Incidensek osztályozása és kivizsgálása a Microsoft Copilot irányított válaszaival a Microsoft Defenderben
A Microsoft Defender portálon elérhető Copilot a biztonságért támogatja az incidenselhárítási csapatokat az incidensek azonnali, irányított válaszokkal történő megoldásában. A Defender Copilot mesterséges intelligencia és gépi tanulási képességek használatával kontextusba helyezi az incidenseket, és a korábbi vizsgálatokból tanulva hozza létre a megfelelő válaszműveleteket.
Az incidensek Microsoft Defender portálon való elhárításához sok esetben ismerni kell, hogy a portálon milyen műveletek állnak rendelkezésre a támadások megakadályozására. Emellett az új incidenselhárítóknak különböző elképzeléseik lehetnek arról, hogy hol és hogyan érdemes elkezdeni az incidensek elhárítását. A Defender Copilot irányított válaszok adására vonatkozó képessége révén az incidenselhárítási csapatok minden szinten magabiztosan és gyorsan alkalmazhatnak válaszműveleteket az incidensek egyszerű megoldásához.
Az irányított válaszok a Microsoft Defender portálon a Copilot a biztonságért-licenckeresztül érhetők el. Az irányított válaszok a Copilot a biztonságért önálló felületén is elérhetők a Defender XDR beépülő modulon keresztül.
Ebből az útmutatóból megtudhatja, hogyan férhet hozzá az irányított válaszok adását lehetővé tevő funkcióhoz, és sok más mellett a válaszokkal kapcsolatos visszajelzések küldésére vonatkozó információkat is talál.
Irányított válaszok alkalmazása az incidensek megoldásához
Az irányított válaszok a következő kategóriákban javasolnak műveleteket:
- Osztályozás – javaslatot tartalmaz az incidensek tájékoztatóként, valódi pozitívként vagy vakriasztásként való besorolására
- Megelőzés – az incidens megfékezéséhez javasolt műveleteket tartalmazza
- Vizsgálat – a további vizsgálathoz javasolt műveleteket tartalmazza
- Szervizelés – az incidensben érintett adott entitásokra alkalmazandó javasolt válaszműveleteket tartalmazza
Minden egyes kártya információkat tartalmaz az ajánlott műveletről, például azt az entitást, ahol a műveletet alkalmazni kell, valamint a művelet ajánlásának okát. A kártyák azt is kihangsúlyozzák, hogy egy javasolt műveletet automatizált vizsgálat hajtott végre, például támadáskimaradás vagy automatikus vizsgálati válasz.
Az irányított válaszkártyák az egyes kártyák elérhető állapota alapján rendezhetők. Az irányított válaszok megtekintésekor kiválaszthat egy adott állapotot, ha az Állapot elemre kattint, és kiválasztja a megtekinteni kívánt megfelelő állapotot. Alapértelmezés szerint minden irányított válaszkártya az állapottól függetlenül jelenik meg.
Irányított válaszok használatához hajtsa végre a következő lépéseket:
Nyisson meg egy incidensoldalt. A Copilot automatikusan generál irányított válaszokat egy incidensoldal megnyitásakor. A Copilot panel az incidensoldal jobb oldalán jelenik meg, amelyen az irányított válaszkártyák láthatók.
A javaslatok alkalmazása előtt tekintse át az egyes kártyákat. Válassza a Válaszkártya tetején található További műveletek három pontot (...) az egyes javaslatokhoz elérhető lehetőségek megtekintéséhez. Íme néhány példa.
Művelet alkalmazásához válassza ki az egyes kártyákon található kívánt műveletet. Az egyes kártyákon az irányított válaszművelet az incidens típusához és az érintett entitáshoz van igazítva.
Az egyes válaszkártyákra visszajelzést küldhet, hogy folyamatosan javíthassa a Copilot jövőbeli válaszait. Visszajelzés küldéséhez válassza a visszajelzés .
Megjegyzés:
A szürkén megjelenő akciógombok azt jelentik, hogy ezeket a műveleteket az Ön engedélyei korlátozzák. További információért tekintse meg az egyesített szerepköralapú hozzáférés (RBAC) engedélyeit ismertető oldalt.
A Copilot segít felgyorsítani az elemzők vizsgálati feladatait. Ha egy incidens további vizsgálatot igényel egy felhasználói tevékenységgel kapcsolatban, a Copilot olyan szöveget javasol, amelyet az elemzők a felhasználóval való kommunikációhoz használhatnak. Az irányított válaszkártyán szerepel egy Partner felhasználó a Teamsben vagy a Másolás a vágólapra művelet, amely a javasolt szöveget a vágólapra másolja. Az elemzők ezután beilleszthetik a szöveget egy e-mailbe vagy egy másik kommunikációs eszközbe. Az elemző a Felhasználó megtekintése művelettel további kontextust is kaphat a felhasználóról .
A Copilot az incidensmegoldási csapatokat is támogatja azáltal, hogy lehetővé teszi az elemzők számára, hogy további megállapításokkal több kontextust nyerjenek a válaszműveletekkel kapcsolatban. A szervizelési műveletekhez az incidenselhárítási csapatok további információkat tekinthetnek meg különböző beállítások, például a Hasonló incidensek megtekintése vagy a Hasonló e-mailek megtekintése beállítás segítségével.
A Hasonló incidensek megtekintése művelet akkor válik elérhetővé, amikor a szervezeten belül vannak más, az aktuális incidenshez hasonló incidensek. A Hasonló incidensek lap felsorolja a hasonló incidenseket, amelyeket Ön áttekinthet. A Microsoft Defender gépi tanulással automatikusan azonosítja a szervezeten belüli hasonló incidenseket. Az incidenselhárítási csapatok a hasonló incidensek információi alapján osztályozhatják az incidenseket, és további áttekintést kaphatnak a hasonló incidenseken végrehajtott műveletekről.
A Hasonló e-mailek megtekintése művelet, amely az adathalászati incidensekre vonatkozik, a speciális veszélyforrás-keresés lapjára irányítja, ahol automatikusan létrejön egy, a szervezetén belüli hasonló e-maileket felsoroló KQL-lekérdezés. Az egyazon incidenshez kapcsolódó lekérdezések automatikus létrehozása segít az incidenselhárítási csapatoknak az incidenssel kapcsolatos egyéb e-mailek további vizsgálatában. Áttekintheti a lekérdezést, és szükség szerint módosíthatja.
Lásd még
- Incidens összegzése
- Fájlok elemzése
- Szkriptelemzés futtatása
- Incidensjelentés létrehozása
- KQL-lekérdezések létrehozása
- A Biztonsági Microsoft Copilot használatának első lépései
- További információ a beágyazott Copilot a biztonságért-funkciókról
- További információ a Copilot a biztonságért előre telepített beépülő moduljairól
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.