Sortere og undersøke hendelser med veiledede svar fra Microsoft Copilot i Microsoft Defender
Microsoft Copilot for sikkerhet i Microsoft Defender-portalen støtter hendelsesresponsteam i umiddelbart å løse hendelser med veiledede svar. Copilot i Defender bruker kunstig intelligens og maskinlæringsfunksjoner til å kontekstualisere en hendelse og lære fra tidligere undersøkelser for å generere passende responshandlinger.
Å svare på hendelser i Microsoft Defender-portalen krever ofte kjennskap til portalens tilgjengelige handlinger for å stoppe angrep. I tillegg kan nye hendelsesrespondere ha ulike ideer om hvor og hvordan de skal begynne å svare på hendelser. Den veiledede responsevnen til Copilot i Defender gjør det mulig for hendelsesresponsteam på alle nivåer å bruke responshandlinger trygt og raskt for å løse hendelser på en enkel måte.
Veiledede svar er tilgjengelig i Microsoft Defender-portalen gjennom Copilot for sikkerhet-lisensen. Veiledede svar er også tilgjengelig i den frittstående Copilot for sikkerhet-opplevelsen gjennom plugin-modulen Defender XDR.
Denne veiledningen beskriver hvordan du får tilgang til den veiledede responsfunksjonen, inkludert informasjon om hvordan du gir tilbakemelding om svarene.
Bruk veiledede svar for å løse hendelser
Veiledede svar anbefaler handlinger i følgende kategorier:
- Sortering – inkluderer en anbefaling om å klassifisere hendelser som informativ, sann positiv eller falsk positiv
- Containment – omfatter anbefalte tiltak for å inneholde en hendelse
- Undersøkelse – inkluderer anbefalte handlinger for videre undersøkelser
- Utbedring – inkluderer anbefalte svarhandlinger som skal brukes på bestemte enheter som er involvert i en hendelse
Hvert kort inneholder informasjon om den anbefalte handlingen, inkludert enheten der handlingen må brukes, og hvorfor handlingen anbefales. Kortene understreker også når en anbefalt handling ble gjort av automatisert undersøkelse som angrepsavbrudd eller automatisert undersøkelsesrespons.
De veiledede svarkortene kan sorteres basert på den tilgjengelige statusen for hvert kort. Du kan velge en bestemt status når du viser de veiledede svarene ved å klikke på Status og velge den riktige statusen du vil vise. Alle veiledede svarkort uavhengig av status vises som standard.
Hvis du vil bruke veiledede svar, utfører du følgende trinn:
Åpne en hendelsesside. Copilot genererer automatisk veiledede svar ved åpning av en hendelsesside. Copilot-ruten vises på høyre side av hendelsessiden, og viser de veiledede svarkortene.
Se gjennom hvert kort før du bruker anbefalingene. Velg Flere handlinger-ellipsen (...) oppå et svarkort for å vise alternativene som er tilgjengelige for hver anbefaling. Her er noen eksempler.
Hvis du vil bruke en handling, velger du ønsket handling på hvert kort. Den veiledede responshandlingen på hvert kort er skreddersydd for hendelsestypen og den bestemte enheten som er involvert.
Du kan gi tilbakemelding til hvert svarkort for å kontinuerlig forbedre fremtidige svar fra Copilot. Hvis du vil gi tilbakemelding, velger du tilbakemeldingsikonet som finnes nederst til høyre på hvert kort.
Obs!
Nedtonede handlingsknapper betyr at disse handlingene er begrenset av din tillatelse. Se tillatelsessiden for enhetlig rollebasert tilgang (RBAC) for mer informasjon.
Copilot bidrar til å fremskynde analytikernes undersøkelsesoppgaver. Når en hendelse krever videre undersøkelse av en brukeraktivitet, foreslår Copilot tekst som analytikere kan bruke til å kommunisere med en bruker. Det veiledede svarkortet inkluderer en kontaktbruker i Teams eller Kopier til utklippstavlen som kopierer den foreslåtte teksten til utklippstavlen. Analytikere kan deretter lime inn teksten i en e-postmelding eller et annet kommunikasjonsverktøy. Analytikeren kan også få mer kontekst om brukeren gjennom vis brukerhandlingen .
Copilot støtter også hendelsesresponsteam ved å gjøre det mulig for analytikere å få mer kontekst om responshandlinger med ytterligere innsikt. For utbedringssvar kan hendelsesresponsteam vise tilleggsinformasjon med alternativer som Vis lignende hendelser eller Vis lignende e-postmeldinger.
Handlingen Vis lignende hendelser blir tilgjengelig når det er andre hendelser i organisasjonen som ligner på den aktuelle hendelsen. Fanen Lignende hendelser viser lignende hendelser som du kan se gjennom. Microsoft Defender identifiserer automatisk lignende hendelser i organisasjonen gjennom maskinlæring. Hendelsesresponsteam kan bruke informasjonen fra disse lignende hendelsene til å klassifisere hendelser og ytterligere gjennomgå handlingene som er gjort i lignende hendelser.
Handlingen Vis lignende e-postmeldinger, som er spesifikk for phishing-hendelser, tar deg til den avanserte jaktsiden, der en KQL-spørring for å vise lignende e-postmeldinger i organisasjonen genereres automatisk. Denne automatiske spørringsgenereringen relatert til en hendelse hjelper hendelsesresponsteam med å undersøke andre e-postmeldinger som kan være relatert til hendelsen. Du kan se gjennom spørringen og endre den etter behov.
Se også
- Oppsummere en hendelse
- Analyser filer
- Kjør skriptanalyse
- Opprette en hendelsesrapport
- Generer KQL-spørringer
- Kom i gang med Microsoft Copilot for sikkerhet
- Finn ut mer om andre innebygde Copilot for sikkerhet-opplevelser
- Finn ut mer om forhåndsinstallerte programtillegg i Copilot for sikkerhet
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.