Share via

Incidenten sorteren en onderzoeken met begeleide antwoorden van Microsoft Copilot in Microsoft Defender

  • Artikel

Van toepassing op:

  • Microsoft Defender XDR
  • Microsoft Defender SoC-platform (Unified Security Operations Center)

Microsoft Copilot voor Beveiliging in de Microsoft Defender-portal ondersteunt teams voor incidentrespons bij het onmiddellijk oplossen van incidenten met begeleide antwoorden. Copilot in Defender AI- en machine learning-mogelijkheden gebruiken om een incident te contextualiseren en te leren van eerdere onderzoeken om de juiste antwoordacties te genereren.

Het reageren op incidenten in de Microsoft Defender-portal vereist vaak kennis van de beschikbare acties van de portal om aanvallen te stoppen. Daarnaast kunnen nieuwe incident-responders verschillende ideeën hebben over waar en hoe ze op incidenten kunnen reageren. Met de begeleide responsmogelijkheid van Copilot in Defender kunnen teams voor incidentrespons op alle niveaus met vertrouwen en snel antwoordacties toepassen om incidenten eenvoudig op te lossen.

Begeleide antwoorden zijn beschikbaar in de Microsoft Defender-portal via de Copilot for Security-licentie. Begeleide antwoorden zijn ook beschikbaar in de zelfstandige ervaring van Copilot voor Beveiliging via de Defender XDR-invoegtoepassing.

In deze handleiding wordt beschreven hoe je toegang krijgt tot de mogelijkheid voor begeleide antwoorden, inclusief informatie over het geven van feedback over de antwoorden.

Begeleide respons gebruiken om incidenten op te lossen

Begeleide antwoorden bevelen acties aan in de volgende categorieën:

  • Triage: bevat een aanbeveling om incidenten te classificeren als informatief, waar-positief of fout-positief
  • Insluiting: heeft aanbevolen acties om een incident te bevatten
  • Onderzoek: bevat aanbevolen acties voor verder onderzoek
  • Herstel: bevat aanbevolen responsacties die van toepassing zijn op specifieke entiteiten die betrokken zijn bij een incident

Elke kaart bevat informatie over de aanbevolen actie, inclusief de entiteit waar de actie wordt toegepast en waarom de actie wordt aanbevolen. De kaarten benadrukken ook wanneer een aanbevolen actie is uitgevoerd door geautomatiseerd onderzoek, zoals aanvalsonderbreking of geautomatiseerde reactie op onderzoek.

De begeleide antwoordkaarten kunnen worden gesorteerd op basis van de beschikbare status voor elke kaart. Je kunt een specifieke status selecteren wanneer je de begeleide antwoorden bekijkt door op Status te klikken en de juiste status te selecteren die u wilt weergeven. Alle begeleide antwoordkaarten, ongeacht de status, worden standaard weergegeven.

Schermopname van de status van antwoorden in het copilot-deelvenster op de pagina Microsoft Defender-incidenten.

Voer de volgende stappen uit om begeleide respons te gebruiken:

  1. Open een incidentpagina. Copilot genereert automatisch begeleide antwoorden bij het openen van een incidentpagina. Het Copilot-deelvenster wordt weergegeven aan de rechterkant van de incidentpagina, met de begeleide antwoordkaarten.

    Schermopname van het copilot-deelvenster met de begeleide antwoorden op de pagina Microsoft Defender-incidenten.

  2. Controleer elke kaart voordat je de aanbevelingen toepast. Selecteer het beletselteken Meer acties (...) boven op een antwoordkaart om de beschikbare opties voor elke aanbeveling weer te geven. Dit zijn enkele voorbeelden.

    Schermopname van de opties die beschikbaar zijn voor gebruikers in een begeleide antwoordkaart in het copilot-zijpaneel.

    Schermopname van de opties die beschikbaar zijn voor gebruikers in een automation-antwoordkaart in het deelvenster Copilot in Microsoft Defender XDR.

  3. Als je een actie wilt toepassen, selecteer je de gewenste actie op elke kaart. De begeleide reactieactie op elke kaart is afgestemd op het type incident en de specifieke betrokken entiteit.

    Schermopname van de begeleide antwoordkaarten in het deelvenster Copilot in Microsoft Defender.

  4. Je kunt feedback geven op elke antwoordkaart om toekomstige reacties van Copilot continu te verbeteren. Als u feedback wilt geven, selecteert u het feedbackpictogram Schermopname van het feedbackpictogram voor Copilot in Defender-kaarten rechtsonder op elke kaart.

Opmerking

Grijs weergegeven actieknoppen betekenen dat deze acties worden beperkt door je machtiging. Raadpleeg de pagina RBAC-machtigingen (Unified Role-Based Access) voor meer informatie.

Copilot helpt de onderzoekstaken van analisten te versnellen. Wanneer een incident verder onderzoek naar een gebruikersactiviteit vereist, stelt Copilot tekst voor die analisten kunnen gebruiken om met een gebruiker te communiceren. De begeleide antwoordkaart bevat de actie Contact opnemen met de gebruiker in Teams of Kopiëren naar klembord waarmee de voorgestelde tekst naar het klembord wordt gekopieerd. Analisten kunnen de tekst vervolgens in een e-mail of een ander communicatieprogramma plakken. De analist kan ook meer context krijgen over de gebruiker via de actie Gebruiker weergeven .

Schermopname van de voorgestelde tekst voor communicatie in een begeleide antwoordkaart.

Copilot ondersteunt ook incidentresponsteams door analisten in staat te stellen meer context te krijgen over reactieacties met aanvullende inzichten. Voor herstelreacties kunnen incidentreactieteams aanvullende informatie bekijken met opties zoals Vergelijkbare incidenten weergeven of Vergelijkbare e-mailberichten weergeven.

De actie Vergelijkbare incidenten weergeven wordt beschikbaar wanneer er andere incidenten binnen de organisatie zijn die vergelijkbaar zijn met het huidige incident. Op het tabblad Vergelijkbare incidenten staan vergelijkbare incidenten die u kunt bekijken. Microsoft Defender identificeert automatisch vergelijkbare incidenten binnen de organisatie via machine learning. Incidentreactieteams kunnen de informatie van deze vergelijkbare incidenten gebruiken om incidenten te classificeren en de acties die in die vergelijkbare incidenten worden uitgevoerd verder te bekijken.

Met de actie Vergelijkbare e-mailberichten weergeven, die specifiek is voor phishing-incidenten, gaat u naar de geavanceerde opsporingspagina waar automatisch een KQL-query wordt gegenereerd om vergelijkbare e-mailberichten binnen de organisatie weer te geven. Deze automatische querygeneratie met betrekking tot een incident helpt incidentreactieteams om andere e-mailberichten te onderzoeken die mogelijk gerelateerd zijn aan het incident. U kunt de query controleren en zo nodig wijzigen.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.