻擊的時間軸等等。 當您瀏覽至事件的頁面時,Copilot 會自動建立摘要。 最多包含 100 個警示的事件可以摘要成一個事件摘要。
引導式回應
Microsoft Defender XDR 中的 Copilot 會使用 AI 和機器學習功能,分析事件的背景資訊,並從先前的調查中學習,以產生以引導式回應形式顯示的適當回應動作。 Copilot 的引導式回應功能可讓各層級事件回應小組自信且快速地套用回應動作,以輕鬆解決事件。
引導式回應建議下列類別的動作:
- 分級 - 包含將事件分類為參考、確判為真或誤判為真的建議
- 內含項目 - 包含包含事件的建議動作
- 調查 - 包含建議的動作以供進一步調查
- 補救 - 包含建議的回應動作,以套用至涉及事件的特定實體
每張卡片都包含建議動作的相關資訊,包括建議動作的原因、類似的事件等等。 例如,當組織內有類似目前事件的其他事件時,[檢視類似的事件] 動作就會變成可用。 事件回應小組也可以檢視使用者的補救動作資訊,例如重設密碼。
並非所有事件/警示都提供引導式回應。 引導式回應適用於事件類型,例如網路釣魚、商務電子郵件入侵和勒索軟體。
分析指令碼和程式碼
Microsoft Defender XDR 中的 Copilot 的指令碼分析功能為安全性小組提供指令碼和程式碼的額外檢查功能,而不需使用外部工具。 此功能也可降低分析的複雜性,將挑戰減到最小,並允許安全性小組快速評估指令碼,並識別指令碼為惡意或良性。
有數種方式可讓您存取指令碼分析功能。 下圖顯示涉及執行 PowerShell 指令碼之警示的程序樹狀結構。 選取 [分析] 按鈕會產生 Copilot 指令碼分析。
產生 KQL 查詢
Microsoft Defender XDR 中的 Copilot 包含進階搜捕中的查詢助理功能。
若要存取自然語言至 KQL 查詢助理,可存取 Copilot 的使用者會從 Defender XDR 入口網站的左側瀏覽窗格中選取進階搜捕。
Copilot 有相關提示供您用來開始使用 Copilot 搜捕威脅,或者,您可以在提示列中撰寫自己的自然語言問題,以產生 KQL 查詢。 例如,「列出過去 10 分鐘內登入的所有裝置」。然後,Copilot 會產生與使用進階搜捕資藥架構的要求對應的 KQL 查詢。
然後,使用者可以選取 [新增並執行] 來選擇執行查詢。 產生的查詢接著會顯示為查詢編輯器中的最後一個查詢。 若要進一步調校,請選取 [新增至編輯器]。
建立事件報告
詳盡且清楚的事件報告是安全性小組和安全性作業管理的必要參考資料。 然而,對安全性作業小組而言,撰寫具有重要詳細資料的詳盡報告是一項耗時的工作,因為其中涉及從多個來源收集、整理以及總結事件資訊。 安全性小組現在可以在入口網站內立即建立全面性的事件報告。
雖然事件摘要提供事件的概觀及其發生情形,但事件報告會彙總來自 Microsoft Sentinel 和 Microsoft Defender XDR 中各種可用資料來源的事件資訊。 此事件報告也包括所有分析師導向的步驟和自動化動作、參與回應的分析師,以及分析師提供的評論等等。
若要建立事件報告,使用者會選取事件頁面右上角的 [產生事件報告] 或 [Copilot] 窗格中的圖示。 事件報告產生後,只要選取事件報告上的省略符號,使用者就會看到將報告複製到剪貼簿、張貼至活動記錄、重新產生報告,或選擇在 Copilot 獨立體驗中開啟的選項。
分析檔案
複雜的攻擊通常會使用模仿合法或系統檔案的檔案來避免偵測。 Microsoft Defender XDR 中的 Copilot 可讓安全性小組透過 AI 支援的檔案分析功能,快速識別惡意和可疑的檔案。
有許多方法可以存取特定檔案的詳細設定檔頁面。 在此範例中,您會瀏覽至具有受影響檔案之事件的事件圖表檔案。 事件圖表顯示攻擊的完整範圍、攻擊如何在一段時間內蔓延到您的網路、其開始位置,以及攻擊者攻擊的程度。
從事件圖表中,選取檔案會顯示檢視檔案的選項。 選取檢視檔案會開啟列出受影響檔案畫面右側的面板。 選取任何檔案會顯示檔案詳細資料的概觀,以及分析檔案的選項。 選取 [分析] 會開啟 Copilot 檔案分析。
摘要說明裝置和身分識別
Defender 中的 Copilot 的裝置摘要功能可讓安全性小組取得裝置的安全性狀態、易受攻擊的軟體資訊,以及任何不尋常的行為。 安全性分析師可以使用裝置的摘要來加速調查事件和警示。
有許多方式可以存取裝置摘要。 在此範例中,您會透過事件資產頁面瀏覽至裝置摘要。 選取事件的 [資產] 索引標籤會顯示所有資產。 從左側導覽面板中,選取 [裝置],然後選取特定的裝置名稱。 從右側開啟的概觀頁面,可見選取 Copilot 的選項。
同樣地,Microsoft Defender XDR 中的 Copilot 也可以摘要說明身分識別。
移至獨立體驗
作為使用 Microsoft Defender XDR 的分析師,您可能會花大量時間在 Defender XDR 中,因此內嵌體驗是開始安全性調查的絕佳位置。 視您學到的內容而定,您可能會判定該項目需要更深入的調查。 在此案例中,您可以輕鬆地轉換到獨立體驗,以追求更詳細、跨產品的調查,從而承擔為角色啟用的所有 Copilot 功能。
對於透過內嵌體驗產生的內容,您可以輕鬆地轉換為獨立體驗。 若要移至獨立體驗,請選取所產生內容視窗中的省略符號,然後選擇 [在 Security Copilot 中開啟]。
