Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Sentinel použije možnosti Security Copilot na portálu Azure k vytváření obohacených souhrnů incidentů a poskytuje komplexní přehled incidentů zabezpečení sloučením informací z více výstrah. Tato funkce zvyšuje efektivitu reakce na incidenty tím, že nabízí jasný souhrn, který pomáhá vašim provozním týmům zabezpečení rychle pochopit rozsah a dopad incidentu. Poskytuje strukturovaný přehled, včetně časových os, příslušných datových zdrojů a indikátorů ohrožení zabezpečení, spolu s obohacením, jako je riziko uživatele, riziko zařízení a porovnávání seznamů sledovaných položek. Tyto souhrny navrhují postup vyšetřování pro vaše analytiky k posouzení rozsahu a dopadu útoku. Další informace najdete v tématu Navigace, třídění a správa incidentů Microsoft Sentinel na portálu Azure.
Pokud jste nasadili Microsoft Sentinel na portál Defender, můžete přejít přímo ke stejnému incidentu na portálu Defender a postupovat podle pokynů pro šetření. Další informace najdete v tématu Třídění a vyšetřování incidentů s asistovanými reakcemi ze Security Copilot v Microsoft Defenderu.
Tato příručka popisuje, co očekávat a jak získat přístup k možnostem shrnutí Copilot v Microsoft Sentinel, včetně informací o poskytování zpětné vazby.
Důležité
Funkce souhrnu incidentů Copilot pro Microsoft Sentinel je aktuálně ve verzi PREVIEW. Další právní podmínky Azure Verze Preview obsahují další právní podmínky, které platí pro Azure funkce, které jsou v beta verzi, preview nebo které ještě nejsou vydané v obecné dostupnosti.
Než začnete
Pokud s Security Copilot začínáte, měli byste se s ním seznámit v těchto článcích:
- Co je Microsoft Security Copilot?
- Zkušenosti s Microsoft Security Copilot
- Začněte s Microsoft Security Copilot
- Pochopte ověřování v Microsoft Security Copilot
- Prompting in Microsoft Security Copilot
integrace Security Copilot s Microsoft Sentinel
Funkce souhrnu incidentů je dostupná v Microsoft Sentinel na portálu Azure pro zákazníky, kteří zřídili přístup k Security Copilot.
Tato funkce je dostupná také na portálu Defender a v samostatném prostředí Security Copilot prostřednictvím zásuvných modulů Microsoft Sentinel. Přečtěte si další informace o předinstalovaných modulech plug-in v Security Copilot.
Klíčové funkce
Incidenty obsahující až 100 upozornění je možné shrnout do jednoho souhrnu incidentů. Souhrn incidentu v závislosti na dostupnosti dat zahrnuje následující:
- Čas a datum zahájení útoku
- Entitu nebo prostředek, kde útok začal.
- Shrnutí časového průběhu útoku.
- Prostředky, které byly součástí útoku.
- Indikátory ohrožení (IOC).
- Jména zúčastněných aktérů hrozeb.
- Riziko a kritičnost uživatele.
- Rizika a kritičnost zařízení.
- Shody se seznamem sledovaných položek.
Copilot automaticky vygeneruje souhrn incidentu při otevření stránky incidentu. Souhrn incidentu se zobrazí v horní části podokna podrobností na stránce incidentu před popisem.
Výběrem možnosti Zobrazit více rozbalte souhrn a zobrazte jeho úplný obsah.
Návod
Kliknutím na důkazy ve výsledcích můžete přejít na stránku souboru, IP adresy nebo adresy URL v podokně Copilot výsledků.
Prohlédněte si shrnutí a použijte informace jako vodítko při vyšetřování a reakci na incident.