Oppsummer en hendelse med Microsoft Copilot i Microsoft Defender

Gjelder for:

• Microsoft Defender XDR
• Microsoft Defender-plattformen for enhetlig sikkerhetsoperasjonssenter (SOC)

Microsoft Defender XDR bruker funksjonene til Copilot for sikkerhet til å oppsummere hendelser og levere virkningsfull informasjon og innsikt for å forenkle undersøkelsesoppgaver. Angrepsetterforskning er et avgjørende skritt for hendelsesresponsteam for å kunne forsvare en organisasjon mot ytterligere skade fra en cybertrussel. Undersøkelser kan ofte være tidkrevende siden det omfatter en rekke trinn. Hendelsesresponsteam må forstå hvordan angrepet skjedde: sorter gjennom en rekke varsler, identifiser hvilke ressurser og enheter som er involvert, og vurder omfanget og virkningen av et angrep.

Personer som skal reagere på hendelser, kan enkelt få riktig kontekst for å undersøke og utbedre hendelser gjennom Defender XDRs korrelasjonsfunksjoner og databehandling og kontekstualisering drevet av kunstig intelligens for Copilot for sikkerhet. Med et hendelsessammendrag kan respondenter raskt få viktig informasjon for å hjelpe til i etterforskningen.

Funksjonen for hendelsessammendrag er tilgjengelig i Microsoft Defender-portalen gjennom Copilot for sikkerhet-lisensen. Denne funksjonen er også tilgjengelig i den frittstående Copilot for sikkerhet-opplevelsen gjennom plugin-modulen Microsoft Defender XDR.

Denne veiledningen beskriver hva du kan forvente og hvordan du får tilgang til oppsummeringsfunksjonen til Copilot i Defender, inkludert informasjon om hvordan du gir tilbakemelding.

Oppsummere en hendelse

Hendelser som inneholder opptil 100 varsler kan oppsummeres i ett hendelsessammendrag. Et hendelsessammendrag, avhengig av dataenes tilgjengelighet, omfatter følgende:

• Tidspunktet og datoen et angrep startet.
• Enheten eller aktivumet der angrepet startet.
• Et sammendrag av tidslinjer for hvordan angrepet utfoldet seg.
• Eiendelene som var involvert i angrepet.
• Indikatorer for kompromiss (IoC-er).
• Navn på trusselaktører som er involvert.

Hvis du vil oppsummere en hendelse, utfører du følgende trinn:

1. Åpne en hendelsesside. Copilot oppretter automatisk et hendelsessammendrag når du åpner siden. Du kan stoppe opprettingen av sammendraget ved å velge Avbryt eller start oppretting på nytt ved å velge Generer på nytt.

2. Kortet for hendelsessammendrag lastes inn i Copilot-ruten. Se gjennom det genererte sammendraget på kortet.

   Tips

   Du kan navigere til en fil-, IP- eller nettadresseside fra Copilot-resultatruten ved å klikke på bevisene i resultatene.

3. Velg Flere handlinger-ellipsen (...) over sammendragskortet for hendelsen for å kopiere eller generere sammendraget på nytt, eller vis sammendraget i Copilot for sikkerhet-portalen. Hvis du velger Åpne i Copilot for sikkerhet, åpnes en ny fane i den frittstående Copilot for Sikkerhet-portalen, der du kan angi ledetekster og få tilgang til andre programtillegg.

4. Se gjennom sammendraget, og bruk informasjonen til å veilede etterforskningen og responsen på hendelsen. Du kan gi tilbakemelding på sammendraget ved å velge tilbakemeldingsikonet nederst i Copilot-ruten.

Se også

• Kjør skriptanalyse
• Analyser filer
• Generer enhetssammendrag
• Bruk veiledede responser når du svarer på trusler
• Generer KQL-spørringer
• Opprett hendelsesrapporter
• Kom i gang med Microsoft Copilot for sikkerhet
• Finn ut mer om andre innebygde Copilot for sikkerhet-opplevelser
• Finn ut mer om forhåndsinstallerte programtillegg i Copilot for sikkerhet
• Undersøk hendelser i Microsoft Defender XDR

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.