Del via

Microsoft Copilot i Microsoft Defender

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR
  • Microsoft Defender-plattformen for enhetlig sikkerhetsoperasjonssenter (SOC)

Microsoft Copilot for sikkerhet er en plattform som samler kraften til kunstig intelligens og menneskelig ekspertise for å hjelpe sikkerhetsteam med å reagere på angrep raskere og mer effektivt. Copilot for sikkerhet er innebygd i Microsoft Defender-portalen for å gjøre det mulig for sikkerhetsteam å effektivt oppsummere hendelser, analysere skript og koder, analysere filer, oppsummere enhetsinformasjon, bruke veiledede svar til å løse hendelser, generere KQL-spørringer, opprette hendelsesrapporter.

Denne artikkelen gir en oversikt for brukere av Copilot i Defender, inkludert trinn for tilgang, viktige funksjoner og koblinger til detaljene for disse funksjonene.

Få tilgang til Copilot i Defender

Hvis du vil sikre at du har tilgang til Copilot i Defender, kan du se Kjøp og lisensieringsinformasjon for Copilot for sikkerhet. Når du har tilgang til Copilot for sikkerhet, blir nøkkelfunksjonene som er beskrevet nedenfor, tilgjengelige i Microsoft Defender-portalen.

Undersøk og svar på hendelser som en ekspert

Gjør det mulig for sikkerhetsteam å håndtere angrepsundersøkelser i tide med letthet og presisjon. Copilot hjelper team med å forstå angrep umiddelbart, analysere mistenkelige filer og skript raskt og raskt vurdere og anvende passende tiltak for å stoppe og inneholde angrep.

Oppsummer hendelser raskt

Det kan være en skremmende oppgave å undersøke hendelser med flere varsler. Hvis du vil forstå en hendelse umiddelbart, kan du trykke på Copilot for å oppsummere en hendelse for deg. Copilot oppretter en oversikt over angrepet som inneholder viktig informasjon, slik at du kan forstå hva som er forhindret i angrepet, hvilke ressurser som er involvert, og tidslinjen for angrepet. Copilot oppretter automatisk et sammendrag når du navigerer til en hendelsesside.

Skjermbilde av hendelsessammendragskortet i Copilot-ruten, som vist på hendelsessiden for Microsoft Defender.

Utfør tiltak mot hendelser gjennom veiledede svar

Løsing av hendelser krever at analytikere har en forståelse av et angrep for å vite hvilke løsninger som er passende. Copilot anbefaler løsninger gjennom veiledede svar som er spesifikke for hver hendelse.

Skjermbilde som uthever Copilot-ruten med de veiledede svarene på hendelsessiden for Microsoft Defender.

Kjør skriptanalyse på en enkel måte

De fleste angripere er avhengige av sofistikert skadelig programvare når de starter angrep for å unngå gjenkjenning og analyse. Denne skadelige programvaren er vanligvis utydet, og kan være i form av skript eller kommandolinjer i PowerShell. Copilot kan raskt analysere skript, noe som reduserer tiden det tar å undersøke.

Skjermbilde som uthever skriptanalyseknappen i visningen for angrepshistorien på hendelsessiden.

Generer enhetssammendrag

Å undersøke enheter som er involvert i hendelser kan være en omfattende jobb. For raskt å vurdere en enhet kan Copilot oppsummere en enhets informasjon, inkludert enhetens sikkerhetsstilling, eventuell uvanlig atferd, en liste over sårbar programvare og relevant Microsoft Intune-informasjon.

Skjermbilde av sammendragsresultatene for enheten i Copilot i Defender.

Analyser filer raskt

Copilot hjelper sikkerhetsteam med å raskt vurdere og forstå mistenkelige filer med filanalyse. Copilot gir et sammendrag av en fil, inkludert gjenkjenningsinformasjon, relaterte filsertifikater, en liste over API-kall og strenger som finnes i filen.

Skjermbilde av filanalyseresultatene i Copilot i Defender med alternativet Skjul detaljer uthevet.

