Shrnutí incidentu s nástrojem Microsoft Copilot v Microsoft Defender
Platí pro:
- Microsoft Defender XDR
- Platforma jednotného zabezpečovacího operačního centra (SOC) Microsoft Defender
Microsoft Defender XDR využívá funkce nástroje Copilot pro Security ke shrnutí incidentů, poskytování působivých informací a přehledů pro zjednodušení úkolů prověřování. Prověřování útoků je zásadním krokem pro týmy reakce na incidenty, aby úspěšně chránily organizaci před dalšími škodami způsobenými kybernetickou hrozbou. Prověřování může být často časově náročné, protože zahrnuje mnoho kroků. Týmy reakce na incidenty musí pochopit, jak k útoku došlo: projít si řadu výstrah, identifikovat, které prostředky a entity jsou zapojeny, a vyhodnotit rozsah a dopad útoku.
Členové týmu reakce na incidenty mohou snadno získat správný kontext pro prověřování a nápravu incidentů prostřednictvím korelačních funkcí nástroje Microsoft Defender XDR a zpracování a kontextualizace dat s podporou umělé inteligence v nástroji Copilot pro Security. Díky shrnutí incidentu můžou členové týmu reakce na incidenty rychle získat důležité informace, které jim pomůžou při prověřování.
Funkce souhrnu incidentů je k dispozici na portálu Microsoft Defender prostřednictvím licence Copilot pro Security. Tato funkce je k dispozici také v samostatném prostředí Copilot pro Security prostřednictvím modulu plug-in Microsoft Defender XDR.
Tato příručka popisuje, co očekávat a jak získat přístup k funkcí shrnování v nástroji Copilot pro Defender, včetně informací o poskytování zpětné vazby.
Shrnutí incidentu
Incidenty obsahující až 100 upozornění je možné shrnout do jednoho souhrnu incidentů. Souhrn incidentu v závislosti na dostupnosti dat zahrnuje následující:
- Čas a datum zahájení útoku
- Entitu nebo prostředek, kde útok začal.
- Shrnutí časového průběhu útoku.
- Prostředky, které byly součástí útoku.
- Indikátory ohrožení (IOC).
- Jména zúčastněných aktérů hrozeb.
Pokud chcete shrnout incident, proveďte následující kroky:
Otevřete stránku incidentu. Copilot automaticky vytvoří shrnutí incidentu při otevření stránky. Můžete zastavit vytvoření souhrnu výběrem možnosti Zrušit nebo restartovat vytváření výběrem možnosti Znovu vygenerovat.
Souhrnní karta incidentu se načte do podokna Copilot. Zkontrolujte vygenerovaný souhrn na kartě.
Tip
Kliknutím na důkazní materiál ve výsledcích můžete přejít na stránku souboru, adresy IP nebo adresy URL z podokna výsledků Copilot.
Výběrem Další akce třech teček (...) v horní části souhrnné karty incidentu zkopírujte nebo znovu vygenerujte souhrn nebo zobrazte souhrn na portálu Copilot pro Security. Když vyberete Otevřít v nástroji Copilot pro Security, otevře se nová karta na samostatném portálu Copilot pro Security, kde můžete zadávat výzvy a přistupovat k dalším modulům plug-in.
Prohlédněte si shrnutí a použijte informace jako vodítko při vyšetřování a reakci na incident. Zpětnou vazbu k souhrnu můžete poskytnout výběrem ikony zpětné vazby
, které najdete v dolní části podokna Copilot.
Viz také
- Spustit analýzu skriptu
- Analýza souborů
- Generovat souhrn zařízení
- Použití odpovědí s asistencí při reagování na hrozby
- Generování dotazů KQL
- Vytváření hlášení incidentů
- Začínáme s Microsoft Copilot pro Security
- Další informace o dalších integrovaných funkcích Copilot pro Security
- Další informace o předinstalovaných modulech plug-in v Copilot pro Security
- Vyšetřujte incidenty v Microsoft Defender XDR
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro