Microsoft Copilot in Microsoft Defender
Gilt für:
- Microsoft Defender XDR
- Microsoft Defender SOC-Plattform (Unified Security Operations Center)
Microsoft Copilot für Security vereint die Leistungsfähigkeit von KI und menschlichem Fachwissen, damit Sicherheitsteams schneller und effektiver auf Angriffe reagieren können. Copilot für Security ist in das Microsoft Defender-Portal eingebettet, damit Sicherheitsteams Incidents effizient zusammenfassen, Skripts und Codes analysieren, Dateien analysieren, Geräteinformationen zusammenfassen, geführte Antworten verwenden können, um Incidents zu beheben, KQL-Abfragen zu generieren und Incidentberichte zu erstellen.
Dieser Artikel bietet eine Übersicht für Benutzer von Copilot in Defender, einschließlich Der Zugriffsschritte, wichtige Funktionen und Links zu den Details dieser Funktionen.
Zugreifen auf Copilot in Defender
Um sicherzustellen, dass Sie Zugriff auf Copilot in Defender haben, lesen Sie die Copilot für Security Kauf- und Lizenzierungsinformationen. Sobald Sie Zugriff auf Copilot für Security haben, können sie im Microsoft Defender-Portal auf die unten erläuterten wichtigsten Funktionen zugreifen.
Untersuchen und Reagieren auf Vorfälle wie ein Experte
Ermöglichen Sie Es Sicherheitsteams, Angriffsuntersuchungen zeitnah und einfach und präzise anzugehen. Copilot hilft Teams, Angriffe sofort zu verstehen, verdächtige Dateien und Skripts schnell zu analysieren und umgehend eine geeignete Risikominderung zu bewerten und anzuwenden, um Angriffe zu stoppen und einzudämmen.
Schnelles Zusammenfassen von Incidents
Das Untersuchen von Vorfällen mit mehreren Warnungen kann eine entmutigende Aufgabe sein. Um einen Incident sofort zu verstehen, können Sie auf Copilot tippen, um einen Vorfall für Sie zusammenzufassen . Copilot erstellt eine Übersicht über den Angriff mit wichtigen Informationen, um zu verstehen, was in dem Angriff aufgetreten ist, welche Ressourcen beteiligt sind und welche Zeitleiste der Angriff. Copilot erstellt automatisch eine Zusammenfassung, wenn Sie zur Seite eines Incidents navigieren.
Ergreifen von Maßnahmen bei Vorfällen durch geführte Reaktionen
Um Incidents zu beheben, müssen Analysten über ein Verständnis eines Angriffs verfügen, um zu wissen, welche Lösungen geeignet sind. Copilot empfiehlt Lösungen durch geführte Antworten , die für jeden Incident spezifisch sind.
Einfaches Ausführen der Skriptanalyse
Die meisten Angreifer verlassen sich beim Starten von Angriffen auf hochentwickelte Malware, um einer Erkennung und Analyse zu entgehen. Diese Schadsoftware wird in der Regel verschleiert und kann in Form von Skripts oder Befehlszeilen in PowerShell vorliegen. Copilot kann Skripts schnell analysieren und so die Zeit für die Untersuchung verkürzen.
Generieren von Gerätezusammenfassungen
Die Untersuchung von Geräten, die an Vorfällen beteiligt sind, kann ein Aufgabenauftrag sein. Um ein Gerät schnell bewerten zu können, kann Copilot die Informationen eines Geräts zusammenfassen, einschließlich des Sicherheitsstatus des Geräts, ungewöhnlichen Verhaltensweisen, einer Liste anfälliger Software und relevanter Microsoft Intune Informationen.
Sofortiges Analysieren von Dateien
Copilot unterstützt Sicherheitsteams dabei, verdächtige Dateien mithilfe der Dateianalyse schnell zu bewerten und zu verstehen. Copilot stellt die Zusammenfassung einer Datei bereit, einschließlich Erkennungsinformationen, zugehörige Dateizertifikate, eine Liste von API-Aufrufen und Zeichenfolgen, die in der Datei gefunden wurden.
Effizientes Schreiben von Incidentberichten
Sicherheitsteams schreiben in der Regel Berichte, um wichtige Informationen zu erfassen, einschließlich der durchgeführten Reaktionsaktionen und der entsprechenden Ergebnisse, der beteiligten Teammitglieder und anderer Informationen, um zukünftige Sicherheitsentscheidungen und Lernprozesse zu unterstützen. Häufig kann das Dokumentieren von Vorfällen zeitaufwändig sein. Damit Vorfallberichte wirksam sind, müssen sie eine Zusammenfassung eines Vorfalls sowie die ergriffenen Maßnahmen enthalten, einschließlich der Maßnahmen, die von wem und wann ergriffen wurden. Copilot generiert einen Incidentbericht , indem diese Informationen schnell konsolidiert werden.
