Megosztás a következőn keresztül:

Incidensek osztályozása és kivizsgálása a Microsoft Copilot irányított válaszaival a Microsoft Defenderben

  • Cikk
  • A következőre érvényes::
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Defender portálon elérhető Copilot a biztonságért támogatja az incidenselhárítási csapatokat az incidensek azonnali, irányított válaszokkal történő megoldásában. A Defender Copilot mesterséges intelligencia és gépi tanulási képességek használatával kontextusba helyezi az incidenseket, és a korábbi vizsgálatokból tanulva hozza létre a megfelelő válaszműveleteket.

Ebből az útmutatóból megtudhatja, hogyan férhet hozzá az irányított válaszok adását lehetővé tevő funkcióhoz, és sok más mellett a válaszokkal kapcsolatos visszajelzések küldésére vonatkozó információkat is talál.

Tudnivalók a kezdés előtt

Ha még nem ismeri a Copilot for Securityt, érdemes megismerkednie vele az alábbi cikkekben:

Az incidensek Microsoft Defender portálon való elhárításához sok esetben ismerni kell, hogy a portálon milyen műveletek állnak rendelkezésre a támadások megakadályozására. Emellett az új incidenselhárítóknak különböző elképzeléseik lehetnek arról, hogy hol és hogyan érdemes elkezdeni az incidensek elhárítását. A Defender Copilot irányított válaszok adására vonatkozó képessége révén az incidenselhárítási csapatok minden szinten magabiztosan és gyorsan alkalmazhatnak válaszműveleteket az incidensek egyszerű megoldásához.

A Copilot for Security integrációja a Microsoft Defender

Az irányított válaszok az Microsoft Defender portálon érhetők el azoknak az ügyfeleknek, akik hozzáférést biztosítottak a Copilot for Security szolgáltatáshoz.

Az irányított válaszok a Copilot for Security önálló felületén is elérhetők a Microsoft Defender XDR beépülő modulon keresztül. További információ a Copilot a biztonságért előre telepített beépülő moduljairól.

Főbb funkciók

Az irányított válaszok a következő kategóriákban javasolnak műveleteket:

  • Osztályozás – javaslatot tartalmaz az incidensek tájékoztatóként, valódi pozitívként vagy vakriasztásként való besorolására
  • Megelőzés – az incidens megfékezéséhez javasolt műveleteket tartalmazza
  • Vizsgálat – a további vizsgálathoz javasolt műveleteket tartalmazza
  • Szervizelés – az incidensben érintett adott entitásokra alkalmazandó javasolt válaszműveleteket tartalmazza

Minden egyes kártya információkat tartalmaz az ajánlott műveletről, például azt az entitást, ahol a műveletet alkalmazni kell, valamint a művelet ajánlásának okát. A kártyák azt is kihangsúlyozzák, hogy egy javasolt műveletet automatizált vizsgálat hajtott végre, például támadáskimaradás vagy automatikus vizsgálati válasz.

Az irányított válaszkártyák az egyes kártyák elérhető állapota alapján rendezhetők. Az irányított válaszok megtekintésekor kiválaszthat egy adott állapotot, ha az Állapot elemre kattint, és kiválasztja a megtekinteni kívánt megfelelő állapotot. Alapértelmezés szerint minden irányított válaszkártya az állapottól függetlenül jelenik meg.

Képernyőkép a válaszok állapotáról a Copilot panelen az Microsoft Defender incidens oldalán.

Irányított válaszok használatához hajtsa végre a következő lépéseket:

  1. Nyisson meg egy incidensoldalt. A Copilot automatikusan generál irányított válaszokat egy incidensoldal megnyitásakor. A Copilot panel az incidensoldal jobb oldalán jelenik meg, amelyen az irányított válaszkártyák láthatók.

    Képernyőkép a Copilot panelről az Microsoft Defender incidens oldalán található irányított válaszokkal.

  2. A javaslatok alkalmazása előtt tekintse át az egyes kártyákat. Válassza a Válaszkártya tetején található További műveletek három pontot (...) az egyes javaslatokhoz elérhető lehetőségek megtekintéséhez. Íme néhány példa.

    Képernyőkép a Felhasználók számára elérhető lehetőségekről egy irányított válaszkártyán a Copilot oldalpaneljén.

    Képernyőkép a felhasználók számára elérhető lehetőségekről egy automatizálási válaszkártyán a Microsoft Defender XDR Copilot paneljén.

