Incidens összegzése a Microsoft Copilottal a Microsoft Defenderben

Érintett szolgáltatás:

• Microsoft Defender XDR
• A Microsoft Defender egyesített biztonsági üzemeltetési központ (SOC) platformja

A Microsoft Defender XDR a Copilot for Security képességeit alkalmazza az incidensek összegzésére, hatékony információk és megállapítások biztosítására a vizsgálati feladatok egyszerűsítése érdekében. A támadás kivizsgálása kulcsfontosságú lépés az incidenselhárító csapatok számára ahhoz, hogy sikeresen megvédjék a szervezetet a kiberveszélyforrásból eredő további károkkal szemben. A vizsgálatok gyakran időigényesek lehetnek, mivel számos lépést igényelnek. Az incidenselhárító csapatoknak meg kell érteniük, hogyan történt a támadás: át kell válogatniuk számos riasztást, azonosítaniuk kell az érintett eszközöket és entitásokat, és fel kell mérniük a támadás terjedelmét és hatását.

Az incidens-válaszadók könnyen hozzájuthatnak a megfelelő kontextushoz az incidensek kivizsgálásához és orvoslásához a Defender XDR korrelációs képességei, valamint a Copilot segítségével a biztonság AI-alapú adatfeldolgozásához és környezetualizációjához. Az incidens összegzésével az elhárítók gyorsan hozzájuthatnak a vizsgálatot segítő fontos információkhoz.

Az incidens-összefoglaló képesség a Microsoft Defender portálon a Copilot for Security licencen keresztül érhető el. Ez a képesség a Copilot for Security önálló felületén is elérhető a Microsoft Defender XDR beépülő modulon keresztül.

Ez az útmutató ismerteti, hogy mire számíthat, és hogyan férhet hozzá a Copilot összegző képességeihez a Defenderben, beleértve a visszajelzések küldésével kapcsolatos információkat is.

Incidens összegzése

A legfeljebb 100 riasztást tartalmazó incidensek egyetlen incidensösszegzésben foglalhatók össze. Az incidensek összegzése az adatok rendelkezésre állásától függően a következőket tartalmazza:

• A támadás kezdetének időpontja és dátuma.
• Az entitás vagy eszköz, ahol a támadás elindult.
• Összefoglaló a támadás lefolyásának idővonaláról.
• A támadásban érintett eszközök.
• Biztonsági rések (IOC-k) mutatói.
• A fenyegetés érintett szereplőinek neve.

Incidens összegzéséhez hajtsa végre a következő lépéseket:

1. Nyisson meg egy incidensoldalt. A Copilot automatikusan létrehoz egy incidens-összefoglalást az oldal megnyitásakor. Az összegzés létrehozásának leállításához válassza a Mégse lehetőséget, vagy a létrehozás újraindításához válassza az Újragenerálás lehetőséget.

2. Az incidensösszegző kártya a Copilot panelen töltődik be. Tekintse át a kártyán létrehozott összegzést.

   

   Tipp

   A Copilot-eredmények panelen egy fájlra, IP-címre vagy URL-címre navigálhat, ha az eredményekben lévő bizonyítékokra kattint.

3. Válassza a További műveletek három pontot (...) az incidens-összefoglaló kártya tetején az összefoglalás másolásához vagy újragenerálásához, vagy tekintse meg az összefoglalást a Copilot for Security portálon. Ha a Megnyitás a Copilot for Securityben lehetőséget választja, megnyílik egy új lap a Copilot for Security önálló portálján, ahol utasításokat adhat meg, és más beépülő modulokhoz férhet hozzá.

   

4. Tekintse át az összefoglalást, és használja az információkat a vizsgálat és az incidensre adott válasz irányításához. Ha visszajelzést szeretne küldeni az összefoglalásról, válassza a visszajelzés a Copilot panel alján található Defender-kártyákon.

Lásd még

• Szkriptelemzés futtatása
• Fájlok elemzése
• Eszközösszegzés létrehozása
• Irányított válaszok használata fenyegetésekre való válaszadáskor
• KQL-lekérdezések létrehozása
• Incidensjelentések létrehozása
• A Biztonsági Microsoft Copilot használatának első lépései
• További információ a beágyazott Copilot a biztonságért-funkciókról
• További információ a Copilot a biztonságért előre telepített beépülő moduljairól
• Incidensek kivizsgálása a Microsoft Defender XDR-ben

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.