Freigeben über

Microsoft Copilot in Microsoft Defender

  • Artikel
  • Gilt für::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Hinweis

Microsoft Defender XDR bietet eine einheitliche XDR-Benutzeroberfläche für Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps und Microsoft Defender für die Verwaltung von Sicherheitsrisiken. Weitere Informationen zu dieser Schutzsuite vor und nach der Verletzung finden Sie unter Was ist Microsoft Defender XDR?

Dieser Artikel bietet eine Übersicht für Benutzer von Microsoft Copilot in Microsoft Defender, einschließlich Der Zugriffsschritte, wichtige Funktionen und Links zu den Details dieser Funktionen.

Klare Ideen vor dem Loslegen

Wenn Sie noch nicht mit Copilot for Security vertraut sind, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:

Microsoft Copilot Integration in Microsoft Defender

Microsoft Copilot für Security ist eine Plattform, die die Leistungsfähigkeit von KI und menschliches Fachwissen vereint, damit Sicherheitsteams schneller und effektiver auf Angriffe reagieren können. Copilot for Security ist in das Microsoft Defender-Portal eingebettet, um Sicherheitsteams erweiterte Funktionen zur Untersuchung und Reaktion auf Vorfälle, zur Suche nach Bedrohungen und zum Schutz ihrer organization mit relevanten Threat Intelligence bereitzustellen. Copilot in Defender ist für Benutzer verfügbar, die Zugriff auf Copilot for Security bereitgestellt haben.

Hauptmerkmale

Untersuchen und reagieren Sie auf Vorfälle wie ein Experte

Ermöglichen Sie es Sicherheitsteams, Angriffsuntersuchungen zeitnah, einfach und präzise zu bewältigen. Copilot hilft Teams, Angriffe sofort zu verstehen, verdächtige Dateien und Skripts schnell zu analysieren und umgehend eine geeignete Risikominderung zu bewerten und anzuwenden, um Angriffe zu stoppen und einzudämmen.

Schnelles Zusammenfassen von Incidents

Das Untersuchen von Vorfällen mit mehreren Warnungen kann eine entmutigende Aufgabe sein. Um einen Vorfall sofort zu verstehen, können Sie auf Copilot tippen, um einen Vorfall zusammenzufassen. Copilot erstellt einen Überblick über den Angriff. Die Übersicht enthält wichtige Informationen, um zu verstehen, was beim Angriff passiert ist, welche Ressourcen beteiligt sind und welche Zeitleiste der Angriff. Copilot erstellt automatisch eine Zusammenfassung, wenn Sie zur Seite eines Incidents navigieren.

Screenshot der Karte für Vorfallzusammenfassung im Copilot-Bereich, wie auf der Microsoft Defender-Vorfallseite zu sehen.

Ergreifen von Maßnahmen bei Vorfällen durch geführte Reaktionen

Die Lösung von Vorfällen erfordert, dass Analysten über ein Verständnis eines Angriffs verfügen, um zu wissen, welche Lösungen geeignet sind. Copilot empfiehlt Lösungen durch geführte Antworten , die für jeden Vorfall spezifisch sind.

Screenshot: hebt den Copilot-Bereich mit den angeleiteten Reaktionen der Microsoft Defender-Incidentseite hervor.

Einfaches Ausführen der Skriptanalyse

Die meisten Angreifer verlassen sich beim Starten von Angriffen auf hochentwickelte Malware, um einer Erkennung und Analyse zu entgehen. Diese Schadsoftware wird in der Regel verschleiert und kann in Form von Skripts oder Befehlszeilen in PowerShell vorliegen. Copilot kann Skripts schnell analysieren und so die Zeit für die Untersuchung verkürzen.

Screenshot mit hervorgehobener Skriptanalyse-Schaltfläche in der Ansicht „Angriffsgeschichte“ auf der Seite Vorfälle.

Generieren von Gerätezusammenfassungen

Die Untersuchung von Geräten, die an Vorfällen beteiligt sind, kann ein Aufgabenauftrag sein. Um ein Gerät schnell zu bewerten, kann Copilot die Informationen eines Geräts zusammenfassen, einschließlich des Sicherheitsstatus des Geräts, ungewöhnlichen Verhaltensweisen, einer Liste anfälliger Software und relevanter Microsoft Intune-Informationen.

Screenshot der Gerätezusammenfassungsergebnisse in Copilot in Defender.

