A Microsoft Copilot a Microsoft Defenderben

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR
  • A Microsoft Defender egyesített biztonsági üzemeltetési központ (SOC) platformja

A Copilot a biztonságért egy olyan platform, amely egyesíti a mesterséges intelligenciát és az emberi szakértelmet annak érdekében, hogy a biztonsági csapatok gyorsabban és hatékonyabban reagálhassanak a támadásokra. A Copilot a biztonságért a Microsoft Defender portálba van beágyazva, hogy a biztonsági csapatok hatékonyan összegezhessenek incidenseket, elemezhessenek szkripteket és kódokat elemezhetnek, elemezhessenek fájlokat, összegezhessenek eszközadatokat, használhassanak interaktív válaszokat az incidensek megoldásához, hozhassanak létre KQL-lekérdezéseket, incidensjelentéseket.

Ez a cikk áttekintést nyújt a Defender Copilot felhasználóinak, beleértve a hozzáférés lépéseit, a főbb képességeket és az ezeket a képességeket részletező hivatkozásokat.

A Copilot Defender elérése

Annak ellenőrzéséhez, hogy rendelkezik-e hozzáféréssel a Defender Copilothoz, tekintse meg a Copilot a biztonságért vásárlási és licencelési információit. Ha már hozzáfér a Copilot a biztonságért szolgáltatáshoz, az alábbiakban ismertetett főbb képességek elérhetővé válnak a Microsoft Defender portálon.

Incidensek kivizsgálása és megválaszolása, mint egy szakértő

Lehetővé teheti a biztonsági csapatok számára a támadási vizsgálatok időben történő, egyszerű és pontos kezelését. A Copilot segítségével a csapatok azonnal megérthetik a támadásokat, gyorsan elemezhetik a gyanús fájlokat és szkripteket, és azonnal felmérhetik és alkalmazhatják a támadások leállításához és elhárításához szükséges kockázatcsökkentést.

Incidensek gyors összegzése

A több riasztást tartalmazó incidensek vizsgálata riasztó feladat lehet. Az incidensek azonnali megértéséhez koppintson a Copilotra egy incidens összegzéséhez. A Copilot létrehoz egy áttekintést a támadásról, amely alapvető információkat tartalmaz annak megértéséhez, hogy mi derült ki a támadás során, milyen eszközökről van szó, valamint a támadás idővonaláról. A Copilot automatikusan létrehoz egy összegzést, amikor Ön egy incidens oldalára lép.

Képernyőkép a Copilot panel incidensösszegző kártyájáról, ahogyan az Microsoft Defender-incidens oldalán látható.

Incidensekkel kapcsolatos műveletek végrehajtása irányított válaszokon keresztül

Az incidensek megoldásához az elemzőknek ismerniük kell a támadásokat, hogy tudják, mely megoldások megfelelőek. A Copilot az egyes incidensekre jellemző irányított válaszokon keresztül javasol megoldásokat.

Képernyőkép a Copilot panelről a Microsoft Defender incidensoldalán található irányított válaszokkal.

Szkriptelemzés egyszerű futtatása

A legtöbb támadó kifinomult kártevőkre támaszkodik a támadások indításakor az észlelés és az elemzés elkerülése érdekében. Ezek a kártevők általában rejtve vannak, és előfordul, hogy szkriptek vagy parancssorok formájában jelennek meg a PowerShellben. A Copilot képes gyorsan elemezni a szkripteket, ezzel csökkentve a vizsgálathoz szükséges időt.

Képernyőkép a szkriptelemzési gombról az incidensoldal támadási történet nézetében.

Eszközösszegzések létrehozása

Az incidensekben érintett eszközök vizsgálata egy feladatkör lehet. Az eszközök gyors felmérése érdekében a Copilot összegezheti az eszköz adatait, beleértve az eszköz biztonsági állapotát, a szokatlan viselkedéseket, a sebezhető szoftverek listáját és a releváns Microsoft Intune-információkat.

Képernyőkép az eszköz összegzési eredményeiről a Defender Copilotban.

Fájlok azonnali elemzése

A Copilot segítségével a biztonsági csapatok fájlelemzéssel gyorsan felmérhetik és megérthetik a gyanús fájlokat. A Copilot a fájl összegzését tartalmazza, beleértve az észlelési információkat, a kapcsolódó fájltanúsítványokat, az API-hívások listáját és a fájlban található sztringeket.

Képernyőkép a Copilot fájlelemzési eredményeiről a Defenderben a Részletek elrejtése lehetőség kiemelésével.

Incidensjelentések hatékony megírása

A biztonsági üzemeltetési csapatok általában olyan jelentéseket írnak, amelyek fontos információkat rögzítenek, beleértve a végrehajtott válaszlépéseket és a megfelelő eredményeket, az érintett csapattagokat, valamint a jövőbeli biztonsági döntéseket és tanulást segítő egyéb információkat. Az incidensek dokumentálása gyakran időigényes lehet. Ahhoz, hogy egy incidensjelentés hatékony legyen, tartalmaznia kell az incidens összefoglalását, valamint a végrehajtott műveleteket, beleértve azt is, hogy ki és mikor, milyen műveleteket hajtott végre. A Copilot ezen információk gyors összevonásával egy incidensjelentést hoz létre.

