Jaa kautta

Yhteenveto Microsoft Copilotin tapauksesta Microsoft Defender XDR:ssä

  • Koskee seuraavia:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR käyttää Security Copilot ominaisuuksia tapausten yhteenvedon tekemiseen ja vaikuttavien tietojen toimittamiseen tutkimustehtävien yksinkertaistamiseksi. Hyökkäystutkimus on ratkaiseva askel tapausten käsittelytiimeille, jotta ne voivat onnistuneesti puolustaa organisaatiota kyberuhan aiheuttamia lisävahinkoja vastaan. Tutkimukset voivat usein olla aikaa vieviä, koska niihin liittyy useita vaiheita. Tapausten käsittelyryhmien on ymmärrettävä, miten hyökkäys tapahtui: niiden on käytävä läpi lukuisia hälytyksiä, selvitettävä, mitkä resurssit ja entiteetit ovat osallisena, ja arvioitava hyökkäyksen laajuus sekä vaikutus.

Tässä oppaassa kerrotaan, mitä on odotettavissa ja miten voit käyttää Security Copilotin yhteenvetotoimintoa Microsoft 365 Defenderissä (mukaan lukien tiedot palautteen antamisesta).

Tiedä ennen kuin aloitat

Jos et ole aiemmin käyttänyt Security Copilot, tutustu siihen lukemalla seuraavat artikkelit:

Tapausten vastaajat voivat helposti saada oikean kontekstin tutkia ja korjata tapauksia Defender XDR korrelaatiotoimintojen ja Security Copilot tekoälypohjaisen tietojen käsittelyn ja kontekstualisoinnin avulla. Tapahtumayhteenvedon avulla käsittelijät saavat nopeasti tärkeitä tietoja, jotka auttavat heitä tutkimuksissaan.

Security Copilot integrointi Microsoft Defender

Tapausten yhteenvetoominaisuus on käytettävissä Microsoft Defender-portaalissa asiakkaille, jotka ovat varanneet Security Copilot käyttöoikeuden.

Tämä ominaisuus on käytettävissä myös Security Copilot erillisessä kokemuksessa Microsoft Defender XDR laajennuksen kautta. Lisätietoja Security Copilot valmiiksi asennetuista laajennuksista.

Tärkeimmät ominaisuudet

Tapaukset, joissa on enintään 100 hälytystä, voidaan koota yhteen tapausyhteenvetoon. Tapausyhteenveto sisältää seuraavat (tietojen saatavuudesta riippuen):

  • Aika ja päivämäärä, jolloin hyökkäys alkoi.
  • Entiteetti tai resurssi, josta hyökkäys alkoi.
  • Siihen sisältyy yhteenveto hyökkäyksen etenemisen aikajanoista.
  • Se sisältää hyökkäykseen osallistuneet resurssit.
  • Se sisältää vaarantumisindikaattorit.
  • Se sisältää mukana olleiden uhkatoimijoiden nimet.
  • Ehdotetut Security Copilot kehotteita, jotka opastavat keskittymään oleellisimpiin seuraaviin vaiheisiin, saamaan syvällisempiä merkityksellisiä tietoja ja yksinkertaistamaan tutkimuksia.

Voit tehdä yhteenvedon tapauksesta seuraavasti:

  1. Avaa tapaussivu. Copilot luo tapahtuman yhteenvedon automaattisesti sivun avaamisen yhteydessä. Voit lopettaa yhteenvedon luomisen valitsemalla Peruuta. Voit aloittaa luomisen uudelleen valitsemalla Luo uudelleen.

  2. Tapauksen yhteenvetokortti latautuu Copilot-ruudussa. Tarkista luotu yhteenveto kortista. Tarkista yhteenveto ja käytä tietoja, jotka ohjaavat tutkimustasi ja reagointiasi tapaukseen.

    Näyttökuva, jossa tapauksen yhteenvetokortti näkyy Copilot-ruudussa Microsoft Defender tapaussivulla esitetyllä tavalla.

    Vihje

    Voit siirtyä tiedosto-, IP- tai URL-sivulle Copilot-tulosruudusta napsauttamalla tulosten todistusaineistoa.

  3. Valitse Näytä kehotteet , jos haluat tarkastella ehdotettuja kehotteita. Ehdotetut kehotteet esittävät olennaisia seurantakysymyksiä, jotka perustuvat annetun tapauksen tärkeimpiin tietoihin.