  3. Művelet alkalmazásához válassza ki az egyes kártyákon található kívánt műveletet. Az egyes kártyákon az irányított válaszművelet az incidens típusához és az érintett entitáshoz van igazítva.

    Képernyőkép az irányított válaszkártyákról a Copilot panelen Microsoft Defender.

  4. Az egyes válaszkártyákra visszajelzést küldhet, hogy folyamatosan javíthassa a Copilot jövőbeli válaszait. Visszajelzés küldéséhez válassza a visszajelzés ikont Képernyőkép, amely a Copilot visszajelzés ikonját jeleníti meg az egyes kártyák jobb alsó sarkában található Defender-kártyákon .

Megjegyzés:

A szürkén megjelenő akciógombok azt jelentik, hogy ezeket a műveleteket az Ön engedélyei korlátozzák. További információért tekintse meg az egyesített szerepköralapú hozzáférés (RBAC) engedélyeit ismertető oldalt.

A Copilot segít felgyorsítani az elemzők vizsgálati feladatait. Ha egy incidens további vizsgálatot igényel egy felhasználói tevékenységgel kapcsolatban, a Copilot olyan szöveget javasol, amelyet az elemzők a felhasználóval való kommunikációhoz használhatnak. Az irányított válaszkártyán szerepel egy Partner felhasználó a Teamsben vagy a Másolás a vágólapra művelet, amely a javasolt szöveget a vágólapra másolja. Az elemzők ezután beilleszthetik a szöveget egy e-mailbe vagy egy másik kommunikációs eszközbe. Az elemző a Felhasználó megtekintése művelettel további kontextust is kaphat a felhasználóról .

Képernyőkép a kommunikáció javasolt szövegéről egy irányított válaszkártyán.

A Copilot az incidensmegoldási csapatokat is támogatja azáltal, hogy lehetővé teszi az elemzők számára, hogy további megállapításokkal több kontextust nyerjenek a válaszműveletekkel kapcsolatban. A szervizelési műveletekhez az incidenselhárítási csapatok további információkat tekinthetnek meg különböző beállítások, például a Hasonló incidensek megtekintése vagy a Hasonló e-mailek megtekintése beállítás segítségével.

A Hasonló incidensek megtekintése művelet akkor válik elérhetővé, amikor a szervezeten belül vannak más, az aktuális incidenshez hasonló incidensek. A Hasonló incidensek lap felsorolja a hasonló incidenseket, amelyeket Ön áttekinthet. A Microsoft Defender gépi tanulással automatikusan azonosítja a szervezeten belüli hasonló incidenseket. Az incidenselhárítási csapatok a hasonló incidensek információi alapján osztályozhatják az incidenseket, és további áttekintést kaphatnak a hasonló incidenseken végrehajtott műveletekről.

A Hasonló e-mailek megtekintése művelet, amely az adathalászati incidensekre vonatkozik, a speciális veszélyforrás-keresés lapjára irányítja, ahol automatikusan létrejön egy, a szervezetén belüli hasonló e-maileket felsoroló KQL-lekérdezés. Az egyazon incidenshez kapcsolódó lekérdezések automatikus létrehozása segít az incidenselhárítási csapatoknak az incidenssel kapcsolatos egyéb e-mailek további vizsgálatában. Áttekintheti a lekérdezést, és szükség szerint módosíthatja.

Interaktív válaszok mintaüzenete

Az önálló Copilot for Security portálon az alábbi parancssor használatával hozhat létre irányított válaszokat:

  • Interaktív válaszokat és javaslatokat hozhat létre a(z) {incident ID} Defender-incidenshez.

Tipp

Amikor irányított válaszokat hoz létre a Copilot for Security portálon, a Microsoft azt javasolja, hogy a Defender szót is belefoglalja az üzeneteibe, hogy az irányított válaszok képessége biztosítsa az eredményeket.

Visszajelzés küldése

A Microsoft nagy mértékben arra ösztönzi Önt, hogy adjon visszajelzést a Copilotnak, mivel ez elengedhetetlen a képesség folyamatos fejlesztéséhez. Visszajelzés küldéséhez lépjen a Copilot oldalpaneljének aljára, és válassza a visszajelzés ikont Képernyőkép a Copilot visszajelzés ikonjáról a Defender-kártyákon.

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.