Opsummer en hændelse med Microsoft Copilot i Microsoft Defender
Gælder for:
- Microsoft Defender XDR
- Microsoft Defender SOC-platform (Unified Security Operations Center)
Microsoft Defender XDR anvender funktionerne i Copilot til Security til at opsummere hændelser og levere virkningsfulde oplysninger og indsigter for at forenkle undersøgelsesopgaver. Undersøgelse af angreb er et afgørende skridt for teams til svar på hændelser for at kunne forsvare en organisation mod yderligere skader fra en cybertrussel. Undersøgelser kan ofte være tidskrævende, da de omfatter mange trin. Teams for svar på hændelser skal forstå, hvordan angrebet skete: Sortere gennem adskillige beskeder, identificere, hvilke aktiver og enheder der er involveret, og vurdere omfanget og virkningen af et angreb.
Personer, der reagerer på hændelser, kan nemt få den rette kontekst til at undersøge og afhjælpe hændelser via Defender XDR-korrelationsfunktioner og Copilot databehandling og kontekstualisering i Copilot til Security, der er drevet af kunstig intelligens. Med en oversigt over hændelser kan indsatslederne hurtigt få vigtige oplysninger, der kan hjælpe med deres undersøgelse.
Hændelsesoversigtsfunktionen er tilgængelig på Microsoft Defender-portalen via Copilot til Security-licensen. Denne funktionalitet til guidet respons er også tilgængelig i den separate Copilot til Security-oplevelse via Microsoft Defender XDR-plugin'et.
Denne vejledning beskriver, hvad du kan forvente, og hvordan du får adgang til den opsummerende funktionalitet i Copilot i Defender, herunder oplysninger om, hvordan du giver feedback.
Opsummer en hændelse
Hændelser, der indeholder op til 100 underretninger, kan opsummeres i én oversigt over hændelser. En oversigt over hændelser, indeholder afhængigt af tilgængeligheden af dataene, følgende:
- Klokkeslæt og dato, hvor et angreb startede.
- Den enhed eller det aktiv, hvor angrebet startede.
- En oversigt over tidslinjer for, hvordan angrebet udfoldede sig.
- De aktiver, der var involveret i angrebet.
- Indikatorer på kompromittering (Indicators of Compromise – IOCs).
- Navne på involverede trusselsaktører.
For at opsummere en hændelse skal du udføre følgende trin:
Åbn en hændelsesside. Copilot opretter automatisk en hændelsesoversigt, når siden åbnes. Du kan stoppe oprettelsen af oversigten ved at vælge Annuller eller genstart oprettelsen ved at vælge Generér igen.
Oversigtskortet over hændelser indlæses i Copilot-ruden. Gennemse den genererede oversigt på kortet.
Tip
Du kan navigere til en fil-, IP- eller URL-side fra ruden Copilot-resultater ved at klikke på beviserne i resultaterne.
Vælg ellipsen Flere handlinger (…) øverst på oversigtskortet over hændelser for at kopiere eller regenerere oversigten, eller få vist oversigten i Copilot til Security-portalen. Hvis du vælger Åbn i Copilot til Security åbnes en ny fane på den separate Copilot til Security-fane, hvor du kan angive prompter og få adgang til andre plugins.
Gennemse oversigten, og brug oplysningerne til at vejlede din undersøgelse og dit respons på hændelsen. Du kan give feedback om oversigten ved at vælge feedback-ikonet
, der findes nederst i Copilot-ruden.
Se også
- Kør scriptanalyse
- Analysér filer
- Generér enhedsoversigt
- Brug automatiserede svar, når du reagerer på trusler
- Generér KQL-forespørgsler
- Opret hændelsesrapporter
- Kom i gang med Microsoft Copilot til Security
- Få mere at vide om andre integrerede oplevelser med Copilot til Security
- Få mere at vide om forudinstallerede plug-ins i Copilot til Security
- Undersøg hændelser i Microsoft Defender XDR
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om