Jaa

Arvioi ja tutki tapauksia Microsoft Copilotin ohjatuilla vastauksilla Microsoft Defenderissä

  • Artikkeli

Koskee seuraavia:

  • Microsoft Defender XDR
  • Microsoft Defender unified Security Operations Center (SOC) -ympäristö

Microsoft Copilot for Security Microsoft Defender -portaalissa tukee tapausten vastausryhmiä tapausten ratkaisemisessa välittömästi ohjatuilla vastauksilla. Defenderin Copilot käyttää tekoäly- ja koneoppimisominaisuuksia tapauksen kontekstualisoimiseen ja oppimaan aiemmista tutkimuksista asianmukaisten vastaustoimien luomiseksi.

Microsoft Defender -portaalin tapauksiin vastaaminen edellyttää usein tuntemista portaalin käytettävissä olevista toimista hyökkäysten pysäyttämiseksi. Lisäksi uusilla tapahtumiin reagoivilla henkilöillä voi olla erilaisia ideoita siitä, missä ja miten tapauksiin reagoiminen aloitetaan. Copilotin ohjattu vastausominaisuus Defenderissä mahdollistaa tapauksiin reagoimisen tiimit kaikilla tasoilla, jotta ne voivat luotettavasti ja nopeasti ottaa käyttöön vastaustoimintoja tapausten ratkaisemiseksi helposti.

Ohjatut vastaukset ovat käytettävissä Microsoft Defender -portaalissa Copilot for Security -käyttöoikeuden kautta. Ohjatut vastaukset ovat käytettävissä myös Copilot for Securityn erillisessä käyttökokemuksessa Defender XDR -laajennuksen kautta.

Tässä oppaassa kerrotaan, miten voit käyttää ohjattua vastausominaisuutta, mukaan lukien tietoja palautteen antamisesta vastauksista.

Ota ohjatut vastaukset käyttöön tapausten ratkaisemiseksi

Ohjatut vastaukset suosittelevat toimintoja seuraavissa luokissa:

  • Lajittelu – sisältää suosituksen luokitella tapaukset informatiivisiksi, todellisiksi esiintymisiksi tai virheellisiksi esiintymiksi
  • Eristäminen – sisältää suositellut toimet tapauksen eristämistä varten
  • Tutkimus – sisältää suositellut toimet lisätutkimuksia varten
  • Korjaus – sisältää suositellut käsittelytoimet, joita käytetään tiettyihin tapaukseen liittyviin entiteetteihin

Jokainen kortti sisältää tietoja suositellusta toiminnosta, mukaan lukien entiteetti, jossa toiminto on otettava käyttöön ja miksi toimintoa suositellaan. Korteissa korostetaan myös sitä, milloin suositeltu toiminto tehtiin automatisoidulla tutkinnalla, kuten hyökkäyshäiriöllä tai automaattisella tutkintavasteella.

Ohjatut vastauskortit voidaan lajitella kunkin kortin käytettävissä olevan tilan mukaan. Voit valita tietyn tilan, kun tarkastelet ohjattuja vastauksia, valitsemalla Tila ja valitsemalla sitten tilan, jota haluat tarkastella. Kaikki ohjatut vastauskortit tilan mukaan näytetään oletusarvoisesti.

Näyttökuva, joka näyttää vastausten tilan Microsoft Defenderin tapaussivun Copilot-ruudussa.

Voit käyttää ohjattuja vastauksia seuraavasti:

  1. Avaa tapaussivu. Copilot luo automaattisesti ohjatut vastaukset tapahtumasivun avaamisen yhteydessä. Copilot-ruutu näkyy tapaussivun oikeassa reunassa ja näyttää ohjatut vastauskortit.

    Näyttökuva, jossa näkyy Copilot-ruutu ja ohjatut vastaukset Microsoft Defenderin tapaussivulla.

  2. Tarkista jokainen kortti ennen suositusten soveltamista. Valitse Lisää toimintoja -kolme pistettä (...) vastauskortin yläreunassa, niin näet kunkin suosituksen käytettävissä olevat vaihtoehdot. Seuraavassa on joitakin esimerkkejä.

    Näyttökuva, jossa näkyvät käyttäjien käytettävissä olevat vaihtoehdot Copilot-sivupaneelin ohjatussa vastauskortissa.

    Näyttökuva, joka näyttää asetukset, jotka ovat käyttäjien käytettävissä automaatiovastauskortissa Microsoft Defender XDR:n Copilot-ruudussa.

  3. Jos haluat käyttää toimintoa, valitse kustakin kortista haluamasi toiminto. Kunkin kortin ohjattu vastaustoiminto on räätälöity tapauksen tyypin ja siihen liittyvän entiteetin mukaan.

    Näyttökuva, jossa näkyvät ohjatun vastauksen kortit Microsoft Defenderin Copilot-ruudussa.

  4. Voit antaa palautetta kullekin vastauskortille, jotta voit jatkuvasti parantaa Copilotin tulevia vastauksia. Jos haluat antaa palautetta, valitse palautekuvake Näyttökuva, joka näyttää Copilot-palautekuvakkeen Defender-korteissa kunkin kortin oikeassa alakulmassa.

Huomautus

Harmaat toimintopainikkeet tarkoittavat, että käyttöoikeutesi rajoittaa näitä toimintoja. Lisätietoja on yhdistetyn roolipohjaisen käytön hallinnan (RBAC) käyttöoikeussivulla.

Defenderin Copilot tukee tapausten vastausryhmiä antamalla analyytikoille mahdollisuuden saada enemmän kontekstia vastaustoimista lisätietojen avulla. Korjausvastauksia varten tapauksiin reagoivat tiimit voivat tarkastella lisätietoja valitsemalla esimerkiksi Näytä samankaltaiset tapaukset tai Näytä samankaltaiset sähköpostit.

Näytä samankaltaiset tapaukset -toiminto on käytettävissä, kun organisaatiossa on muita tapauksia, jotka muistuttavat nykyistä tapausta. Samankaltaiset tapaukset -välilehdessä on samankaltaisia tapauksia, joita voit tarkastella. Microsoft Defender tunnistaa automaattisesti samankaltaiset tapaukset organisaatiossa koneoppimisen avulla. Tapauksiin reagoivat tiimit voivat käyttää näiden samankaltaisten tapausten tietoja tapausten luokittelemiseen ja tarkastellakseen suoritettuja toimia kyseisissä vastaavissa tapauksissa.

Näytä samankaltaiset sähköpostit -toiminto, joka liittyy tietojenkalastelutapauksiin, vie tarkennetun etsinnän sivulle, jossa luodaan automaattisesti KQL-kysely samankaltaisten sähköpostiviestien luetteloimiseksi organisaatiossa. Tämä tapaukseen liittyvä automaattisen kyselyn luonti auttaa tapauksiin reagoivia tiimejä tutkimaan muita tapaukseen mahdollisesti liittyviä sähköpostiviestejä. Voit tarkastella kyselyä ja muokata sitä tarpeen mukaan.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.