Freigeben über


Zusammenfassen eines Vorfalls mit Microsoft Copilot in Microsoft Defender

Microsoft Defender XDR wendet die Funktionen von Copilot für Security an, um Incidents zusammenzufassen und wirkungsvolle Informationen und Erkenntnisse bereitzustellen, um Untersuchungsaufgaben zu vereinfachen. Die Untersuchung von Angriffen ist ein wichtiger Schritt für Teams zur Reaktion auf Vorfälle, um eine Organisation erfolgreich vor weiteren Schäden durch eine Cyberbedrohung zu schützen. Untersuchungen können oft zeitaufwändig sein, da sie zahlreiche Schritte umfassen. Teams zur Reaktion auf Vorfälle müssen verstehen, wie der Angriff stattgefunden hat: Sortieren Sie zahlreiche Warnungen, identifizieren Sie, welche Ressourcen und Entitäten beteiligt sind, und bewerten Sie den Umfang und die Auswirkungen eines Angriffs.

Incident-Responder können problemlos den richtigen Kontext erhalten, um Incidents mithilfe der Korrelationsfunktionen von Defender XDR und der KI-gestützten Datenverarbeitung und Kontextualisierung von Copilot für Security zu untersuchen und zu beheben. Mit einer Vorfallzusammenfassung können Responder schnell wichtige Informationen erhalten, die bei ihrer Untersuchung helfen.

Die Funktion zur Incidentzusammenfassung ist im Microsoft Defender-Portal über die Copilot for Security-Lizenzverfügbar. Diese Funktion ist auch in der eigenständigen Umgebung von Copilot for Security über das Microsoft Defender XDR-Plug-In verfügbar.

In diesem Leitfaden wird beschrieben, was Sie erwarten und wie Sie auf die Zusammenfassungsfunktion von Copilot in Defender zugreifen können, einschließlich Informationen zur Übermittlung von Feedback.

Vorfall zusammenfassen

Incidents mit bis zu 100 Warnungen können in einer Vorfallzusammenfassung zusammengefasst werden. Eine Vorfallzusammenfassung umfasst je nach Verfügbarkeit der Daten Folgendes:

  • Die Uhrzeit und das Datum, zu dem ein Angriff gestartet wurde.
  • Die Entität oder Ressource, in der der Angriff begonnen hat.
  • Eine Zusammenfassung der Zeitachsen, wie sich der Angriff entwickelt hat.
  • Die an dem Angriff beteiligten Ressourcen.
  • Anzeichen für Kompromittierung (IoCs).
  • Namen der beteiligten Bedrohungsakteure.

Führen Sie die folgenden Schritte aus, um einen Vorfall zusammenzufassen:

  1. Öffnen Sie eine Vorfallseite. Copilot erstellt beim Öffnen der Seite automatisch eine Incidentzusammenfassung. Sie können die Zusammenfassungserstellung beenden, indem Sie Erstellung abbrechen auswählen oder sie neu starten, indem Sie Erneut generieren auswählen.

  2. Die Vorfallzusammenfassungskarte wird im Copilot-Bereich geladen. Überprüfen Sie die generierte Zusammenfassung auf der Karte.

    Screenshot, der die Karte der Incidentzusammenfassung im Copilot-Bereich zeigt, wie auf der Seite

    Tipp

    Sie können im Copilot-Ergebnisbereich zu einer Datei-, IP- oder URL-Seite navigieren, indem Sie in den Ergebnissen auf den Beweis klicken.

  3. Wählen Sie die Weiteren Aktionen Auslassungspunkte (...) oben auf der Karte mit der Vorfallzusammenfassung aus, um die Zusammenfassung zu kopieren oder neu zu generieren, oder zeigen Sie die Zusammenfassung im Copilot für Security-Portal an. Wenn Sie In Copilot für Security öffnen auswählen, wird eine neue Registerkarte zum eigenständigen Copilot-Portal geöffnet, auf der Sie Eingabeaufforderungen eingeben und auf andere Plug-Ins zugreifen können.

    Screenshot: Verfügbare Aktionen im Karte der Incidentzusammenfassung.

  4. Überprüfen Sie die Zusammenfassung, und verwenden Sie die Informationen, um Ihre Untersuchung und Reaktion auf den Vorfall zu steuern. Sie können Feedback zur Zusammenfassung bereitstellen, indem Sie das Feedbacksymbol Screenshot des Feedbacksymbols für Copilot in Defender-Kartenauswählen, unten im Copilot-Bereich.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.