Jaa


Yhteenveto Microsoft Copilotin tapauksesta Microsoft Defender XDR:ssä

Koskee seuraavia:

  • Microsoft Defender XDR
  • Microsoft Defender unified Security Operations Center (SOC) -ympäristö

Microsoft Defender XDR käyttää Microsoft Copilot for Security -ominaisuuksia tapausten yhteenvedon luomiseen ja vaikuttavien tietojen ja merkityksellisten tietojen toimittamiseen tutkimustehtävien yksinkertaistamiseksi. Hyökkäystutkimus on ratkaiseva askel tapausten käsittelytiimeille, jotta ne voivat onnistuneesti puolustaa organisaatiota kyberuhan aiheuttamia lisävahinkoja vastaan. Tutkimukset voivat usein olla aikaa vieviä, koska siihen liittyy useita vaiheita. Tapausten käsittelyryhmien on ymmärrettävä, miten hyökkäys tapahtui: niiden on käytävä läpi lukuisia hälytyksiä, selvitettävä, mitkä resurssit ja entiteetit ovat osallisena, ja arvioitava hyökkäyksen laajuus sekä vaikutus.

Tapausten vastaajat saavat helposti oikean kontekstin tapausten tutkimiseen ja korjaamiseen Defender XDR:n korrelaatio-ominaisuuksien ja Copilot for Securityn tekoälyä hyödyntävän tietojen käsittelyn ja kontekstualisoinnin avulla. Tapahtumayhteenvedon avulla käsittelijät saavat nopeasti tärkeitä tietoja, jotka auttavat heitä tutkimuksissaan.

Tapauksen yhteenveto-ominaisuus on käytettävissä Microsoft Defender -portaalissa Copilot for Security -käyttöoikeuden kautta. Komentosarja-analyysin ominaisuus on käytettävissä myös erillisessä Copilot for Security -kokemuksessa Microsoft Defender XDR -laajennuksen kautta.

Tässä oppaassa kerrotaan, mitä on odotettavissa ja miten voit käyttää Security Copilotin yhteenvetotoimintoa Microsoft 365 Defenderissä (mukaan lukien tiedot palautteen antamisesta).

Yhteenvedon luominen tapauksesta

Tapaukset, joissa on enintään 100 hälytystä, voidaan koota yhteen tapausyhteenvetoon. Tapausyhteenveto sisältää seuraavat (tietojen saatavuudesta riippuen):

  • Aika ja päivämäärä, jolloin hyökkäys alkoi.
  • Entiteetti tai resurssi, josta hyökkäys alkoi.
  • Siihen sisältyy yhteenveto hyökkäyksen etenemisen aikajanoista.
  • Se sisältää hyökkäykseen osallistuneet resurssit.
  • Se sisältää vaarantumisindikaattorit.
  • Se sisältää mukana olleiden uhkatoimijoiden nimet.

Voit tehdä yhteenvedon tapahtumasta seuraavasti:

  1. Avaa tapaussivu. Copilot luo tapahtuman yhteenvedon automaattisesti sivun avaamisen yhteydessä. Voit lopettaa yhteenvedon luomisen valitsemalla Peruuta. Voit aloittaa luomisen uudelleen valitsemalla Luo uudelleen.

  2. Tapauksen yhteenvetokortti latautuu Copilot-ruudussa. Tarkista luotu yhteenveto kortista.

    Näyttökuva, jossa tapauksen yhteenvetokortti näkyy Copilot-ruudussa Microsoft Defenderin tapaussivulla esitetyllä tavalla.

    Vihje

    Voit siirtyä tiedosto-, IP- tai URL-sivulle Copilot-tulosruudusta napsauttamalla tulosten todistusaineistoa.

  3. Valitse Lisää toimintoja -kolme pistettä (...) tapauksen yhteenvetokortin yläreunassa, jos haluat kopioida yhteenvedon tai luoda sen uudelleen, tai tarkastele yhteenvetoa Copilot for Security -portaalissa. Kun valitse Avaa Copilot for Securityssa, tämä avaa uuden välilehden erilliseen Copilot for Security -portaaliin, jossa voit antaa kehotteita ja käyttää muita laajennuksia.

    Näyttökuva, jossa näkyvät tapahtuman yhteenvetokortissa käytettävissä olevat toiminnot.

  4. Tarkista yhteenveto ja käytä tietoja, jotka ohjaavat tutkimustasi ja reagointiasi tapaukseen. Voit antaa palautetta yhteenvedosta valitsemalla palautekuvakkeen, joka löytyy tulosten alareunasta Näyttökuva Copilotin palautekuvakkeesta Defender-korteissa.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.