Skriv hendelsesrapporter effektivt

Sikkerhetsoperasjonsteam skriver vanligvis rapporter for å registrere viktig informasjon, inkludert hvilke responshandlinger som ble utført og de tilsvarende resultatene, gruppemedlemmene som var involvert, og annen informasjon for å hjelpe fremtidige sikkerhetsbeslutninger og læring. Ofte kan det være tidkrevende å dokumentere hendelser. For at hendelsesrapporter skal være effektive, må den inneholde en hendelsesoppsummering sammen med handlingene som ble utført, inkludert hvilke handlinger som ble utført av hvem og når. Copilot genererer en hendelsesrapport ved raskt å konsolidere disse informasjonsdelene.

Skjermbilde av hendelsesrapportkortet på hendelsessiden som viser den øverste halvdelen av kortet.

Jakt som en proff

Copilot i Defender hjelper sikkerhetsteam med proaktiv jakt etter trusler i nettverket ved raskt å bygge passende KQL-spørringer.

Generer KQL-spørringer fra inndata på naturlig språk

Sikkerhetsteam som bruker avansert jakt for proaktivt å jakte på trusler i nettverket, kan nå bruke en spørringsassistent som konverterer ethvert naturlig språkspørsmål i sammenheng med trusseljakt, til en klar til å kjøre KQL-spørring. Spørringsassistenten lagrer sikkerhetsteamenes tid ved å generere en KQL-spørring som deretter kan kjøres automatisk eller justeres ytterligere i henhold til analytikerbehovene. Les mer om spørringsassistenten i Copilot for sikkerhet i avansert jakt.

Skjermbilde av Copilot-ruten i avansert jakt.

Beskytt organisasjonen med relevant trusselinformasjon

Gi sikkerhetsorganisasjonen din muligheten til å ta veloverveide beslutninger med den nyeste trusselinformasjonen. Copilot konsoliderer og oppsummerer trusselintelligens for å hjelpe sikkerhetsteam med å prioritere og reagere effektivt på trusler.

Overvåk trusselinformasjon

Be Copilot om å oppsummere de relevante truslene som påvirker miljøet ditt, prioritere å løse trusler basert på eksponeringsnivåene dine, eller finne trusselaktører som kan være rettet mot bransjen din. Les mer om Copilot for sikkerhet i trusselinformasjon.

Skjermbilde av Copilot-ruten i trusselinformasjon i Defender XDR.

Datasikkerhet og tilbakemelding i Copilot

Copilot utvikler seg kontinuerlig ved hjelp av data som er lagret, behandletog delt avhengig av innstillingene som er definert av systemansvarlig. Microsoft sikrer at dataene dine alltid er beskyttet og sikre når du bruker Copilot. Hvis du vil vite mer om datasikkerhet og personvern i Copilot, kan du se Personvern og datasikkerhet i Copilot.

På grunn av den fortsatte utviklingen kan Copilot gå glipp av noen ting. Gjennomgang og å gi tilbakemelding om resultatene bidrar til å forbedre Copilots fremtidige svar.

Alle Copilot i Defender-funksjoner har et alternativ for å gi tilbakemelding. Hvis du vil gi tilbakemelding, utfører du følgende trinn:

  1. Velg tilbakemeldingsikonet Skjermbilde av tilbakemeldingsikonet for Copilot i Defender-kort plassert nederst på et resultatkort i Copilot-sidepanelet.
  2. Velg Bekreftet, det ser flott ut hvis resultatene er nøyaktige basert på vurderingen. Du kan oppgi mer informasjon i neste dialogboks.
  3. Velg Ikke-målrettet, unøyaktig hvis noen detaljer er feil eller ufullstendige basert på vurderingen. Du kan gi mer informasjon om vurderingen i den neste dialogboksen og sende inn denne vurderingen til Microsoft.
  4. Du kan også rapportere resultatene hvis de inneholder tvilsom eller tvetydig informasjon ved å velge Potensielt skadelig, upassende. Gi mer informasjon om resultatene i den neste dialogboksen, og velg Send.

Programtillegg i Copilot for sikkerhet

Copilot bruker forhåndsinstallerte Microsoft-programtillegg som Microsoft Defender XDR, Defender Threat Intelligence og Naturlig språk til KQL for Microsoft Sentinel og Defender XDR-programtillegg for å generere relevant informasjon, gi mer kontekst til hendelser og generere mer nøyaktige resultater. Sørg for at programtillegg er aktivert i Copilot for å gi tilgang til relevante data og generere forespurt innhold fra andre Microsoft-tjenester i organisasjonen.

Neste trinn

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.