Képernyőkép az incidensjelentés kártyájának felső részéről az incidens oldalán.

Vadászat profiként

A Defender Copilot a megfelelő KQL-lekérdezések gyors létrehozásával segíti a biztonsági csapatokat abban, hogy proaktívan keressenek fenyegetéseket a hálózatukban.

KQL-lekérdezések létrehozása természetes nyelvű bevitelből

Azok a biztonsági csapatok, akik speciális veszélyforrás-kereséssel proaktív módon keresnek veszélyforrásokat a hálózatukban, mostantól egy lekérdezési asszisztenst is használhatnak, amely a veszélyforrás-keresés kontextusában bármilyen természetes nyelvű kérdést egy használatra kész KQL-lekérdezéssé alakít át. A lekérdezési asszisztens időt takarít meg a biztonsági csapatok számára egy KQL-lekérdezés létrehozásával, amely az elemző igényeinek megfelelően automatikusan futtatható vagy tovább módosítható. További információ a speciális veszélyforrás-keresésről a Copilot a biztonságért lekérdezési asszisztensében.

A speciális veszélyforrás-keresés Copilot-panelének képernyőképe.

A szervezet védelme a megfelelő intelligens veszélyforrás-felderítéssel

Tegye lehetővé a biztonsági szervezet számára, hogy megalapozott döntéseket hozhassanak a legújabb intelligens veszélyforrás-felderítéssel. A Copilot összevonja és összegzi a fenyegetésfelderítést, hogy a biztonsági csapatok hatékonyan rangsorolják és reagáljanak a fenyegetésekre.

Intelligens veszélyforrás-felderítés figyelése

Kérje meg a Copilot, hogy foglalja össze a környezetre vonatkozó fenyegetéseket, rangsorolja a fenyegetések megoldásait a kitettségi szintek alapján, vagy keressen olyan fenyegetési szereplőket, amelyek az Ön iparágát célozhatják. További információ a Copilot a biztonságért fenyegetésfelderítéséről.

Képernyőkép a Copilot panelről az Defender XDR intelligens kiberveszély-felderítési szolgáltatásában.

Adatbiztonság és visszajelzés a Copilotban

A Copilot folyamatosan fejlődik a tárolt, feldolgozott és megosztottadatok használatával, a rendszergazda által meghatározott beállításoktól függően. A Microsoft biztosítja, hogy a Copilot használata esetén az adatok mindig védettek és biztonságban legyenek. További információ a Copilot adatbiztonságáról és adatvédelméről: Adatvédelem és adatbiztonság a Copilotban.

A folyamatos fejlődés miatt a Copilot kihagyhat néhány dolgot. Az eredmények áttekintése és visszajelzés küldése segít javítani a Copilot jövőbeli válaszait.

A Defender Copilot összes funkciója rendelkezik visszajelzési lehetőséggel. Visszajelzés küldéséhez hajtsa végre a következő lépéseket:

  1. Válassza a visszajelzés ikont (Képernyőkép a Defender Copilot-kártyák visszajelzés ikonjáról), amely a Copilot oldalpaneljén található eredménykártyák alján található.
  2. Válassza a Megerősítve és nagyszerűen néz ki lehetőséget, ha az eredmények a megítélése szerint pontosak. További információkat adhat meg a következő párbeszédpanelen.
  3. Válassza a Célon kívül, pontatlan lehetőséget, ha bármilyen részlet helytelen vagy hiányos az értékelés alapján. A következő párbeszédpanelen további információkat adhat meg az értékelésről, és elküldheti ezt az értékelést a Microsoftnak.
  4. Az eredményeket akkor is jelentheti, ha az kérdéses vagy nem egyértelmű információkat tartalmaznak a Potenciálisan káros, nem megfelelő lehetőség kiválasztásával. Adjon meg további információt az eredményekről a következő párbeszédpanelen, és válassza a Küldés lehetőséget.

Beépülő modulok a Copilot a biztonságért szolgáltatásban

A Copilot előre telepített Microsoft beépülő modulokat használ, például a Microsoft Defender XDR, a Defender Veszélyforrás-intelligencia és a Natural Language to KQL for Microsoft Sentinel and Defender XDR beépülő modulokat a releváns információk létrehozásához, az incidensek kontextusának biztosításához és pontosabb eredmények létrehozásához. Győződjön meg arról, hogy a beépülő modulok be vannak kapcsolva a Copilotban a releváns adatokhoz való hozzáférés engedélyezéséhez és a kért tartalom létrehozásához a szervezet más Microsoft-szolgáltatásaiból.

Következő lépések

Lásd még

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.