Beschreiben von Microsoft Copilot in Microsoft Defender XDR

  • 9 Minuten

Microsoft Copilot for Security ist in Microsoft Defender XDR eingebettet, um Sicherheitsteams zu ermöglichen, Vorfälle schnell und effizient zu untersuchen und darauf zu reagieren. Microsoft Copilot für Microsoft Defender XDR unterstützt die folgenden Features.

  • Zusammenfassung der Vorfälle
  • Geführte Antworten
  • Skriptanalyse
  • Natürliche Sprache für KQL-Abfragen
  • Vorfallsberichte
  • Analysieren von -Dateien
  • Gerätezusammenfassung

Es gibt auch einige Optionen, die alle diese Features gemeinsam haben, einschließlich der Möglichkeit, Feedback zu einzufordern, Antworten zu geben und nahtlos zur eigenständigen Oberfläche zu wechseln.

Wie in der Einführungseinheit beschrieben, ist Copilot in der Lage, die produktspezifischen Funktionen direkt aufzurufen und die Verarbeitungseffizienz zu gewährleisten. Um den Zugriff auf diese Microsoft Copilot for Security-Features sicherzustellen, muss das Microsoft Defender XDR-Plug-In aktiviert werden, und dies erfolgt über die eigenständige Oberfläche. Weitere Informationen finden Sie unter Beschreiben der Features, die in der eigenständigen Benutzeroberfläche von Microsoft Copilot for Security zur Verfügung stehen.

Screen capture of the Manage plugins window that highlights the Microsoft Defender XDR plugin.

Zusammenfassung der Vorfälle

Um einen Vorfall sofort zu verstehen, können Sie Microsoft Copilot in Microsoft Defender XDR verwenden, um einen Vorfall für Sie zusammenzufassen. Copilot erstellt eine Übersicht des Angriffs, die wichtige Informationen enthält, damit Sie verstehen, was bei dem Angriff passiert ist, welche Mittel beteiligt sind und wie der zeitliche Ablauf des Angriffs ist. Copilot erstellt automatisch eine Zusammenfassung, wenn Sie zur Seite eines Vorfalls navigieren.

Screen capture of Security Copilot embedded experience in Microsoft Defender XDR, showing an incident summary.

Vorfälle mit bis zu 100 Warnungen können in einer Vorfallzusammenfassung zusammengefasst werden. Eine Vorfallzusammenfassung, abhängig von der Verfügbarkeit der Daten, umfasst Folgendes:

  • Die Uhrzeit und das Datum, zu dem ein Angriff gestartet wurde.
  • Die Entität oder Ressource, in der der Angriff gestartet wurde.
  • Eine Zusammenfassung des zeitlichen Ablaufs des Angriffs.
  • Die am Angriff beteiligten Ressourcen.
  • Indikatoren für eine Kompromittierung (IoC)
  • Namen der beteiligten Bedrohungsakteure.

Geführte Antworten

Copilot in Microsoft Defender XDR nutzt KI und maschinelles Lernen, um einen Vorfall zu kontextualisieren und aus früheren Untersuchungen zu lernen, um geeignete Reaktionsmaßnahmen zu generieren, die als geführte Antworten angezeigt werden. Die geführte Reaktionsfähigkeit von Copilot ermöglicht es den Reaktionsteams auf allen Ebenen, selbstbewusst und schnell Reaktionsmaßnahmen anzuwenden, um Vorfälle mühelos zu lösen.

Geführte Antworten empfehlen Aktionen in den folgenden Kategorien:

  • Triage: enthält eine Empfehlung, Incidents als Information, True Positives oder False Positives zu klassifizieren
  • Eindämmung: enthält empfohlene Aktionen zum Eindämmen eines Incidents
  • Untersuchung: umfasst empfohlene Maßnahmen zur weiteren Untersuchung
  • Korrektur: umfasst empfohlene Reaktionsaktionen, die auf bestimmte Entitäten angewendet werden, die an einem Incident beteiligt sind

Jede Karte enthält Informationen über die empfohlene Aktion, einschließlich der Gründe, warum die Aktion empfohlen wird, ähnliche Incidents und mehr. Beispielsweise wird die Aktion „Ähnliche Vorfälle anzeigen“ verfügbar, wenn andere Incidents innerhalb der Organisation vorhanden sind, die dem aktuellen Incident ähneln. Vorfallreaktionsteams können auch Benutzerinformationen für Wartungsaktionen anzeigen, z. B. das Zurücksetzen von Kennwörtern.