Sofortiges Analysieren von Dateien

Copilot unterstützt Sicherheitsteams dabei, verdächtige Dateien mithilfe der Dateianalyse schnell zu bewerten und zu verstehen. Copilot stellt die Zusammenfassung einer Datei bereit, einschließlich Erkennungsinformationen, zugehörige Dateizertifikate, eine Liste von API-Aufrufen und Zeichenfolgen, die in der Datei gefunden wurden.

Screenshot der Ergebnisse der Dateianalyse in Copilot in Defender mit hervorgehobener Option „Details ausblenden“.

Identitäten sofort untersuchen

Bewerten Sie schnell das Risiko eines Benutzers, indem Sie eine Identitätszusammenfassung mit Copilot erstellen. Identifizieren Sie, wenn eine Identität gefährdet oder verdächtig ist, mit kontextbezogenen Informationen über die Rolle und Rollenänderungen eines Benutzers, Anmeldeverhalten, bei angemeldeten Geräten und relevanten Kontaktinformationen.

Screenshot: Option

Effizientes Schreiben von Incidentberichten

Sicherheitsteams schreiben in der Regel Berichte, um wichtige Informationen zu erfassen, einschließlich der durchgeführten Reaktionsaktionen und der entsprechenden Ergebnisse, der beteiligten Teammitglieder und anderer Informationen, um zukünftige Sicherheitsentscheidungen und Lernprozesse zu unterstützen. Häufig kann das Dokumentieren von Vorfällen zeitaufwändig sein. Damit ein Incidentbericht wirksam ist, muss er die Zusammenfassung eines Vorfalls zusammen mit den ergriffenen Maßnahmen enthalten, einschließlich der Von wem und wann ergriffenen Maßnahmen. Copilot generiert einen Schadensbericht , indem diese Informationen schnell konsolidiert werden.

Screenshot der Karte

Jagen wie ein Profi

Copilot in Defender unterstützt Sicherheitsteams bei der proaktiven Suche nach Bedrohungen in ihrem Netzwerk, indem schnell geeignete KQL-Abfragen erstellt werden.

Generieren von KQL-Abfragen aus Eingaben in natürlicher Sprache

Sicherheitsteams, die die erweiterte Suche verwenden, um proaktiv nach Bedrohungen in ihrem Netzwerk zu suchen, können jetzt eine Abfrage Assistent verwenden, die jede frage in natürlicher Sprache im Kontext der Bedrohungssuche in eine sofort ausgeführte KQL-Abfrage konvertiert. Der Abfrageassistent spart Sicherheitsteams Zeit, indem eine KQL-Abfrage generiert wird, die dann automatisch ausgeführt oder weiter entsprechend den Anforderungen des Analysten optimiert werden kann. Lesen Sie mehr über den Abfrageassistenten in Security Copilot in der erweiterten Bedrohungssuche.

Screenshot des Copilot-Bereichs in der erweiterten Bedrohungssuche.

Schützen Sie Ihre Organisation mit relevanter Threat Intelligence

Ermöglichen Sie Ihrer Sicherheitsorganisation, fundierte Entscheidungen mit den neuesten Funktionen zur Threat Intelligence zu treffen. Copilot konsolidiert und fasst Threat Intelligence zusammen, um Sicherheitsteams dabei zu unterstützen, Bedrohungen effektiv zu priorisieren und darauf zu reagieren.

Überwachen von Threat Intelligence

Bitten Sie Copilot, die relevanten Bedrohungen, die sich auf Ihre Umgebung auswirken, zusammenzufassen, um die Beseitigung von Bedrohungen basierend auf Ihren Gefährdungsstufen zu priorisieren oder Bedrohungsakteure zu finden, die möglicherweise auf Ihre Branche abzielen. Erfahren Sie mehr über Copilot für Security in Threat Intelligence.

Screenshot des Copilot-Bereichs in Threat Intelligence in Defender XDR.

Zugriff auf Copilot in Defender

Um sicherzustellen, dass Sie Zugriff auf Copilot in Defender haben, lesen Sie die Kauf- und Lizenzierungsinformationen für Copilot für Security. Sobald Sie Zugriff auf Copilot for Security haben, werden die wichtigsten Features im Microsoft Defender-Portal verfügbar.

