שתף באמצעות


קביעת סדר עדיפויות וחקור מקרים עם תגובות מונחות מ- Microsoft Copilot ב- Microsoft Defender

Microsoft Copilot לאבטחה בפורטל Microsoft Defender תומך בצוותי תגובה לתקריות בפתרון מיידי של מקרים עם תגובות מונחות. Copilot ב- Defender משתמש בבינה מלאכותית וביכולות של למידת מכונה כדי ליצור הקשר של מקרה וללמוד מחקירות קודמות כדי ליצור פעולות תגובה מתאימות.

תגובה לתקריות בפורטל Microsoft Defender דורשת לעתים קרובות היכרות עם הפעולות הזמינות של הפורטל כדי להפסיק תקיפות. בנוסף, למגיבים לתקריות חדשות עשויים להיות רעיונות שונים לגבי המקום והאופן שבו ניתן להתחיל להגיב לתקריות. יכולת התגובה המונחית של Copilot ב- Defender מאפשרת לצוותי תגובה לתקריות בכל הרמות להחיל פעולות תגובה בבטחה ובמהירות כדי לפתור אירועים בקלות.

תגובות מונחות זמינות בפורטל Microsoft Defender באמצעות רישיון Copilot לאבטחה. תגובות מונחות זמינות גם בחוויה העצמאית של Copilot לאבטחה באמצעות התוסף Defender XDR.

מדריך זה מתאר כיצד לגשת אל יכולת התגובה המונחית, כולל מידע על מתן משוב על התגובות.

החל תגובות המונחות כדי לפתור מקרים

תגובות מונחות ממליצות על פעולות בקטגוריות הבאות:

  • קביעת סדר עדיפויות - כולל המלצה לסווג אירועים כמידע, חיובי אמיתי או כתוצאה חיובית מוטעית
  • הכלה - כולל פעולות מומלצות המכילות מקרה
  • חקירה - כולל פעולות מומלצות לחקירה נוספת
  • תיקון - כולל פעולות תגובה מומלצות להחלה על ישויות ספציפיות המעורבות באירוע

כל כרטיס מכיל מידע אודות הפעולה המומלצת, כולל הישות שבה הפעולה צריכה להיות מוחלת ומדוע מומלץ לבצע את הפעולה. הכרטיסים גם מדגישים מתי פעולה מומלצת בוצעה על-ידי חקירה אוטומטית, כגון הפרעה למתקפה או תגובת חקירה אוטומטית.

ניתן למיין את כרטיסי התגובה המונחים בהתבסס על המצב הזמין עבור כל כרטיס. באפשרותך לבחור מצב ספציפי בעת הצגת התגובות המונחות על-ידי לחיצה על מצב ובחירה במצב המתאים שברצונך להציג. כל כרטיסי התגובה המונחים ללא קשר למצב מוצגים כברירת מחדל.

צילום מסך שמראה את מצב התגובות בחלונית Copilot Microsoft Defender אירוע.

כדי להשתמש בתגובות מונחות, בצע את השלבים הבאים:

  1. פתח דף אירוע. Copilot יוצר באופן אוטומטי תגובות מונחות בעת פתיחת דף מקרה. החלונית Copilot מופיעה בצד השמאלי של עמוד המקרה, המציגה את כרטיסי התגובה המונחית.

    צילום מסך שמראה את החלונית Copilot עם התגובות המונחות Microsoft Defender מקרה.

  2. סקור כל כרטיס לפני החלת ההמלצות. בחר את שלוש הנקודות של פעולות נוספות (...) מעל כרטיס תגובה כדי להציג את האפשרויות הזמינות עבור כל המלצה. להלן מספר דוגמאות.

    צילום מסך שמראה את האפשרויות הזמינות למשתמשים בכרטיס תגובה מודרך בלוח הצדי של Copilot.

    צילום מסך שמראה את האפשרויות הזמינות למשתמשים בכרטיס תגובה לאוטומציה בחלונית Copilot Microsoft Defender XDR.

  3. כדי להחיל פעולה, בחר את הפעולה הרצויה בכל כרטיס. פעולת התגובה המונחית בכל כרטיס מותאמת לסוג המקרה ולישות הספציפית המעורבת.

    צילום מסך שמראה את כרטיסי התגובה המונחים בחלונית Copilot Microsoft Defender.

  4. באפשרותך לספק משוב לכל כרטיס תגובה כדי לשפר באופן רציף תגובות עתידיות מ- Copilot. כדי לספק משוב, בחר את סמל המשוב צילום מסך המציג את סמל המשוב עבור Copilot בכרטיסי Defender שנמצאים בחלק השמאלי התחתון של כל כרטיס.

הערה

לחצני פעולה אפורים משמעותם שפעולות אלה מוגבלות על-ידי ההרשאה שלך. עיין בדף ההרשאות המאוחדות של גישה מבוססת תפקיד (RBAC), לקבלת מידע נוסף.

Copilot עוזר לזרז את משימות החקירה של האנליסטים. כאשר אירוע דורש חקירה נוספת לגבי פעילות משתמשים, Copilot מציע טקסט שבו אנליסטים יכולים להשתמש כדי לקיים תקשורת עם משתמש. כרטיס התגובה המודרך כולל משתמש איש קשר ב- Teams או פעולת העתקה ללוח המעתיק את הטקסט המוצע ללוח. לאחר מכן, אנליסטים יכולים להדביק את הטקסט בהודעת דואר אלקטרוני או בכלי תקשורת אחר. אנליסט יכול גם לקבל הקשר נוסף אודות המשתמש באמצעות הפעולה הצג משתמש .

צילום מסך שמראה את הטקסט המוצע לתקשורת בכרטיס תגובה מודרך.

Copilot תומך גם בצוותי תגובה לתקריות על-ידי מתן אפשרות לאנליסטים לקבל הקשר נוסף לגבי פעולות תגובה עם תובנות נוספות. לקבלת תגובות לתיקון, צוותי תגובה לתקריות יכולים להציג מידע נוסף עם אפשרויות כגון הצגת מקרים דומים או הצגת הודעות דואר אלקטרוני דומות.

הפעולה הצג אירועים דומים הופכת לזמינה כאשר קיימים מקרים אחרים בארגון הדומים לתקרית הנוכחית. הכרטיסיה מקרים דומים מפרטת אירועים דומים שבאפשרותך לסקור. Microsoft Defender מזהה באופן אוטומטי מקרים דומים בתוך הארגון באמצעות למידת מכונה. צוותי תגובה לתקריות יכולים להשתמש במידע של מקרים דומים אלה כדי לסווג מקרים ולסווג עוד יותר את הפעולות שבוצעו במקרים דומים אלה.

הפעולה הצג הודעות דואר אלקטרוני דומות, שהיא ספציפית לתקריות דיוג, מעבירה אותך לדף ציד מתקדם, שבו שאילתת KQL קיימת כדי להציג הודעות דואר אלקטרוני דומות בתוך הארגון נוצרות באופן אוטומטי. יצירת שאילתה אוטומטית זו הקשורה למקרה מסייעת לצוותי תגובה לתקריות לחקור עוד יותר הודעות דואר אלקטרוני אחרות שעשויות להיות קשורות למקרה. באפשרותך לסקור את השאילתה ולשנות אותה לפי הצורך.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.