مشاركة عبر

فرز الأحداث وفحصها مع استجابات موجهة من Microsoft Copilot في Microsoft Defender

  • مقالة
  • ينطبق على:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

يدعم Microsoft Copilot للأمان في Microsoft Defender XDR فرق الاستجابة للحدث في حل الحدث فورا باستخدام الاستجابات الإرشادية. يستخدم Copilot في Defender إمكانات التعلم الآلي والذكاء الاصطناعي لسياق حدث والتعلم من عمليات الاستقصاء السابقة لإنشاء إجراءات الاستجابة المناسبة.

يوضح هذا الدليل كيفية الوصول إلى إمكانية الاستجابة الموجهة، بما في ذلك معلومات حول تقديم الملاحظات حول الاستجابات.

المعرفة قبل البدء

إذا كنت مستخدما جديدا ل Copilot for Security، يجب أن تتعرف عليه من خلال قراءة المقالات التالية:

غالبا ما يتطلب الرد على الأحداث في مدخل Microsoft Defender دراية بالإجراءات المتوفرة للمدخل لإيقاف الهجمات. بالإضافة إلى ذلك، قد يكون لدى المستجيبين الجدد للحوادث أفكار مختلفة حول مكان وكيفية البدء في الاستجابة للحوادث. تسمح قدرة الاستجابة الإرشادية لـ Copilot في Defender لفرق الاستجابة للحوادث على جميع المستويات بتطبيق إجراءات الاستجابة بثقة وسرعة لحل الحوادث بسهولة.

تكامل Copilot للأمان في Microsoft Defender

تتوفر الاستجابات الإرشادية في مدخل Microsoft Defender للعملاء الذين وفروا الوصول إلى Copilot for Security.

تتوفر الاستجابات الإرشادية أيضا في تجربة Copilot for Security المستقلة من خلال المكون الإضافي Microsoft Defender XDR. تعرف على المزيد حول المكونات الإضافية المثبتة مسبقا في Copilot للأمان.

الميزات الأساسية

توصي الاستجابات الإرشادية بالإجراءات في الفئات التالية:

  • الفرز - يتضمن توصية لتصنيف الحوادث على أنها إيجابية إعلامية أو موجبة خاطئة أو خاطئة
  • الاحتواء - يتضمن الإجراءات الموصى بها لاحتواء حادث
  • التحقيق - يتضمن الإجراءات الموصى بها لمزيد من التحقيق
  • المعالجة - تتضمن إجراءات الاستجابة الموصى بها لتطبيقها على كيانات محددة متورطة في حادث

تحتوي كل بطاقة على معلومات حول الإجراء الموصى به، بما في ذلك الكيان الذي سيتم تطبيق الإجراء فيه وسبب التوصية بالإجراء. تؤكد البطاقات أيضا على وقت تنفيذ إجراء موصى به عن طريق التحقيق التلقائي مثل تعطيل الهجوم أو الاستجابة التلقائية للتحقيق.

يمكن فرز بطاقات الاستجابة الموجهة استنادا إلى الحالة المتوفرة لكل بطاقة. يمكنك تحديد حالة معينة عند عرض الاستجابات الإرشادية بالنقر فوق الحالة وتحديد الحالة المناسبة التي تريد عرضها. يتم عرض جميع بطاقات الاستجابة الموجهة بغض النظر عن الحالة بشكل افتراضي.

لقطة شاشة تعرض حالة الاستجابات في جزء Copilot في صفحة Microsoft Defender الحادث.

لاستخدام الاستجابات الموجهة، قم بتنفيذ الخطوات التالية:

  1. افتح صفحة حدث. ينشئ Copilot تلقائيا استجابات موجهة عند فتح صفحة حادث. يظهر جزء Copilot على الجانب الأيمن من صفحة الحدث، ويعرض بطاقات الاستجابة الإرشادية.

    لقطة شاشة تعرض جزء Copilot مع الاستجابات الإرشادية في صفحة Microsoft Defender الحادث.

  2. راجع كل بطاقة قبل تطبيق التوصيات. حدد علامة الحذف المزيد من الإجراءات (...) أعلى بطاقة الاستجابة لعرض الخيارات المتاحة لكل توصية. فيما يلي بعض الأمثلة.

    لقطة شاشة تعرض الخيارات المتاحة للمستخدمين في بطاقة استجابة موجهة في اللوحة الجانبية Copilot.

    لقطة شاشة تعرض الخيارات المتاحة للمستخدمين في بطاقة استجابة التنفيذ التلقائي في جزء Copilot في Microsoft Defender XDR.