Beispieleingabeaufforderungen in Copilot

Im Microsoft Defender-Portal finden Sie Beispieleingabeaufforderungen, mit denen Sie navigieren und einige Copilot-Funktionen verwenden können. Die Eingabeaufforderungen sollen Ihnen helfen, diese Funktionen zu verstehen und sie effektiv zu nutzen. Im Folgenden finden Sie einige Beispiele für Eingabeaufforderungen, die möglicherweise im Portal angezeigt werden:

Aufforderungen zur erweiterten Suche:

Screenshot mit hervorgehobenen Copilot-Eingabeaufforderungen auf der Seite

Threat Intelligence-Eingabeaufforderungen:

Screenshot: Copilot-Eingabeaufforderungen auf der Threat Intelligence-Seite

Sie können Ihre Untersuchung im eigenständigen Copilot for Security-Portal mithilfe von Eingabeaufforderungen in natürlicher Sprache erweitern. Im Folgenden finden Sie Beispieleingabeaufforderungen, die Sie in die Eingabeaufforderungsleiste eingeben können, um einen Incident mit Empfehlungen zusammenzufassen:

  • Geben Sie Incident {Incident number} zusammenfassen ein, und schließen Sie mit einer Reihe von Empfehlungen ab, um die Incidentzusammenfassung und die Empfehlungen zu generieren.
  • Geben Sie Was können Sie mir über den Ruf der Indikatoren im Skript sagen? Sind sie schädlich? Wenn ja, warum? , um das Skript zu analysieren und Details zum Skript zu generieren.

Die Eingabeaufforderung in Copilot hilft Ihnen, die Funktionen effektiv zu navigieren und zu nutzen. Sie können auch die Eingabeaufforderungsleiste verwenden, um KQL-Abfragen zu generieren, Incidents zusammenzufassen und Dateien zu analysieren. Weitere Informationen finden Sie unter Tipps zum Erstellen effektiver Eingabeaufforderungen. Sie können auch vordefinierte Promptbooks verwenden, um Ihnen den Einstieg in Copilot zu erleichtern. Weitere Informationen zu Promptbooks finden Sie unter promptbooks in Copilot.

Feedback geben

Alle Copilot-Funktionen in Defender haben die Möglichkeit, Feedback zu geben. Führen Sie die folgenden Schritte aus, um Feedback zu geben:

  1. Wählen Sie das Feedbacksymbol aus Screenshot des Feedbacksymbols für Copilot in Defender-Karten. befindet sich am unteren Rand aller Ergebnisse Karte im Copilot-Seitenbereich.
  2. Wählen Sie Sucht richtig aus, wenn Sie die Ergebnisse für richtig erahnen. Weitere Informationen finden Sie im nächsten Dialogfeld.
  3. Wählen Sie Verbesserung erforderlich aus, wenn Sie das Ergebnis als fehlend oder unvollständig bewertet haben. Sie können weitere Informationen zu Ihrer Bewertung im nächsten Dialogfeld angeben und diese Bewertung an Microsoft übermitteln.
  4. Sie können die Ergebnisse auch melden, wenn sie fragwürdige oder mehrdeutige Informationen enthalten, indem Sie Unangemessen auswählen. Geben Sie im nächsten Dialogfeld weitere Informationen zu den Ergebnissen an, und wählen Sie Senden aus.

Datenschutz und Sicherheit

Copilot entwickelt sich kontinuierlich weiter mithilfe von Daten , die je nach den von Ihrem Administrator definierten Einstellungen gespeichert, verarbeitet und freigegeben werden . Microsoft stellt sicher, dass Ihre Daten bei der Verwendung von Copilot immer geschützt und sicher sind. Weitere Informationen zur Datensicherheit und zum Datenschutz in Copilot finden Sie unter Datenschutz und Datensicherheit in Copilot.

Da Copilot sich ständig weiterentwickelt, kann es sein, dass er einige Dinge übersieht. Das Überprüfen der Ergebnisse und Feedback zu den Ergebnissen trägt dazu bei, die zukünftigen Antworten von Copilot zu verbessern.

Plug-Ins in Copilot für Security

Copilot verwendet vorinstallierte Microsoft-Plug-Ins wie Microsoft Defender XDR, Defender Threat Intelligence und Natural Language für KQL für Microsoft Sentinel und Defender XDR-Plug-Ins, um relevante Informationen zu generieren, mehr Kontext für Vorfälle bereitzustellen und genauere Ergebnisse zu generieren. Stellen Sie sicher, dass Plug-Ins in Copilot aktiviert sind , um den Zugriff auf relevante Daten zu ermöglichen und angeforderte Inhalte von anderen Microsoft-Diensten in Ihrer Organisation zu generieren.

Nächste Schritte

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.