A Microsoft Copilot a Microsoft Defenderben

Cikk
06/14/2024

Érintett szolgáltatás:

Microsoft Defender XDR
A Microsoft Defender egyesített biztonsági üzemeltetési központ (SOC) platformja

A Copilot a biztonságért egy olyan platform, amely egyesíti a mesterséges intelligenciát és az emberi szakértelmet annak érdekében, hogy a biztonsági csapatok gyorsabban és hatékonyabban reagálhassanak a támadásokra. A Copilot for Security be van ágyazva a Microsoft Defender portálba, hogy a biztonsági csapatok hatékonyan összegezzenek incidenseket, szkripteket és kódokat elemezhessenek, fájlokat elemezhessenek, eszközadatokat összegezzenek, irányított válaszokat használjanak az incidensek megoldásához, KQL-lekérdezéseket generálhassanak, és incidensjelentéseket hozzanak létre.

Ez a cikk áttekintést nyújt a Defender Copilot felhasználóinak, beleértve a hozzáférés lépéseit, a főbb képességeket és az ezeket a képességeket részletező hivatkozásokat.

A Copilot Defender elérése

Annak ellenőrzéséhez, hogy rendelkezik-e hozzáféréssel a Defender Copilothoz, tekintse meg a Copilot a biztonságért vásárlási és licencelési információit. Ha már hozzáfér a Copilot a biztonságért szolgáltatáshoz, az alábbiakban ismertetett főbb képességek elérhetővé válnak a Microsoft Defender portálon.

Incidensek kivizsgálása és megválaszolása, mint egy szakértő

Lehetővé teheti a biztonsági csapatok számára a támadási vizsgálatok időben történő, egyszerű és pontos kezelését. A Copilot segítségével a csapatok azonnal megérthetik a támadásokat, gyorsan elemezhetik a gyanús fájlokat és szkripteket, és azonnal felmérhetik és alkalmazhatják a támadások leállításához és elhárításához szükséges kockázatcsökkentést.

Incidensek gyors összegzése

A több riasztást tartalmazó incidensek vizsgálata riasztó feladat lehet. Az incidensek azonnali megértéséhez koppintson a Copilotra egy incidens összegzéséhez. A Copilot áttekintést nyújt a támadásról. Az áttekintés alapvető információkat tartalmaz, amelyekből megtudhatja, hogy mi történt a támadásban, milyen eszközökről van szó, valamint a támadás idővonaláról. A Copilot automatikusan létrehoz egy összegzést, amikor Ön egy incidens oldalára lép.

Incidensekkel kapcsolatos műveletek végrehajtása irányított válaszokon keresztül

Az incidensek megoldásához az elemzőknek ismerniük kell a támadásokat, hogy tudják, mely megoldások megfelelőek. A Copilot az egyes incidensekre jellemző irányított válaszokon keresztül javasol megoldásokat.

Szkriptelemzés egyszerű futtatása

A legtöbb támadó kifinomult kártevőkre támaszkodik a támadások indításakor az észlelés és az elemzés elkerülése érdekében. Ezek a kártevők általában rejtve vannak, és előfordul, hogy szkriptek vagy parancssorok formájában jelennek meg a PowerShellben. A Copilot képes gyorsan elemezni a szkripteket, ezzel csökkentve a vizsgálathoz szükséges időt.

Eszközösszegzések létrehozása

Az incidensekben érintett eszközök vizsgálata egy feladatkör lehet. Az eszközök gyors felmérése érdekében a Copilot összegezheti az eszköz adatait, beleértve az eszköz biztonsági állapotát, a szokatlan viselkedéseket, a sebezhető szoftverek listáját és a releváns Microsoft Intune-információkat.

Fájlok azonnali elemzése

A Copilot segítségével a biztonsági csapatok fájlelemzéssel gyorsan felmérhetik és megérthetik a gyanús fájlokat. A Copilot a fájl összegzését tartalmazza, beleértve az észlelési információkat, a kapcsolódó fájltanúsítványokat, az API-hívások listáját és a fájlban található sztringeket.

Incidensjelentések hatékony megírása

A biztonsági üzemeltetési csapatok általában olyan jelentéseket írnak, amelyek fontos információkat rögzítenek, beleértve a végrehajtott válaszlépéseket és a megfelelő eredményeket, az érintett csapattagokat, valamint a jövőbeli biztonsági döntéseket és tanulást segítő egyéb információkat. Az incidensek dokumentálása gyakran időigényes lehet. Ahhoz, hogy egy incidensjelentés hatékony legyen, tartalmaznia kell az incidens összefoglalását, valamint az elvégzett műveleteket, beleértve azt is, hogy ki és mikor milyen műveleteket hajtott végre. A Copilot ezen információk gyors összevonásával egy incidensjelentést hoz létre.