  3. لتطبيق إجراء، حدد الإجراء المطلوب الموجود على كل بطاقة. تم تصميم إجراء الاستجابة الموجهة على كل بطاقة وفقا لنوع الحادث والكيان المحدد المعني.

    لقطة شاشة تعرض بطاقات الاستجابة الموجهة في جزء Copilot في Microsoft Defender.

  4. يمكنك تقديم ملاحظات لكل بطاقة استجابة لتحسين الاستجابات المستقبلية باستمرار من Copilot. لتقديم الملاحظات، حدد أيقونة الملاحظات لقطة شاشة تعرض أيقونة الملاحظات ل Copilot في بطاقات Defender الموجودة في الجزء السفلي الأيسر من كل بطاقة.

ملاحظة

تعني أزرار الإجراءات باللون الرمادي أن هذه الإجراءات محدودة بإذنك. راجع صفحة أذونات الوصول الموحد المستند إلى الدور (RBAC) للحصول على مزيد من المعلومات.

يساعد Copilot في تسريع مهام التحقيق الخاصة بالمحللين. عندما يتطلب الحادث مزيدا من التحقيق في نشاط مستخدم، يقترح Copilot نصا يمكن للمحللين استخدامه للتواصل مع مستخدم. تتضمن بطاقة الاستجابة الإرشادية مستخدم جهة اتصال في Teams أو إجراء النسخ إلى الحافظة الذي ينسخ النص المقترح إلى الحافظة. يمكن للمحللين بعد ذلك لصق النص في رسالة بريد إلكتروني أو أداة اتصال أخرى. يمكن للمحلل أيضا الحصول على مزيد من السياق حول المستخدم من خلال إجراء عرض المستخدم .

لقطة شاشة تعرض النص المقترح للاتصال في بطاقة استجابة موجهة.

يدعم Copilot أيضا فرق الاستجابة للحوادث من خلال تمكين المحللين من الحصول على مزيد من السياق حول إجراءات الاستجابة مع رؤى إضافية. بالنسبة إلى استجابات المعالجة، يمكن لفرق الاستجابة للحوادث عرض معلومات إضافية مع خيارات مثل عرض حوادث مماثلة أو عرض رسائل البريد الإلكتروني المماثلة.

يصبح إجراء عرض الحوادث المماثلة متاحا عندما تكون هناك حوادث أخرى داخل المؤسسة مشابهة للحادث الحالي. تسرد علامة التبويب حوادث مشابهة حوادث مماثلة يمكنك مراجعتها. يحدد Microsoft Defender تلقائيا الأحداث المماثلة داخل المؤسسة من خلال التعلم الآلي. يمكن لفرق الاستجابة للحوادث استخدام المعلومات من هذه الحوادث المماثلة لتصنيف الحوادث ومراجعة الإجراءات التي تم إجراؤها في تلك الحوادث المماثلة.

ينقلك إجراء عرض رسائل البريد الإلكتروني المماثلة، والمخصص لحوادث التصيد الاحتيالي، إلى صفحة التتبع المتقدمة، حيث يتم إنشاء استعلام KQL لسرد رسائل البريد الإلكتروني المماثلة داخل المؤسسة تلقائيا. يساعد إنشاء الاستعلام التلقائي المتعلق بالحادث فرق الاستجابة للحوادث على إجراء مزيد من التحقيق في رسائل البريد الإلكتروني الأخرى التي قد تكون مرتبطة بالحادث. يمكنك مراجعة الاستعلام وتعديله حسب الحاجة.

نموذج موجه الاستجابات

في مدخل Copilot for Security المستقل، يمكنك استخدام المطالبة التالية لإنشاء استجابات موجهة:

  • إنشاء استجابات وتوصيات موجهة لحادث Defender {incident ID}.

تلميح

عند إنشاء استجابات موجهة في مدخل Copilot for Security، توصي Microsoft بتضمين كلمة Defender في مطالباتك للتأكد من أن إمكانية الاستجابات الإرشادية تقدم النتائج.

تقديم ملاحظات

تشجعك Microsoft بشدة على تقديم ملاحظات إلى Copilot، لأنها ضرورية للتحسين المستمر للقدرة. لتقديم الملاحظات، انتقل إلى أسفل اللوحة الجانبية Copilot وحدد أيقونة الملاحظات لقطة شاشة لأيقونة الملاحظات ل Copilot في بطاقات Defender.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.