Screen capture showing the information included in a guided response.

Nicht alle Vorfälle/Warnungen bieten geführte Antworten. Geführte Antworten sind für Vorfalltypen wie Phishing, geschäftliche E-Mail-Kompromittierung und Ransomware verfügbar.

Analysieren von Skripts und Code

Die meisten komplexen und ausgeklügelten Angriffe wie Ransomware entziehen sich der Erkennung durch zahlreiche Methoden, darunter die Verwendung von Skripten und PowerShell. Darüber hinaus werden diese Skripts häufig verschleiert, was zur Komplexität der Erkennung und Analyse beiträgt. Sicherheitsteams müssen Skripts und Code schnell analysieren, um ihre Fähigkeiten zu verstehen und geeignete Maßnahmen zu ergreifen, damit Angriffe im Netzwerk nicht weiter fortschreiten können.

Die Skript-Analysefunktion von Copilot in Microsoft Defender XDR bietet Sicherheitsteams zusätzliche Möglichkeiten, Skripte und Code zu untersuchen, ohne externe Tools zu verwenden. Diese Funktion reduziert auch die Komplexität der Analyse, minimiert Herausforderungen und ermöglicht es Sicherheitsteams, ein Skript schnell als böswillig oder gutartig zu bewerten und zu identifizieren.

Sie können auf die Skriptanalysefunktion in der Warnungszeitleiste innerhalb eines Incidents zugreifen, um einen Zeitleisteneintrag bestehend aus Skript oder Code zu erhalten. In der folgenden Abbildung zeigt die Zeitleiste einen Powershell.exe-Eintrag.

Hinweis

Skriptanalysefunktionen werden kontinuierlich weiterentwickelt. Die Analyse von Skripts in anderen Sprachen als PowerShell, Batch und Bash wird bewertet.

Screen capture showing the option to analyze a PowerShell script.

Copilot analysiert das Skript und zeigt die Ergebnisse in der Skript-Analysekarte an. Benutzer können „Code anzeigen“ auswählen, um bestimmte Codezeilen im Zusammenhang mit der Analyse anzuzeigen. Um den Code auszublenden, müssen Benutzer nur „Code ausblenden“ auswählen.

Screen capture showing the lines of code related to the script analysis.

Generieren von KQL-Abfragen

Copilot in Microsoft Defender XDR verfügt über einen Abfrageassistenten für die erweiterte Suche.

Bedrohungssucher oder Sicherheitsanalysten, die mit KQL noch nicht vertraut sind oder KQL erst noch erlernen müssen, können eine Anfrage stellen oder eine Frage in natürlicher Sprache stellen (z. B. „Rufen Sie alle Alarme mit dem Benutzer admin123 ab). Copilot erstellt dann eine KQL-Abfrage, die der Anfrage entspricht und das erweiterte Hunting-Datenschema verwendet.

Diese Funktion reduziert den Zeitaufwand für das Schreiben einer Suchanfrage von Grund auf, so dass sich Bedrohungssucher und Sicherheitsanalysten auf die Suche nach und Untersuchung von Bedrohungen konzentrieren können.

Um auf die natürliche Sprache für den KQL-Abfrage-Assistenten zuzugreifen, wählen Benutzer mit Zugriff auf Copilot das erweiterte Hunting im linken Navigationsbereich des Defender XDR-Portals aus.

Screen capture showing the Copilot query assistant screen embedded in Defender XDR.

Mithilfe der Eingabeaufforderungsleiste kann der Benutzer eine Abfrage zur Bedrohungssuche stellen, z. B. „Zeigen Sie alle Geräte an, die sich innerhalb der letzten 10 Minuten angemeldet haben“.

Screen capture showing the KQL query generated from a natural language request.

Der Benutzer kann die Abfrage dann ausführen, indem er „Hinzufügen und auswählen“ auswählt. Die generierte Abfrage wird dann als letzte Abfrage im Abfrage-Editor angezeigt. Um weitere Optimierungen vorzunehmen, wählen Sie „Zum Editor hinzufügen“ aus.