    Valitse ehdotettu kehote, jotta saat lisätietoja tapahtumaan liittyvistä tietyistä resursseista, kuten laiteyhteenvedoista, käyttäjätietojen yhteenvedoista ja niihin liittyvistä uhkia koskevista tiedoista.

    Näyttökuva, jossa näkyy Copilotin ehdottamat kehotteet tapauksen yhteenvetokortissa.

  4. Kopioi tai luo yhteenveto uudelleen valitsemalla tapausten yhteenvetokortin yläreunasta Lisää toimintoja -kolme pistettä (...) tai tarkastele yhteenvetoa Security Copilot portaalissa. Kun valitse Avaa Security Copilotissa, tämä avaa uuden välilehden erilliseen Security Copilot -portaaliin, jossa voit antaa kehotteita ja käyttää muita laajennuksia.

    Näyttökuva, jossa näkyvät tapahtuman yhteenvetokortissa käytettävissä olevat toiminnot.

Copilot-tapausyhteenvetojen asetusten hallinta (esikatselu)

Copilot luo oletusarvoisesti yhteenvedon jokaisesta tapahtumasta, jonka käyttäjä avaa, mutta voit muuttaa tätä asetusta näyttämään tapausten yhteenvedot vain tietyissä esiintymissä. Voit valita, luodaanko yhteenvedot:

  • Aina (jokaiselle avatulle tapahtumalle)
  • Tapahtuman vakavuustason perusteella
  • Vain pyydettäessä

Jos haluat muuttaa Copilot-tapausten yhteenvetojen asetuksia Microsoft Sentinel, toimi seuraavasti:

  1. SiirryDefenderin Järjestelmäasetukset-kopioon>> Microsoft Sentinel siirtymisruudussa.

    Näyttökuva, joka näyttää Copilot-asetussivun Microsoft Sentinel.

  2. Valitse Asetukset-kohdassaTapauksen yhteenvedon luonti.

  3. Valitse joko Automaattinen luonti tai Luo pyydettäessä haluamasi mukaan.

  4. Jos valitset Automaattinen luominen, valitse Aina- tai Tapahtuma-vakavuusaste. Jos valitset Tapahtuman vakavuus, valitse pienin vakavuustaso, jolle haluat Copilotin muodostavan tapausyhteenvedot automaattisesti.

    Näyttökuva, jossa copilot-asetusten asetussivu näkyy Microsoft Sentinel.

  5. Valitse Tallenna.

  • Kun valitset Tapahtuman vakavuus, näet arvion kunkin tarkistetun vakavuustason tapausten määrästä päivässä sekä arvioidun SCU-kulutuksen.

    Näyttökuva, joka näyttää kunkin vakavuustason tapausten likimääräisen määrän.

  • Copilot tallentaa luodut tapausyhteenvedot viikoksi. Jos valitset tapauksen, jonka yhteenveto on välimuistissa, eikä tapaus ole muuttunut merkittävästi, yhteenveto näytetään automaattisesti ilman kustannuksia asetuksesta riippumatta.

  • Jos haluat luoda pyynnöstä yhteenvedon tapahtumasta, jota ei luoda automaattisesti, valitse Muodosta-painike.

    Näyttökuva, jossa näkyy Tapahtuma-sivun Luo yhteenveto -painike.

Esimerkkitapauksen yhteenvetokehote

Erillisessä Security Copilot portaalissa voit luoda tapahtumayhteenvedot seuraavan kehotteen avulla:

  • Anna yhteenveto Defenderin tapauksesta {incident ID}.

Vihje

Kun luot tapahtuman yhteenvetoa Security Copilot-portaalissa, Microsoft suosittelee, että lisäät defender-sanan kehotteihisi varmistaaksesi, että tapahtuman yhteenvetoominaisuus toimittaa tulokset.

Anna palautetta

Microsoft rohkaisee sinua antamaan palautetta Copilotille, sillä se on erittäin tärkeää ominaisuuden jatkuvan parantamisen kannalta. Voit antaa palautetta yhteenvedosta valitsemalla palautekuvakkeen, joka löytyy tulosten alareunasta Näyttökuva Copilotin palautekuvakkeesta Defender-korteissa.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.

  • Last updated on