Microsoft Copilot for Security és Microsoft Defender Threat Intelligence
Fontos
2024. június 30-án megszűnik a Microsoft Defender Threat Intelligence (Defender TI) önálló portálja (https://ti.defender.microsoft.com), és többé nem lesz elérhető. Az ügyfelek továbbra is használhatják a Defender TI-t a Microsoft Defender portálon vagy a Microsoft Copilot for Security szolgáltatással. További információ
A Microsoft Copilot for Security egy felhőalapú AI-platform, amely természetes nyelvi copilot-élményt nyújt. Segíthet a biztonsági szakemberek támogatásában különböző forgatókönyvek esetében, például incidenselhárításban, veszélyforrás-keresésben és intelligenciagyűjtésben. További információt arról, hogy mire képes, olvassa el a Mi a Microsoft Copilot for Security? című témakört.
A Copilot for Security integrálható a Microsoft Defender veszélyforrás-felderítéssel
A Copilot for Security információt nyújt a fenyegetést jelölő tényezőkről, a biztonsági rések mutatóiról, az eszközökről és a biztonsági résekről, valamint a Microsoft Defender veszélyforrás-felderítésből (Defender TI) származó környezetfüggő fenyegetésfelderítésről. Az utasításokat és a promptbookokat használhatja incidensek kivizsgálására, veszélyforrás-felderítési információkkal gazdagíthatja a veszélyforrás-keresési folyamatokat, vagy további ismereteket szerezhet a szervezet vagy a globális fenyegetési környezetről.
Ez a cikk bemutatja a Copilot, és mintaüzeneteket tartalmaz, amelyek segíthetnek a Defender TI-felhasználóknak.
Tudnivalók a kezdés előtt
A Copilot képességeivel veszélyforrás-felderítést jeleníthet meg a Copilot for Security portálon vagy a Microsoft Defender portálon. További információ a Copilot biztonsági szolgáltatásairól
A parancsai legyenek világosak és konkrétak. Jobb eredményeket érhet el, ha adott fenyegetési szereplőneveket vagy IOC-ket tartalmaz a kérésekben. Az is segíthet, ha fenyegetésfelderítést ad a kérdéshez, például:
- Mutasd meg az Aqua Blizzard fenyegetésfelderítési adatait.
- A "malicious.com" fenyegetésfelderítési adatainak összegzése.
Konkrétnak kell lennie egy incidensre való hivatkozáskor (például "15324-ös incidensazonosító").
Kísérletezzen különböző parancsokkal és változatokkal, hogy lássa, mi működik a legjobban a használati esethez. A csevegési AI-modellek eltérőek, ezért a kapott eredmények alapján ismételje és finomítsa a parancsokat.
A Copilot for Security menti a parancssori munkameneteket. Az előző munkamenetek megtekintéséhez a Copilot Kezdőlap menüjében válassza a Saját munkamenetek lehetőséget.
Megjegyzés:
A Copilotról, beleértve a pin-kódot és a megosztási funkciót bemutató útmutatót, olvassa el a Navigate Microsoft Copilot for Security (Navigálás a Microsoft Copilot for Security szolgáltatásban) című témakört.
További információ az érvényes kérések létrehozásáról
A Copilot for Security önálló portáljának használata fenyegetésfelderítéshez
Lépjen a Microsoft Copilot for Security webhelyre , és jelentkezzen be a hitelesítő adataival.
Győződjön meg arról, hogy a Defender TI beépülő modul be van kapcsolva. A parancssorban válassza a Források
A megjelenő Források kezelése előugró ablakban, a Beépülő modulok területen ellenőrizze, hogy be van-e kapcsolva a Microsoft Defender veszélyforrás-felderítés kapcsolója, majd zárja be az ablakot.
Megjegyzés:
Egyes szerepkörök be- vagy kikapcsolhatják a váltógombot a beépülő modulokhoz, például a Defender TI-hez. További információ: Beépülő modulok kezelése a Microsoft Copilot for Security szolgáltatásban.
Írja be a parancssort a parancssorba.
Beépített rendszerfunkciók
A Copilot for Security beépített rendszerfunkciókkal rendelkezik, amelyek adatokat tudnak lekérni a különböző bekapcsolt beépülő modulokból.
A Defender TI beépített rendszerképességeinek listájának megtekintése:
A parancssori sávon válassza a Prompts (Kérdések)
Válassza az Összes rendszerképesség megtekintése lehetőséget. A Microsoft Defender Fenyegetésfelderítés szakasz felsorolja a Defender TI összes elérhető képességét, amelyet használhat.
A Copilot az alábbi parancssorokkal is rendelkezik, amelyek a Defender TI-ből is szolgáltatnak információkat:
- Fenyegetés aktorprofilja – Létrehoz egy jelentést, amely egy ismert fenyegetési szereplőről készít profilt, beleértve a gyakori eszközökkel és taktikával szembeni védekezésre vonatkozó javaslatokat.
- Sebezhetőségi hatásvizsgálat – Létrehoz egy jelentést, amely összefoglalja egy ismert biztonsági rés intelligenciájának adatait, beleértve a megoldás lépéseit is.
A promptbookok megtekintéséhez a parancssori sávon válassza a Prompts (Kérdések ) ikont, majd a See all promptbooks (Az összes promptbook megtekintése) lehetőséget.
Mintaüzenetek a Defender TI-hez
A Defender TI-ből számos kérdés használható az információk lekéréséhez. Ez a szakasz néhány ötletet és példát sorol fel.
Általános információk a fenyegetésfelderítési trendekről
Veszélyforrás-felderítő cikkeket és fenyegetési szereplőket is beszerezhet.