Die Option zum Ausführen der generierten Abfrage kann auch automatisch über das Einstellungssymbol festgelegt werden.

Screen capture showing the option to run the generated query automatically.

Erstellen von Vorfallberichten

Ein umfassender und klarer Vorfallbericht ist eine wichtige Referenz für Sicherheitsteams und die Verwaltung von Sicherheitsvorgängen. Das Verfassen eines umfassenden Berichts mit allen wichtigen Details kann jedoch eine zeitaufwändige Aufgabe für Sicherheitsteams sein, da es darum geht, Informationen zu einem Incident aus verschiedenen Quellen zu sammeln, zu organisieren und zusammenzufassen. Sicherheitsteams können jetzt sofort einen umfassenden Vorfallbericht im Portal erstellen.

Mithilfe der KI-gestützten Datenverarbeitung von Copilot können Sicherheitsteams mit einem Mausklick in Microsoft Defender XDR sofort Vorfallberichte erstellen.

Während eine Vorfallzusammenfassung einen Überblick über einen Incident und dessen Auftreten bietet, konsolidiert ein Vorfallbericht Vorfallinformationen aus verschiedenen Datenquellen, die in Microsoft Sentinel und Microsoft Defender XDR verfügbar sind. Der Vorfallbericht umfasst auch alle analystengesteuerten Schritte und automatisierten Aktionen, die an der Reaktion beteiligten Analysten und die Kommentare der Analysten.

Copilot erstellt einen Vorfallbericht, der die folgenden Informationen enthält:

  • Die Zeitstempel der wichtigsten Vorfallverwaltungsaktionen, einschließlich:
    • Erstellung und Schließung von Incidents
    • Erstes und letztes Protokoll, unabhängig davon, ob das Protokoll von einem Analysten oder automatisch erstellt wurde, das im Incident erfasst wurde
  • Die Analysten, die an der Reaktion auf Incidents beteiligt waren.
  • Vorfallklassifizierung, einschließlich der Kommentare der Analysten zur Bewertung und Klassifizierung des Incidents.
  • Untersuchungsaktionen, die von Analysten angewendet und in den Vorfallprotokollen angegeben wurden
  • Abhilfemaßnahmen, einschließlich:
    • Untersuchungsaktionen, die von Analysten angewendet und in den Vorfallprotokollen angegeben wurden
    • Automatisierte Aktionen, die vom System angewendet werden, einschließlich der ausgeführten Microsoft Sentinel Playbooks und der angewendeten Microsoft Defender XDR-Aktionen
  • Folgeaktionen wie Empfehlungen, offene Probleme oder nächste Schritte, die von den Analysten in den Vorfallprotokollen angegeben wurden.

Um einen Vorfallbericht zu erstellen, wählt der Benutzer „Vorfallbericht generieren“ in der oberen rechten Ecke der Vorfallseite oder das Symbol im Copilot-Bereich.

Screen capture showing the two options for generating an incident report.

Der generierte Bericht hängt von den Vorfallinformationen ab, die von Microsoft Defender XDR und Microsoft Sentinel verfügbar sind. Wenn Sie die Ellipsen auf der Vorfallberichtskarte anklicken, können Sie den Bericht in die Zwischenablage kopieren, in ein Aktivitätsprotokoll stellen, den Bericht neu generieren oder in der eigenständigen Copilot-Anwendung öffnen.

Screen capture showing the generated incident report and the drop-down menu of options available by selecting the ellipses.

Analysieren von -Dateien

Komplexe Angriffe verwenden häufig Dateien, die legitime oder Systemdateien nachahmen, um die Erkennung zu vermeiden. Copilot in Microsoft Defender XDR ermöglicht Sicherheitsteams die schnelle Identifizierung bösartiger und verdächtiger Dateien über KI-gestützte Dateianalysefunktionen.

Es gibt verschiedene Methoden für den Zugriff auf die Seite mit dem detaillierten Profil einer bestimmten Datei. Sie können z. B. die Suchfunktion nutzen oder einen Link in der Warnprozessstruktur, im Incidentgraph oder in der Zeitachse für Artefakte bzw. ein Ereignis in der Gerätezeitachse auswählen.

