Zusammenfassen eines Vorfalls mit Microsoft Copilot in Microsoft Defender
Gilt für:
- Microsoft Defender XDR
- Microsoft Defender SOC-Plattform (Unified Security Operations Center)
Microsoft Defender XDR wendet die Funktionen von Copilot für Security an, um Incidents zusammenzufassen und wirkungsvolle Informationen und Erkenntnisse bereitzustellen, um Untersuchungsaufgaben zu vereinfachen. Die Untersuchung von Angriffen ist ein wichtiger Schritt für Teams zur Reaktion auf Vorfälle, um eine organization erfolgreich vor weiteren Schäden durch eine Cyberbedrohung zu schützen. Untersuchungen können oft zeitaufwändig sein, da sie zahlreiche Schritte umfassen. Teams zur Reaktion auf Vorfälle müssen verstehen, wie der Angriff stattgefunden hat: Sortieren Sie zahlreiche Warnungen, identifizieren Sie, welche Ressourcen und Entitäten beteiligt sind, und bewerten Sie den Umfang und die Auswirkungen eines Angriffs.
Reaktionshelfer für Incidents können problemlos den richtigen Kontext für die Untersuchung und Behebung von Vorfällen erhalten, indem sie die Korrelationsfunktionen von Defender XDR und die KI-gestützte Datenverarbeitung und Kontextualisierung von Copilot für Security verwenden. Mit einer Vorfallzusammenfassung können Reaktionshelfer schnell wichtige Informationen erhalten, die bei ihrer Untersuchung helfen.
Die Funktion "Incidentzusammenfassung" ist im Microsoft Defender-Portal über die Copilot für Security-Lizenz verfügbar. Diese Funktion ist auch in der Copilot für Security eigenständigen Umgebung über das Microsoft Defender XDR-Plug-In verfügbar.
In diesem Leitfaden wird beschrieben, was Sie erwarten und wie Sie auf die Zusammenfassungsfunktion von Copilot in Defender zugreifen, einschließlich Informationen zur Bereitstellung von Feedback.
Zusammenfassen eines Incidents
Incidents mit bis zu 100 Warnungen können in einer Incidentzusammenfassung zusammengefasst werden. Eine Incidentzusammenfassung umfasst je nach Verfügbarkeit der Daten Folgendes:
- Die Uhrzeit und das Datum, zu dem ein Angriff gestartet wurde.
- Die Entität oder ressource, in der der Angriff begonnen hat.
- Eine Zusammenfassung der Zeitachsen, wie sich der Angriff entwickelt hat.
- Die an dem Angriff beteiligten Ressourcen.
- Indikatoren der Kompromittierung (IoCs).
- Namen der beteiligten Bedrohungsakteure .
Führen Sie die folgenden Schritte aus, um einen Incident zusammenzufassen:
Öffnen Sie eine Vorfallseite. Copilot erstellt beim Öffnen der Seite automatisch eine Incidentzusammenfassung. Sie können die Zusammenfassungserstellung beenden, indem Sie Die Erstellung abbrechen oder neu starten auswählen, indem Sie Erneut generieren auswählen.
Die Incidentzusammenfassung Karte im Bereich Copilot geladen. Überprüfen Sie die generierte Zusammenfassung auf der Karte.
Tipp
Sie können im Copilot-Ergebnisbereich zu einer Datei-, IP- oder URL-Seite navigieren, indem Sie in den Ergebnissen auf den Beweis klicken.
Wählen Sie oben in der Incidentzusammenfassung die Auslassungspunkte (...) aus, Karte um die Zusammenfassung zu kopieren oder erneut zu generieren, oder zeigen Sie die Zusammenfassung im Copilot für Security-Portal an. Wenn Sie In Copilot für Security öffnen auswählen, wird eine neue Registerkarte im eigenständigen Copilot für Security Portal geöffnet, auf der Sie Eingabeaufforderungen eingeben und auf andere Plug-Ins zugreifen können.
Überprüfen Sie die Zusammenfassung, und verwenden Sie die Informationen, um Ihre Untersuchung und Reaktion auf den Vorfall zu steuern. Sie können Feedback zur Zusammenfassung geben, indem Sie das Feedbacksymbol auswählen unten im Copilot-Bereich.
Siehe auch
- Ausführen der Skriptanalyse
- Dateien analysieren
- Gerätezusammenfassung generieren
- Verwenden von geführten Antworten beim Reagieren auf Bedrohungen
- Generieren von KQL-Abfragen
- Vorfallberichte erstellen
- Erste Schritte mit Microsoft Copilot für Security
- Weitere Informationen zu anderen Copilot für Security eingebetteten Umgebungen
- Erfahren Sie mehr über vorinstallierte Plug-Ins in Copilot für Security
- Untersuchen von Vorfällen in Microsoft Defender XDR
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für