Mintaüzenetek :
- A legutóbbi fenyegetésfelderítés összegzése.
- Mutasd meg a legújabb veszélyforrás-cikkeket.
- Szerezze be a zsarolóprogramokkal kapcsolatos veszélyforrás-cikkeket az elmúlt hat hónapban.
IP-cím és gazdagép környezetfüggő információi a fenyegetésfelderítéssel kapcsolatban
Információkat kaphat az IP-címekkel és gazdagépekkel társított adatkészletekről, például portokról, hírnévpontszámokról, összetevőkről, tanúsítványokról, cookie-król, szolgáltatásokról és gazdagéppárokról.
Mintaparancsok:
- Mutassa meg a gazdagép< nevének> hírnevét.
- Kérje le az IP-cím IP-címének<> feloldását.
Fenyegetés aktorleképezése és infrastruktúrája
Információkat kaphat a fenyegetések szereplőiről, valamint a hozzájuk kapcsolódó taktikákról, technikákról és eljárásokról (TTP-kről), a szponzorált államokról, iparágakról és IOK-okról.
Mintaparancsok:
- Meséljen bővebben a Silk Typhoonról.
- Ossza meg a Silk Typhoonhoz társított IOK-okat.
- Ossza meg a Silk Typhoonhoz társított TTP-ket.
- Ossza meg az Oroszországgal társított fenyegetést jelentő szereplőket.
Biztonságirés-adatok a CVE-ből
Környezetfüggő információk és fenyegetésfelderítés a gyakori biztonsági résekkel és kitettségekkel (CVE-kkel) kapcsolatban.
Mintaparancsok:
- Ossza meg a CVE-2021-44228 biztonsági résre érzékeny technológiákat.
- Összegezze a CVE-2021-44228 biztonsági rést.
- Mutassa meg a legújabb CVES-eket.
- Mutasd meg a CVE-2021-44228-hoz társított fenyegetési szereplőket.
- Mutassa meg a CVE-2021-44228-hoz kapcsolódó veszélyforrás-cikkeket.
Visszajelzés küldése
A Defender TI és a Copilot for Security integrációjával kapcsolatos visszajelzése segít a fejlesztésben. Visszajelzés küldéséhez a Copilotban válassza a Hogyan jelenik meg ez a válasz? Az egyes kész parancssorok alján válassza az alábbi lehetőségek egyikét:
- Jól néz ki – Válassza ezt a gombot, ha az eredmények pontosak az értékelés alapján.
- Fejlesztésre van szükség – Válassza ezt a gombot, ha az eredmények bármelyik részlete helytelen vagy hiányos az értékelés alapján.
- Nem megfelelő – Válassza ezt a gombot, ha az eredmények megkérdőjelezhető, nem egyértelmű vagy potenciálisan káros információkat tartalmaznak.
Minden visszajelzési gombhoz további információkat adhat meg a következő megjelenő párbeszédpanelen. Amikor csak lehetséges, és ha az eredmény Fejlesztésre van szükség, írjon néhány szót, amely elmagyarázza, hogy mit lehet tenni az eredmény javítása érdekében. Ha a Defender TI-ra vonatkozó utasításokat adott meg, és az eredmények nem kapcsolódnak, adja meg ezeket az információkat.
A Microsoft Copilot használata a Defenderben a fenyegetésfelderítés lekéréséhez
A Copilot for Security ügyfelei minden hitelesített Copilot-felhasználónak hozzáférést kapnak a Defender TI-hez a Microsoft Defender portálon. A Copilothoz való hozzáférés biztosításához tekintse meg a Copilot for Security vásárlási és licencelési adatait.
Ha már hozzáfér a Copilot for Securityhez, a következő szakaszban tárgyalt főbb funkciók a Defender portál fenyegetésfelderítési szakaszaiban lesznek elérhetők:
- Veszélyforrás-statisztika
- Intel-profilok
- Intel Explorer
- Intel-projektek
Főbb funkciók
A Copilot a Defenderben lehetővé teszi a Copilot számára, hogy felderítse a fenyegetésfelderítést a portálon, lehetővé téve a biztonsági csapatok számára a fenyegetésfelderítési információk megértését, rangsorolását és azonnali intézkedését.
Rákérdezhet egy fenyegetési szereplőre, egy támadási kampányra vagy bármely más fenyegetésfelderítésre, amelyről többet szeretne tudni, és a Copilot a fenyegetéselemzési jelentések, intelprofilok és cikkek, valamint más Defender TI-tartalmak alapján hoz létre válaszokat. Az elérhető beépített kérések bármelyikét is kiválaszthatja, amelyek lehetővé teszik a következő műveletek végrehajtását:
- A szervezettel kapcsolatos legújabb fenyegetések összegzése
- Rangsorolja , hogy mely fenyegetésekre kell összpontosítania a környezet legmagasabb expozíciós szintje alapján
- A kommunikációs infrastruktúra iparágát célzó fenyegetési szereplőkre vonatkozó kérdések
További információ a Copilot veszélyforrás-felderítéshez való használatáról a Defenderben
Adatfeldolgozás és adatvédelem
Amikor a Biztonsági Copilottal kommunikál a Defender TI-adatok lekéréséhez, a Copilot lekéri az adatokat a Defender TI-ből. A rendszer feldolgozja és tárolja a kéréseket, a lekért adatokat és a parancssori eredményekben megjelenő kimenetet a Copilot szolgáltatásban. További információ az adatvédelemről és az adatbiztonságról a Microsoft Copilot for Securityben
Lásd még
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: