Megosztás a következőn keresztül:


Incidensek osztályozása és kivizsgálása a Microsoft Copilot irányított válaszaival a Microsoft Defenderben

Érintett szolgáltatás:

  • Microsoft Defender XDR
  • A Microsoft Defender egyesített biztonsági üzemeltetési központ (SOC) platformja

A Microsoft Defender portálon elérhető Copilot a biztonságért támogatja az incidenselhárítási csapatokat az incidensek azonnali, irányított válaszokkal történő megoldásában. A Defender Copilot mesterséges intelligencia és gépi tanulási képességek használatával kontextusba helyezi az incidenseket, és a korábbi vizsgálatokból tanulva hozza létre a megfelelő válaszműveleteket.

Az incidensek Microsoft Defender portálon való elhárításához sok esetben ismerni kell, hogy a portálon milyen műveletek állnak rendelkezésre a támadások megakadályozására. Emellett az új incidenselhárítóknak különböző elképzeléseik lehetnek arról, hogy hol és hogyan érdemes elkezdeni az incidensek elhárítását. A Defender Copilot irányított válaszok adására vonatkozó képessége révén az incidenselhárítási csapatok minden szinten magabiztosan és gyorsan alkalmazhatnak válaszműveleteket az incidensek egyszerű megoldásához.

Az irányított válaszok a Microsoft Defender portálon a Copilot a biztonságért-licenckeresztül érhetők el. Az irányított válaszok a Copilot a biztonságért önálló felületén is elérhetők a Defender XDR beépülő modulon keresztül.

Ebből az útmutatóból megtudhatja, hogyan férhet hozzá az irányított válaszok adását lehetővé tevő funkcióhoz, és sok más mellett a válaszokkal kapcsolatos visszajelzések küldésére vonatkozó információkat is talál.

Irányított válaszok alkalmazása az incidensek megoldásához

Az irányított válaszok a következő kategóriákban javasolnak műveleteket:

  • Osztályozás – javaslatot tartalmaz az incidensek tájékoztatóként, valódi pozitívként vagy vakriasztásként való besorolására
  • Megelőzés – az incidens megfékezéséhez javasolt műveleteket tartalmazza
  • Vizsgálat – a további vizsgálathoz javasolt műveleteket tartalmazza
  • Szervizelés – az incidensben érintett adott entitásokra alkalmazandó javasolt válaszműveleteket tartalmazza

Minden egyes kártya információkat tartalmaz az ajánlott műveletről, például azt az entitást, ahol a műveletet alkalmazni kell, valamint a művelet ajánlásának okát. A kártyák azt is kihangsúlyozzák, hogy egy javasolt műveletet automatizált vizsgálat hajtott végre, például támadáskimaradás vagy automatikus vizsgálati válasz.

Az irányított válaszkártyák az egyes kártyák elérhető állapota alapján rendezhetők. Az irányított válaszok megtekintésekor kiválaszthat egy adott állapotot, ha az Állapot elemre kattint, és kiválasztja a megtekinteni kívánt megfelelő állapotot. Alapértelmezés szerint minden irányított válaszkártya az állapottól függetlenül jelenik meg.

Képernyőkép a Válaszok állapotáról a Microsoft Defender incidensoldalának Copilot paneljén.

Irányított válaszok használatához hajtsa végre a következő lépéseket:

  1. Nyisson meg egy incidensoldalt. A Copilot automatikusan generál irányított válaszokat egy incidensoldal megnyitásakor. A Copilot panel az incidensoldal jobb oldalán jelenik meg, amelyen az irányított válaszkártyák láthatók.

    Képernyőkép a Copilot panelről a Microsoft Defender incidensoldalán található irányított válaszokkal.

  2. A javaslatok alkalmazása előtt tekintse át az egyes kártyákat. Válassza a Válaszkártya tetején található További műveletek három pontot (...) az egyes javaslatokhoz elérhető lehetőségek megtekintéséhez. Íme néhány példa.

    Képernyőkép a Felhasználók számára elérhető lehetőségekről egy irányított válaszkártyán a Copilot oldalpaneljén.

    Képernyőkép a Microsoft Defender XDR Copilot paneljének automatizálási válaszkártyáján elérhető lehetőségekről.

  3. Művelet alkalmazásához válassza ki az egyes kártyákon található kívánt műveletet. Az egyes kártyákon az irányított válaszművelet az incidens típusához és az érintett entitáshoz van igazítva.

    Képernyőkép a Microsoft Defender Copilot paneljének interaktív válaszkártyáiról.

  4. Az egyes válaszkártyákra visszajelzést küldhet, hogy folyamatosan javíthassa a Copilot jövőbeli válaszait. Visszajelzés küldéséhez válassza a visszajelzés ikont Képernyőkép, amely a Copilot visszajelzés ikonját jeleníti meg az egyes kártyák jobb alsó sarkában található Defender-kártyákon .

Megjegyzés:

A szürkén megjelenő akciógombok azt jelentik, hogy ezeket a műveleteket az Ön engedélyei korlátozzák. További információért tekintse meg az egyesített szerepköralapú hozzáférés (RBAC) engedélyeit ismertető oldalt.

A Defender Copilot azáltal támogatja az incidenselhárítási csapatokat, hogy lehetővé teszi az elemzők számára, hogy több kontextust szerezzenek a válaszműveletekkel kapcsolatban, és további megállapításokat tegyenek. A szervizelési műveletekhez az incidenselhárítási csapatok további információkat tekinthetnek meg különböző beállítások, például a Hasonló incidensek megtekintése vagy a Hasonló e-mailek megtekintése beállítás segítségével.

A Hasonló incidensek megtekintése művelet akkor válik elérhetővé, amikor a szervezeten belül vannak más, az aktuális incidenshez hasonló incidensek. A Hasonló incidensek lap felsorolja a hasonló incidenseket, amelyeket Ön áttekinthet. A Microsoft Defender gépi tanulással automatikusan azonosítja a szervezeten belüli hasonló incidenseket. Az incidenselhárítási csapatok a hasonló incidensek információi alapján osztályozhatják az incidenseket, és további áttekintést kaphatnak a hasonló incidenseken végrehajtott műveletekről.

A Hasonló e-mailek megtekintése művelet, amely az adathalászati incidensekre vonatkozik, a speciális veszélyforrás-keresés lapjára irányítja, ahol automatikusan létrejön egy, a szervezetén belüli hasonló e-maileket felsoroló KQL-lekérdezés. Az egyazon incidenshez kapcsolódó lekérdezések automatikus létrehozása segít az incidenselhárítási csapatoknak az incidenssel kapcsolatos egyéb e-mailek további vizsgálatában. Áttekintheti a lekérdezést, és szükség szerint módosíthatja.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.