Jagd wie ein Profi
Copilot in Defender unterstützt Sicherheitsteams bei der proaktiven Suche nach Bedrohungen in ihrem Netzwerk, indem schnell geeignete KQL-Abfragen erstellt werden.
Generieren von KQL-Abfragen aus Eingaben in natürlicher Sprache
Sicherheitsteams, die die erweiterte Suche verwenden, um proaktiv nach Bedrohungen in ihrem Netzwerk zu suchen, können jetzt einen Abfrageassistenten verwenden, der alle Fragen in natürlicher Sprache im Kontext der Bedrohungssuche in eine sofort einsatzbereite KQL-Abfrage konvertiert. Der Abfrageassistent spart Sicherheitsteams Zeit, indem eine KQL-Abfrage generiert wird, die dann automatisch ausgeführt oder weiter entsprechend den Anforderungen des Analysten optimiert werden kann. Weitere Informationen zur Abfrage Assistent finden Sie unter Copilot für Security in der erweiterten Suche.
Schützen Sie Ihre organization mit relevanten Threat Intelligence
Ermöglichen Sie Ihren sicherheitsrelevanten organization fundierte Entscheidungen mit den neuesten Bedrohungsinformationen zu treffen. Copilot konsolidiert und fasst Threat Intelligence zusammen, um Sicherheitsteams dabei zu unterstützen, Bedrohungen effektiv zu priorisieren und darauf zu reagieren.
Überwachen von Threat Intelligence
Bitten Sie Copilot, die relevanten Bedrohungen, die sich auf Ihre Umgebung auswirken, zusammenzufassen, um die Behebung von Bedrohungen basierend auf Ihren Expositionsstufen zu priorisieren oder Bedrohungsakteure zu finden, die möglicherweise auf Ihre Branche abzielen. Erfahren Sie mehr über Copilot für Security in Threat Intelligence.
Datensicherheit und Feedback in Copilot
Copilot entwickelt sich kontinuierlich weiter mithilfe von Daten , die je nach den von Ihrem Administrator definierten Einstellungen gespeichert, verarbeitet und freigegeben werden . Microsoft stellt sicher, dass Ihre Daten bei der Verwendung von Copilot immer geschützt und sicher sind. Weitere Informationen zur Datensicherheit und zum Datenschutz in Copilot finden Sie unter Datenschutz und Datensicherheit in Copilot.
Aufgrund seiner kontinuierlichen Weiterentwicklung könnte Copilot einige Dinge verpassen. Das Überprüfen und Geben von Feedback zu den Ergebnissen trägt dazu bei, die zukünftigen Antworten von Copilot zu verbessern.
Alle Copilot-Funktionen in Defender haben die Möglichkeit, Feedback zu geben. Führen Sie die folgenden Schritte aus, um Feedback zu geben:
- Feedbacksymbol auswählen
unten in allen Ergebnissen Karte im Copilot-Seitenbereich. - Wählen Sie Bestätigt, es sieht gut aus, wenn die Ergebnisse Ihrer Einschätzung zufolge korrekt sind. Weitere Informationen finden Sie im nächsten Dialogfeld.
- Wählen Sie Abweichendes Ziel, ungenau, wenn ein Detail Ihrer Einschätzung zufolge falsch oder unvollständig ist. Sie können weitere Informationen zu Ihrer Bewertung im nächsten Dialogfeld angeben und diese Bewertung an Microsoft übermitteln.
- Sie können die Ergebnisse auch melden, wenn sie fragwürdige oder mehrdeutige Informationen enthalten, indem Sie Potenziell schädlich, unangemessen auswählen. Geben Sie im nächsten Dialogfeld weitere Informationen zu den Ergebnissen an, und wählen Sie Senden aus.
Plug-Ins in Copilot für Security
Copilot verwendet vorinstallierte Microsoft-Plug-Ins wie Microsoft Defender XDR, Defender Threat Intelligence und Natural Language to KQL für Microsoft Sentinel und Defender XDR Plug-Ins, um relevante Informationen zu generieren, mehr Kontext für Incidents bereitzustellen und genauere Ergebnisse zu generieren. Stellen Sie sicher, dass Plug-Ins in Copilot aktiviert sind, um den Zugriff auf relevante Daten zu ermöglichen und angeforderte Inhalte von anderen Microsoft-Diensten in Ihrem organization zu generieren.
Nächste Schritte
- Erfahren Sie, wie Sie Incidents zusammenfassen
- Verwenden von geführten Antworten beim Reagieren auf Incidents
- Ausführen der Skriptanalyse
- Dateien analysieren
- Gerätezusammenfassung generieren
- Generieren von KQL-Abfragen
- Vorfallberichte erstellen
- Verwenden von Threat Intelligence
Siehe auch
- Erste Schritte mit Copilot für Security
- Datenschutz und Datensicherheit in Copilot
- Häufig gestellte Fragen zu verantwortungsvoller KI
- Andere eingebettete Copilot für Security Erfahrungen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für