Delen via

Een incident met Microsoft Copilot in Microsoft Defender samenvatten

  • Artikel
  • Van toepassing op:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR past de mogelijkheden van Copilot voor Beveiliging toe om incidenten samen te vatten en impactvolle informatie en inzichten te leveren om onderzoekstaken te vereenvoudigen. Aanvalsonderzoek is een cruciale stap voor incidentresponsteams om een organisatie met succes te verdedigen tegen verdere schade door een cyberdreiging. Onderzoeken kunnen vaak tijdrovend zijn omdat het om talloze stappen gaat. Incidentresponsteams moeten begrijpen hoe de aanval is gebeurd: verschillende waarschuwingen sorteren, identificeren welke assets en entiteiten betrokken zijn en het bereik en de impact van een aanval beoordelen.

In deze handleiding wordt beschreven wat je kunt verwachten en hoe je toegang krijgt tot de samenvattingsmogelijkheden van Copilot in Defender, inclusief informatie over het geven van feedback.

Weet voordat u begint

Als u niet bekend bent met Copilot for Security, moet u ermee vertrouwd raken door de volgende artikelen te lezen:

Incident-responders kunnen eenvoudig de juiste context krijgen om incidenten te onderzoeken en op te lossen via de correlatiemogelijkheden van Defender XDR en AI aangestuurde gegevensverwerking en contextualisatie van Copilot voor Beveiliging. Met een incidentoverzicht kan bij het reageren op incidenten snel belangrijke informatie worden verkregen om te helpen bij het onderzoek.

Copilot voor beveiligingsintegratie in Microsoft Defender

De mogelijkheid voor het overzicht van incidenten is beschikbaar in de Microsoft Defender portal voor klanten die toegang hebben ingericht tot Copilot for Security.

Deze mogelijkheid is ook beschikbaar in de zelfstandige Copilot for Security-ervaring via de Microsoft Defender XDR-invoegtoepassing. Meer informatie over vooraf geïnstalleerde invoegtoepassingen in Copilot voor Beveiliging.

Belangrijkste functies

Incidenten met maximaal 100 waarschuwingen kunnen worden samengevat in één incidentoverzicht. Een incidentoverzicht, afhankelijk van de beschikbaarheid van de gegevens, bevat het volgende:

  • De tijd en datum waarop een aanval is gestart.
  • De entiteit of asset waar de aanval is begonnen.
  • Een samenvatting van tijdlijnen van hoe de aanval zich ontvouwde.
  • De assets die betrokken zijn bij de aanval.
  • Indicatoren van inbreuk (IoC's).
  • Namen van betrokken bedreigingsactoren.

Voer de volgende stappen uit om een incident samen te vatten:

  1. Open een incidentpagina. Copilot maakt automatisch een overzicht van incidenten bij het openen van de pagina. U kunt het maken van de samenvatting stoppen door Annuleren te selecteren of het maken opnieuw starten door Opnieuw genereren te selecteren.

  2. De kaart met het overzicht van incidenten wordt geladen in het deelvenster Copilot voor beveiliging op de incidentpagina. Bekijk de gegenereerde samenvatting op de kaart.

    Schermopname van de overzichtskaart van het incident in het copilot-deelvenster, zoals te zien is op de pagina Microsoft Defender incident.

    Tip

    Je kunt naar een bestand, IP of URL-pagina navigeren vanuit het Copilot-resultatenvenster door op het bewijs in de resultaten te klikken.

  3. Selecteer de Meer acties beletselteken (...) boven aan de overzichtskaart voor incidenten om de samenvatting te kopiëren of opnieuw te genereren, of bekijk de samenvatting in de Copilot voor Beveiliging-portal. Als u Openen in Copilot voor Beveiliging selecteert, wordt een nieuw tabblad geopend in de zelfstandige Copilot voor Beveiliging-portal, waar je prompts kunt invoeren en andere invoegtoepassingen kunt openen.

    Schermopname van de acties die beschikbaar zijn op de overzichtskaart van het incident.

  4. Bekijk de samenvatting en gebruik de informatie om je onderzoek en reactie op het incident te begeleiden.

Voorbeeldprompt voor incidentoverzicht

In de zelfstandige portal van Copilot for Security kunt u de volgende prompt gebruiken om samenvattingen van incidenten te genereren:

  • Geef een samenvatting op voor Defender-incident {incident-id}.

Tip

Wanneer u een incidentoverzicht genereert in de Copilot for Security-portal, raadt Microsoft aan het woord Defender op te slaan in uw prompts om ervoor te zorgen dat de functie voor het overzicht van incidenten de resultaten oplevert.

Feedback geven

Microsoft raadt u ten zeerste aan om feedback te geven aan Copilot, omdat dit van cruciaal belang is voor de continue verbetering van de mogelijkheden. Je kunt feedback geven over de samenvatting door het feedbackpictogram te selecteren Schermopname van het feedbackpictogram voor Copilot in Defender-kaarten onder aan het Copilot-deelvenster.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.