Prioriter og undersøg hændelser med guidede responser fra Microsoft Copilot i Microsoft Defender

Gælder for:

• Microsoft Defender XDR
• Microsoft Defender SOC-platform (Unified Security Operations Center)

Microsoft Copilot til Security i Microsoft Defender-portalen understøtter teams til svar på hændelser ved øjeblikkeligt at løse hændelser med guidet respons. Copilot i Defender bruger kunstig intelligens og maskinel indlæring til at kontekstualisere en hændelse og lære af tidligere undersøgelser for at generere relevante svarhandlinger.

At svare på hændelser i Microsoft Defender-portalen kræver ofte kendskab til portalens tilgængelige handlinger til at stoppe angreb. Derudover kan nye hændelsesrespondenter have forskellige idéer til, hvor og hvordan de skal begynde at svare på hændelser. Funktionen for guidet respons for Copilot i Defender gør det muligt for teams at svare på hændelser på alle sikkerhedsniveauer og hurtigt at anvende svarhandlinger for nemt at løse hændelser.

Guidet respons er tilgængelige på Microsoft Defender-portalen via Copilot til Security-licensen. Guidet respons er også tilgængelige i Copilot til Security enkeltstående oplevelse via Defender XDR-plug-in'en.

Denne vejledning beskriver, hvordan du får adgang til funktionen til guidet respons, herunder oplysninger om, hvordan du giver feedback om svarene.

Brug guidet respons til at løse hændelser

Guidede responses anbefalede handlinger i følgende kategorier:

• Prioritering – inkluderer en anbefaling om at klassificere hændelser som informative, sande positive eller falske positive
• Inddæmning – inkluderer anbefalede handlinger til at inddæmme en hændelse
• Undersøgelse – inkluderer anbefalede handlinger til yderligere undersøgelse
• Afhjælpning – inkluderer anbefalede svarhandlinger, der skal anvendes på bestemte entiteter, der er involveret i en hændelse

Hvert kort indeholder oplysninger om den anbefalede handling, herunder den enhed, hvor handlingen skal anvendes, og hvorfor handlingen anbefales. Kortene understreger også, hvornår en anbefalet handling blev udført af automatiseret undersøgelse, f.eks. angrebsafbrydelser eller automatiseret undersøgelsessvar.

Kort for guidet respons kan sorteres på baggrund af den tilgængelige status for hvert kort. Du kan vælge en bestemt status, når du får vist guidet respons, ved at klikke på Status og vælge den relevante status, du vil have vist. Alle kort til guidet respons, uanset status, vises som standard.

Hvis du vil bruge guidede responses, skal du udføre følgende trin:

1. Åbn en hændelsesside. Copilot genererer automatisk guidet respons ved åbning af en hændelsesside. Ruden Copilot vises i højre side af hændelsessiden og viser kort til guidet respons.

   

2. Gennemse hvert kort, før du anvender anbefalingerne. Vælg ellipsen Flere handlinger (...) oven på et responskort for at få vist de tilgængelige indstillinger for hver anbefaling. Her er nogle eksempler.

   

   

3. Hvis du vil anvende en handling, skal du vælge den ønskede handling, der blev fundet på hvert kort. Guidet responshandling på hvert kort er skræddersyet til typen af hændelse og den specifikke enhed, der er involveret.

   

4. Du kan give feedback til hvert svarkort for løbende at forbedre fremtidige svar fra Copilot. Hvis du vil give feedback, skal du vælge feedbackikonet , der findes nederst til højre på hvert kort.

Bemærk!

Nedtonede handlingsknapper betyder, at disse handlinger er begrænset af din tilladelse. Du kan finde flere oplysninger på siden med RBAC-tilladelser (Unified Role Based Access).

Copilot hjælper med at fremskynde analytikernes undersøgelsesopgaver. Når en hændelse kræver yderligere undersøgelse af en brugeraktivitet, foreslår Copilot tekst, som analytikere kan bruge til at kommunikere med en bruger. Det guidede svarkort indeholder en kontaktbruger i Teams eller Kopiér til Udklipsholder , der kopierer den foreslåede tekst til Udklipsholder. Analytikere kan derefter indsætte teksten i en mail eller et andet kommunikationsværktøj. Analytikeren kan også få mere kontekst om brugeren via handlingen Vis bruger .

Copilot understøtter også teams for svar på hændelser ved at gøre det muligt for analytikere at få mere kontekst om svarhandlinger med yderligere indsigt. I forbindelse med afhjælpningssvar kan teams til svar på hændelser få vist yderligere oplysninger med indstillinger som Vis lignende hændelser eller Vis lignende mails.

Handlingen Vis lignende hændelser bliver tilgængelig, når der er andre hændelser i organisationen, der svarer til den aktuelle hændelse. Fanen Lignende hændelser viser lignende hændelser, som du kan gennemse. Microsoft Defender identificerer automatisk lignende hændelser i organisationen via maskinel indlæring. Teams til svar på hændelser kan bruge oplysningerne fra disse lignende hændelser til at klassificere hændelser og yderligere gennemse de handlinger, der blev udført i disse lignende hændelser.

Handlingen Vis lignende mails, som er specifik for phishing-hændelser, fører dig til siden avanceret jagt på trusler, hvor der automatisk genereres en KQL-forespørgsel om at vise lignende mails i organisationen. Denne automatiske generering af forespørgsler, der er relateret til en hændelse, hjælper teams til svar på hændelser med at undersøge andre mails, der kan være relateret til hændelsen, yderligere. Du kan gennemse forespørgslen og redigere den efter behov.

Se også

• Opsummer en hændelse
• Analysér filer
• Kør scriptanalyse
• Opret en hændelsesrapport
• Generér KQL-forespørgsler
• Kom i gang med Microsoft Copilot til Security
• Få mere at vide om andre integrerede oplevelser med Copilot til Security
• Få mere at vide om forudinstallerede plug-ins i Copilot til Security

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.