In diesem Beispiel navigieren Sie durch das Vorfalldiagramm eines Vorfalls mit betroffenen Dateien zu Dateien. Das Vorfalldiagramm zeigt den vollständigen Umfang des Angriffs, wie sich der Angriff im Laufe der Zeit über Ihr Netzwerk verbreitet hat, wo er gestartet wurde und wie weit der Angreifer gekommen ist.

Im Vorfalldiagramm wird beim Auswählen von Dateien die Option zum Anzeigen von Dateien angezeigt. Wenn Sie Ansichtsdateien auswählen, wird ein Bereich auf der rechten Seite des Bildschirms geöffnet, in dem betroffene Dateien aufgelistet sind.

Screen capture showing the incident graph of an incident, with files highlighted.

Wenn Sie eine Datei auswählen, wird eine Übersicht über die Dateidetails und die Option zum Analysieren der Datei angezeigt. Wenn Sie „Analysieren“ auswählen, wird die Copilot-Dateianalyse geöffnet.

Screen capture showing the file analyze option and the file analysis output from Copilot.

Zusammenfassen von Geräten

Die Gerätezusammenfassungsfunktion von Copilot in Defender ermöglicht es Sicherheitsteams, den Sicherheitsstatus eines Geräts, Informationen zu anfälliger Software und ungewöhnliche Verhaltensweisen zu erhalten. Sicherheitsanalysten können die Zusammenfassung eines Geräts verwenden, um ihre Untersuchung von Vorfällen und Warnungen zu beschleunigen.

Es gibt viele Möglichkeiten, auf eine Gerätezusammenfassung zuzugreifen. In diesem Beispiel navigieren Sie zur Gerätezusammenfassung über die Seite „Vorfallressourcen“. Wenn Sie die Registerkarte „Ressourcen“ für einen Vorfall auswählen, werden alle Ressourcen angezeigt. Wählen Sie im linken Navigationsbereich „Geräte“ einen bestimmten Gerätenamen aus. Auf der Übersichtsseite, die auf der rechten Seite geöffnet wird, ist die Option zum Auswählen von Copilot.

Screen capture showing the device summary option from the incident assets page.

Screen capture showing the device summary from Copilot.

Gemeinsame Funktionen in allen wichtigen Features

Es gibt einige Optionen, die alle Features von Copilot for Microsoft Defender XDR gemeinsam haben.

Bereitstellen von Feedback

Wie bei der eigenständigen Oberfläche bietet die eingebettete Oberfläche Benutzern einen Mechanismus, um Feedback zur Genauigkeit der von der KI generierten Antwort bereitzustellen. Für KI-generierte Inhalte können Sie den Feedbackprompt rechts unten im Inhaltsfenster und dann eine der verfügbaren Optionen auswählen.

Screen capture of the feedback icon for AI generated content and the three options. The options are confirmed, it looks great, off target, inaccurate, and potentially harmful, inappropriate.

Wechseln zur eigenständigen Oberfläche

Als Analyst, der Microsoft Defender XDR verwendet, verbringen Sie wahrscheinlich viel Zeit in Defender XDR, sodass die eingebettete Erfahrung ein guter Ort ist, um eine Sicherheitsuntersuchung zu starten. Je nachdem, was Sie erfahren, können Sie feststellen, dass eine tiefergehende Untersuchung erforderlich ist. In diesem Szenario können Sie ganz einfach zur Einzelplatzversion wechseln, um eine detailliertere, produktübergreifende Untersuchung durchzuführen, bei der alle Copilot-Funktionen zum Einsatz kommen, die für Ihre Rolle aktiviert sind.

Für Inhalte, die über die eingebettete Benutzeroberfläche generiert werden, können Sie ganz einfach zur eigenständigen Benutzeroberfläche wechseln. Um zur eigenständigen Benutzeroberfläche zu wechseln, wählen Sie die Auslassungspunkte im generierten Inhaltsfenster des Incidents und dann „In Security Copilot öffnen“ aus.

Screen capture showing the option to open in Security Copilot, which is available by selecting the ellipses in the AI generated content window.