Vadászat profiként

A Defender Copilot a megfelelő KQL-lekérdezések gyors létrehozásával segíti a biztonsági csapatokat abban, hogy proaktívan keressenek fenyegetéseket a hálózatukban.

KQL-lekérdezések létrehozása természetes nyelvű bevitelből

Azok a biztonsági csapatok, akik fejlett veszélyforrás-kereséssel proaktívan keresnek fenyegetéseket a hálózatukban, mostantól használhatnak egy lekérdezési asszisztenst, amely bármilyen természetes nyelvű kérdést a veszélyforrás-keresés kontextusában egy használatra kész KQL-lekérdezéssé alakít át. A lekérdezési asszisztens időt takarít meg a biztonsági csapatok számára egy KQL-lekérdezés létrehozásával, amely az elemző igényeinek megfelelően automatikusan futtatható vagy tovább módosítható. További információ a speciális veszélyforrás-keresésről a Copilot a biztonságért lekérdezési asszisztensében.

A szervezet védelme a megfelelő intelligens veszélyforrás-felderítéssel

Tegye lehetővé a biztonsági szervezet számára, hogy megalapozott döntéseket hozhassanak a legújabb intelligens veszélyforrás-felderítéssel. A Copilot összevonja és összegzi a fenyegetésfelderítést, hogy a biztonsági csapatok hatékonyan rangsorolják és reagáljanak a fenyegetésekre.

Intelligens veszélyforrás-felderítés figyelése

Kérje meg a Copilot, hogy foglalja össze a környezetre vonatkozó fenyegetéseket, rangsorolja a fenyegetések megoldásait a kitettségi szintek alapján, vagy keressen olyan fenyegetési szereplőket, amelyek az Ön iparágát célozhatják. További információ a Copilot a biztonságért fenyegetésfelderítéséről.

Adatbiztonság és visszajelzés a Copilotban

A Copilot folyamatosan fejlődik a tárolt, feldolgozott és megosztott adatok használatával, a rendszergazda által meghatározott beállításoktól függően. A Microsoft biztosítja, hogy a Copilot használata esetén az adatok mindig védettek és biztonságban legyenek. További információ a Copilot adatbiztonságáról és adatvédelméről: Adatvédelem és adatbiztonság a Copilotban.

A folyamatos fejlődés miatt a Copilot kihagyhat néhány dolgot. Az eredmények áttekintése és visszajelzés küldése segít javítani a Copilot jövőbeli válaszait.

A Defender Copilot összes funkciója rendelkezik visszajelzési lehetőséggel. Visszajelzés küldéséhez hajtsa végre a következő lépéseket:

Válassza a visszajelzés
Válassza a Megerősítve és nagyszerűen néz ki lehetőséget, ha az eredmények a megítélése szerint pontosak. További információkat adhat meg a következő párbeszédpanelen.
Válassza a Célon kívül, pontatlan lehetőséget, ha bármilyen részlet helytelen vagy hiányos az értékelés alapján. A következő párbeszédpanelen további információkat adhat meg az értékelésről, és elküldheti ezt az értékelést a Microsoftnak.
Az eredményeket akkor is jelentheti, ha az kérdéses vagy nem egyértelmű információkat tartalmaznak a Potenciálisan káros, nem megfelelő lehetőség kiválasztásával. Adjon meg további információt az eredményekről a következő párbeszédpanelen, és válassza a Küldés lehetőséget.

Beépülő modulok a Copilot a biztonságért szolgáltatásban

A Copilot előre telepített Microsoft beépülő modulokat használ, például a Microsoft Defender XDR, a Defender Veszélyforrás-intelligencia és a Natural Language to KQL for Microsoft Sentinel and Defender XDR beépülő modulokat a releváns információk létrehozásához, az incidensek kontextusának biztosításához és pontosabb eredmények létrehozásához. Győződjön meg arról, hogy a beépülő modulok be vannak kapcsolva a Copilotban a releváns adatokhoz való hozzáférés engedélyezéséhez és a kért tartalom létrehozásához a szervezet más Microsoft-szolgáltatásaiból.

Következő lépések

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.

Megosztás a következőn keresztül: