Posouzení a vyšetřování incidentů s využitím odpovědí s asistencí od Microsoft Copilotu v Microsoft Defenderu
Platí pro:
- Microsoft Defender XDR
- Platforma jednotného zabezpečovacího operačního centra (SOC) Microsoft Defender
Microsoft Copilot pro Security v portálu Microsoft Defender podporuje týmy reakce na incident při okamžitém řešení incidentů pomocí řízených reakcí. Copilot v Defenderu používá umělou inteligenci a strojové učení k zasazení incidentu do kontextu a poučení z předchozích šetření za účelem generování vhodných reakcí.
Reakce na incidenty v portálu Microsoft Defender často vyžaduje znalost dostupných akcí portálu k zastavení útoků. Kromě toho mohou mít noví respondenti incidentů různé představy o tom, kde a jak začít na incidenty reagovat. Schopnost řízené reakce Copilota Defender umožňuje týmům reagovat na incident na všech úrovních bez obav a rychle tyto reakce aplikovat za účelem snadného řešení incidentů.
Odpovědi s asistencí jsou dostupné na portálu Microsoft Defender prostřednictvím licence Copilot pro Security. Odpovědi s asistencí jsou k dispozici také v samostatném prostředí Copilot pro Security prostřednictvím modulu plug-in Defender XDR.
Tato příručka popisuje, jak získat přístup řízené reakce včetně informací o poskytování zpětné vazby k reakcím.
Použijte řešení incidentů pomocí řízených reakcí
Řízené reakce doporučují akce v následujících kategoriích:
- Třídění – zahrnuje doporučení klasifikovat incidenty jako informační, pravdivě pozitivní nebo falešně pozitivní
- Omezení – zahrnuje doporučené akce k omezení incidentu
- Prověřování – zahrnuje doporučené akce pro další prověřování
- Náprava – zahrnuje doporučené reakce, které se mají použít u konkrétních entit zapojených do incidentu
Každá karta obsahuje informace o doporučené akci, včetně entity, kde je třeba akci použít, a důvod, proč se akce doporučuje. Karty také zdůrazňují, kdy byla doporučená akce provedena automatizovaným prověřováním, jako je přerušení útoku nebo reakce automatizovaného prověřování.
Karty řízené reakce se dají seřadit podle dostupného stavu jednotlivých karet. Konkrétní stav můžete vybrat při prohlížení řízených reakcí tak, že kliknete na Stav a vyberete příslušný stav, který chcete zobrazit. Ve výchozím nastavení se zobrazují všechny karty řízené reakce bez ohledu na stav.
Pokud chcete použít řízené reakce, proveďte následující kroky:
Otevřete stránku incidentu. Copilot automaticky vygeneruje řízené reakce při otevření stránky incidentu. Na pravé straně stránky incidentu se zobrazí podokno Copilot se zobrazenými kartami řízené reakce.
Před použitím doporučení zkontrolujte každou kartu. Výběrem tří teček Další akce (...) v horní části karty odpovědí zobrazíte možnosti dostupné pro každé doporučení. Tady je pár příkladů.
Pokud chcete použít akci, vyberte požadovanou akci, kterou najdete na každé kartě. Akce reakce s asistencí na každé kartě je přizpůsobená typu incidentu a konkrétní zúčastněné entitě.
Na každou kartu odpovědi můžete poskytnout zpětnou vazbu, abyste mohli průběžně vylepšovat budoucí odpovědi od Copilota. Pokud chcete poskytnout zpětnou vazbu, vyberte ikonu zpětné vazby
v pravém dolním rohu každé karty.
Poznámka
Zašedlá tlačítka akcí znamenají, že tyto akce jsou omezené vaším oprávněním. Další informace najdete na stránce s oprávněními sjednoceného přístupu na základě role (RBAC).
Copilot v Defenderu podporuje týmy reakce na incidenty tím, že umožňuje analytikům získat více kontextu o akcích reakce s dalšími přehledy. V případě nápravných reakcí si můžou týmy pro reakce na incident zobrazit další informace s možnostmi, jako jsou Zobrazit podobné incidenty nebo Zobrazit podobné e-maily.
Akce Zobrazit podobné incidenty se zpřístupní, pokud se v organizaci vyskytnou další incidenty podobné aktuálnímu incidentu. Na kartě Podobné incidenty jsou uvedené podobné incidenty, které můžete zkontrolovat. Microsoft Defender automaticky identifikuje podobné incidenty v rámci organizace prostřednictvím strojového učení. Týmy reakce na incident můžou informace z těchto podobných incidentů využít ke klasifikaci incidentů a dalšímu vyhodnocení akcí provedených při těchto podobných incidentech.
Akce Zobrazit podobné e-maily, která je specifická pro útoky phishing, vás zavede na stránku rozšířeného proaktivního vyhledávání, kde se automaticky vygeneruje dotaz KQL pro výpis podobných e-mailů v organizaci. Toto automatické generování dotazů související s incidentem pomáhá týmům reakce na incident dále zkoumat další e-maily, které můžou s incidentem souviset. Dotaz můžete zkontrolovat a podle potřeby upravit.
Viz také
- Shrnutí incidentu
- Analýza souborů
- Spustit analýzu skriptu
- Vytvoření hlášení incidentu
- Generování dotazů KQL
- Začínáme s Microsoft Copilot pro Security
- Další informace o dalších integrovaných funkcích Copilot pro Security
- Další informace o předinstalovaných modulech plug-in v Copilot pro Security
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro