Sdílet prostřednictvím

Posouzení a vyšetřování incidentů s využitím odpovědí s asistencí od Microsoft Copilotu v Microsoft Defenderu

  • Článek

Platí pro:

  • Microsoft Defender XDR
  • Platforma jednotného zabezpečovacího operačního centra (SOC) Microsoft Defender

Microsoft Copilot pro Security v portálu Microsoft Defender podporuje týmy reakce na incident při okamžitém řešení incidentů pomocí řízených reakcí. Copilot v Defenderu používá umělou inteligenci a strojové učení k zasazení incidentu do kontextu a poučení z předchozích šetření za účelem generování vhodných reakcí.

Reakce na incidenty v portálu Microsoft Defender často vyžaduje znalost dostupných akcí portálu k zastavení útoků. Kromě toho mohou mít noví respondenti incidentů různé představy o tom, kde a jak začít na incidenty reagovat. Schopnost řízené reakce Copilota Defender umožňuje týmům reagovat na incident na všech úrovních bez obav a rychle tyto reakce aplikovat za účelem snadného řešení incidentů.

Odpovědi s asistencí jsou dostupné na portálu Microsoft Defender prostřednictvím licence Copilot pro Security. Odpovědi s asistencí jsou k dispozici také v samostatném prostředí Copilot pro Security prostřednictvím modulu plug-in Defender XDR.

Tato příručka popisuje, jak získat přístup řízené reakce včetně informací o poskytování zpětné vazby k reakcím.

Použijte řešení incidentů pomocí řízených reakcí

Řízené reakce doporučují akce v následujících kategoriích:

  • Třídění – zahrnuje doporučení klasifikovat incidenty jako informační, pravdivě pozitivní nebo falešně pozitivní
  • Omezení – zahrnuje doporučené akce k omezení incidentu
  • Prověřování – zahrnuje doporučené akce pro další prověřování
  • Náprava – zahrnuje doporučené reakce, které se mají použít u konkrétních entit zapojených do incidentu

Každá karta obsahuje informace o doporučené akci, včetně entity, kde je třeba akci použít, a důvod, proč se akce doporučuje. Karty také zdůrazňují, kdy byla doporučená akce provedena automatizovaným prověřováním, jako je přerušení útoku nebo reakce automatizovaného prověřování.

Karty řízené reakce se dají seřadit podle dostupného stavu jednotlivých karet. Konkrétní stav můžete vybrat při prohlížení řízených reakcí tak, že kliknete na Stav a vyberete příslušný stav, který chcete zobrazit. Ve výchozím nastavení se zobrazují všechny karty řízené reakce bez ohledu na stav.

Snímek obrazovky znázorňující stav odpovědí v podokně Copilot na stránce incidentu v programu Microsoft Defender

Pokud chcete použít řízené reakce, proveďte následující kroky:

  1. Otevřete stránku incidentu. Copilot automaticky vygeneruje řízené reakce při otevření stránky incidentu. Na pravé straně stránky incidentu se zobrazí podokno Copilot se zobrazenými kartami řízené reakce.

    Snímek obrazovky znázorňující podokno Copilot s řízenými odpověďmi na stránce incidentu v programu Microsoft Defender

  2. Před použitím doporučení zkontrolujte každou kartu. Výběrem tří teček Další akce (...) v horní části karty odpovědí zobrazíte možnosti dostupné pro každé doporučení. Tady je pár příkladů.

    Snímek obrazovky znázorňující možnosti dostupné uživatelům na kartě odpovědi s asistencí na bočním panelu Copilot

    Snímek obrazovky znázorňující možnosti dostupné uživatelům na kartě odpovědi automatizace v podokně Copilot v Microsoft DefenderU XDR

  3. Pokud chcete použít akci, vyberte požadovanou akci, kterou najdete na každé kartě. Akce reakce s asistencí na každé kartě je přizpůsobená typu incidentu a konkrétní zúčastněné entitě.

    Snímek obrazovky znázorňující karty odpovědí s asistencí v podokně Copilot v Microsoft Defenderu

  4. Na každou kartu odpovědi můžete poskytnout zpětnou vazbu, abyste mohli průběžně vylepšovat budoucí odpovědi od Copilota. Pokud chcete poskytnout zpětnou vazbu, vyberte ikonu zpětné vazby Snímek obrazovky s ikonou zpětné vazby pro Copilot na kartách Defenderu v pravém dolním rohu každé karty.

Poznámka

Zašedlá tlačítka akcí znamenají, že tyto akce jsou omezené vaším oprávněním. Další informace najdete na stránce s oprávněními sjednoceného přístupu na základě role (RBAC).

Copilot v Defenderu podporuje týmy reakce na incidenty tím, že umožňuje analytikům získat více kontextu o akcích reakce s dalšími přehledy. V případě nápravných reakcí si můžou týmy pro reakce na incident zobrazit další informace s možnostmi, jako jsou Zobrazit podobné incidenty nebo Zobrazit podobné e-maily.

Akce Zobrazit podobné incidenty se zpřístupní, pokud se v organizaci vyskytnou další incidenty podobné aktuálnímu incidentu. Na kartě Podobné incidenty jsou uvedené podobné incidenty, které můžete zkontrolovat. Microsoft Defender automaticky identifikuje podobné incidenty v rámci organizace prostřednictvím strojového učení. Týmy reakce na incident můžou informace z těchto podobných incidentů využít ke klasifikaci incidentů a dalšímu vyhodnocení akcí provedených při těchto podobných incidentech.

Akce Zobrazit podobné e-maily, která je specifická pro útoky phishing, vás zavede na stránku rozšířeného proaktivního vyhledávání, kde se automaticky vygeneruje dotaz KQL pro výpis podobných e-mailů v organizaci. Toto automatické generování dotazů související s incidentem pomáhá týmům reakce na incident dále zkoumat další e-maily, které můžou s incidentem souviset. Dotaz můžete zkontrolovat a podle potřeby upravit.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.