描述 Microsoft Defender 全面偵測回應中的 Copilot

9 分鐘

Microsoft Security Copilot 內嵌在 Microsoft Defender XDR，讓安全性小組能夠快速且有效率地調查及回應事件。適用於 Microsoft Defender XDR 的 Microsoft Copilot 支援下列功能。

概述事件
引導式回應
指令碼分析
自然語言轉換為 KQL 查詢
事件報告
分析檔案
裝置摘要

所有這些功能也有一些常見的選項，包括提供關於提示回應的意見反應，以及順暢地移至獨立體驗的能力。

如簡介單元中所述，在內嵌體驗中，Copilot 能夠直接叫用產品特定功能，以提供處理效率。也就是說，為了確保能夠存取這些 Microsoft Security Copilot 功能，必須啟用 Microsoft Defender 全面偵測回應外掛程式，且這是透過獨立體驗完成。若要深入了解，請參閱描述獨立 Microsoft Security Copilot 體驗中可用的功能。

概述事件

若要立即了解事件，您可以使用 Microsoft Defender XDR 中的 Microsoft Copilot 來概述事件。 Copilot 會建立攻擊的概觀，其中包含基本資訊，讓您了解攻擊中發生的內容、涉及的資產，以及攻擊的時間軸。當您瀏覽至事件的頁面時，Copilot 會自動建立摘要。

最多包含 100 個警示的事件可以摘要成一個事件摘要。事件摘要，視資料的可用性而定，包含下列項目:

攻擊開始的時間和日期。
開始攻擊的實體或資產。
攻擊如何展開的時程表摘要。
涉及攻擊的資產。
入侵指標 (IOC)。
涉及的威脅執行者的名稱。

引導式回應

Microsoft Defender XDR 中的 Copilot 會使用 AI 和機器學習功能，分析事件的背景資訊，並從先前的調查中學習，以產生以引導式回應形式顯示的適當回應動作。 Copilot 的引導式回應功能可讓各層級事件回應小組自信且快速地套用回應動作，以輕鬆解決事件。

引導式回應建議下列類別的動作:

分級 - 包含將事件分類為參考、確判為真或誤判為真的建議
內含項目 - 包含包含事件的建議動作
調查 - 包含建議的動作以供進一步調查
補救 - 包含建議的回應動作，以套用至涉及事件的特定實體

每張卡片都包含建議動作的相關資訊，包括建議動作的原因、類似的事件等等。例如，當組織內有類似目前事件的其他事件時，[檢視類似的事件] 動作就會變成可用。事件回應小組也可以檢視使用者的補救動作資訊，例如重設密碼。

並非所有事件/警示都提供引導式回應。引導式回應適用於事件類型，例如網路釣魚、商務電子郵件入侵和勒索軟體。

分析指令碼和程式碼

大多數複雜且繁複的攻擊 (例如勒索軟體) 會透過多種方式 (包括使用指令碼和 PowerShell) 來避免偵測。此外，這些指令碼通常被模糊化，這也增加了偵測和分析的複雜性。安全性作業小組必須快速分析指令碼和程式碼，以了解其功能，並採取適當的風險降低措施，以防網路中的攻擊取得進展。

Microsoft Defender XDR 中的 Copilot 的指令碼分析功能為安全性小組提供指令碼和程式碼的額外檢查功能，而不需使用外部工具。此功能也可降低分析的複雜性，將挑戰減到最小，並允許安全性小組快速評估指令碼，並識別指令碼為惡意或良性。

您可以針對包含指令碼或程式碼的時間表輸入，存取事件內警示時間表中的指令碼分析功能。在下列影像中，時間表會顯示 powershell.exe 輸入。

注意

指令碼分析函數持續在開發中。正在評估以 PowerShell、批次和 bash 外的語言分析指令碼。

Copilot 會分析指令碼，並在指令碼分析卡片中顯示結果。使用者可以選取 [顯示程式碼]，以查看與分析相關的特定程式碼。若要隱藏程式碼，使用者只需選取 [隱藏程式碼]。

產生 KQL 查詢

Microsoft Defender XDR 中的 Copilot 包含進階搜捕中的查詢助理功能。

還不熟悉或尚不了解 KQL 的威脅搜捕者或安全性分析師可以使用自然語言提出要求或提問 (例如，取得涉及使用者 admin123 的所有警示)。然後，Copilot 會產生與使用進階搜捕資藥架構的要求對應的 KQL 查詢。

這項功能可減少從頭開始撰寫搜捕查詢所需的時間，讓威脅搜捕人員和安全性分析師可以專注在搜捕和調查威脅上。

若要存取自然語言至 KQL 查詢助理，可存取 Copilot 的使用者會從 Defender XDR 入口網站的左側瀏覽窗格中選取進階搜捕。

使用提示列時，使用者可以使用自然語言要求威脅搜捕查詢，例如「提供過去 10 分鐘內登入的所有裝置」。

然後，使用者可以選取 [新增並執行] 來選擇執行查詢。產生的查詢接著會顯示為查詢編輯器中的最後一個查詢。若要進一步調校，請選取 [新增至編輯器]。

您也可以透過設定圖示自動設定執行所產生查詢的選項。

建立事件報告

詳盡且清楚的事件報告是安全性小組和安全性作業管理的必要參考資料。然而，對安全性作業小組而言，撰寫具有重要詳細資料的詳盡報告是一項耗時的工作，因為其中涉及從多個來源收集、整理以及總結事件資訊。安全性小組現在可以在入口網站內立即建立全面性的事件報告。

使用 Copilot 採用 AI 技術的資料處理，安全性小組可以在 Microsoft Defender XDR 中按一下按鈕，即可立即建立事件報告。

雖然事件摘要提供事件的概觀及其發生情形，但事件報告會彙總來自 Microsoft Sentinel 和 Microsoft Defender XDR 中各種可用資料來源的事件資訊。此事件報告也包括所有分析師導向的步驟和自動化動作、參與回應的分析師，以及分析師提供的評論。

Copilot 會建立包含下列資訊的事件報告:

主要事件管理動作的時間戳記，包括：
- 事件的建立和關閉
- 事件中擷取到的第一個和最後一個記錄，不論是由分析師驅動或是自動化動作的記錄
涉及事件回應的分析師。
事件分類，包括分析師對事件評估和分類方式的註解。
由分析師套用並註記在事件記錄中的調查動作
補救動作已完成，包括：
- 由分析師套用並註記在事件記錄中的手動動作
- 系統套用的自動化動作，包括執行的 Microsoft Sentinel 劇本和套用的 Microsoft Defender XDR 動作
由分析師註記在事件記錄中的後續追蹤動作，如建議、待解決的問題或接下來的步驟。

若要建立事件報告，使用者會選取事件頁面右上角的 [產生事件報告] 或 [Copilot] 窗格中的圖示。

產生的報告會因 Microsoft Defender XDR 和 Microsoft Sentinel 所提供的事件資訊而異。藉由選取事件報告卡片上的省略符號，使用者就可以將報告複製到剪貼簿、張貼至活動記錄、重新產生報告，或選擇在 Copilot 獨立體驗中開啟。

分析檔案

複雜的攻擊通常會使用模仿合法或系統檔案的檔案來避免偵測。 Microsoft Defender XDR 中的 Copilot 可讓安全性小組透過 AI 支援的檔案分析功能，快速識別惡意和可疑的檔案。

有許多方法可以存取特定檔案的詳細設定檔頁面。例如，您可以使用搜尋功能，從事件的辨識項和回應索引標籤中選取檔案，或使用事件圖表。

在此範例中，您會瀏覽至具有受影響檔案之事件的事件圖表檔案。事件圖表顯示攻擊的完整範圍、攻擊如何在一段時間內蔓延到您的網路、其開始位置，以及攻擊者攻擊的程度。

從事件圖表中，選取檔案會顯示檢視檔案的選項。選取檢視檔案會開啟列出受影響檔案畫面右側的面板。選取任何檔案會顯示檔案詳細資料的概觀，以及分析檔案的選項。選取 [分析] 會開啟 Copilot 檔案分析。

選取要分析的檔案
檔案分析

摘要說明裝置和身分識別

Defender 中的 Copilot 的裝置摘要功能可讓安全性小組取得裝置的安全性狀態、易受攻擊的軟體資訊，以及任何不尋常的行為。安全性分析師可以使用裝置的摘要來加速調查事件和警示。

有許多方式可以存取裝置摘要。在此範例中，您會透過事件資產頁面瀏覽至裝置摘要。選取事件的 [資產] 索引標籤會顯示所有資產。從左側導覽面板中，選取 [裝置]，然後選取特定的裝置名稱。從右側開啟的概觀頁面，可見選取 Copilot 的選項。

同樣地，Microsoft Defender XDR 中的 Copilot 也可以摘要說明身分識別。

裝置摘要
身分識別摘要

主要功能之間的常見功能

在整個 Microsoft Defender XDR 的 Copilot 功能中，有一些常見選項。

提供意見反應

如同獨立體驗，內嵌體驗為使用者提供一種提供意見反應的機制，以反應 AI 產生之回應的正確性。針對任何 AI 產生的內容，您可以在內容視窗右下方選取意見反應提示，然後從可用的選項中選取。

移至獨立體驗

作為使用 Microsoft Defender XDR 的分析師，您可能會花大量時間在 Defender XDR 中，因此內嵌體驗是開始安全性調查的絕佳位置。視您學到的內容而定，您可能會判定該項目需要更深入的調查。在此案例中，您可以輕鬆地轉換到獨立體驗，以追求更詳細、跨產品的調查，從而承擔為角色啟用的所有 Copilot 功能。

對於透過內嵌體驗產生的內容，您可以輕鬆地轉換為獨立體驗。若要移至獨立體驗，請選取所產生內容視窗中的省略符號，然後選擇 [在 Security Copilot 中開啟]。