Een incident met Microsoft Copilot in Microsoft Defender samenvatten

  • Van toepassing op: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR past de mogelijkheden van Security Copilot toe om incidenten samen te vatten. Incidentsamenvattingen bieden belangrijke informatie en inzichten om onderzoekstaken te vereenvoudigen. Onderzoeken zijn vaak tijdrovend en omvatten talloze stappen.

In deze handleiding wordt beschreven hoe u toegang krijgt tot de samenvattingsfunctie van Copilot in Defender en welke informatie is opgenomen in de samenvatting, inclusief informatie over het geven van feedback.

Vereisten

Als u nog niet bekend bent met Security Copilot, kunt u ermee vertrouwd raken door de volgende artikelen te lezen:

Incident responders hebben toegang tot de juiste context om incidenten te onderzoeken en te herstellen via de correlatiemogelijkheden van Defender XDR en Security Copilot door AI aangedreven gegevensverwerking en contextualisatie. Met een incidentoverzicht krijgen responders snel belangrijke informatie om te helpen bij hun onderzoek.

Security Copilot integratie in Microsoft Defender

De mogelijkheid voor het overzicht van incidenten is beschikbaar in de Microsoft Defender-portal voor klanten met ingerichte toegang tot Security Copilot.

Deze mogelijkheid is ook beschikbaar in de Security Copilot zelfstandige ervaring via de Microsoft Defender XDR-invoegtoepassing. Meer informatie over vooraf geïnstalleerde invoegtoepassingen in Security Copilot.

Inhoud van incidentoverzicht

Incidenten met maximaal 100 waarschuwingen kunnen worden samengevat in één incidentoverzicht. Een incidentoverzicht, afhankelijk van de beschikbaarheid van de gegevens, bevat de volgende informatie:

  • De tijd en datum waarop een aanval is gestart.
  • De entiteit of asset waar de aanval is begonnen.
  • Een samenvatting van tijdlijnen van hoe de aanval zich ontvouwde.
  • De assets die betrokken zijn bij de aanval.
  • Indicatoren van inbreuk (IoC's).
  • Namen van betrokken bedreigingsactoren.
  • Voorgestelde Security Copilot prompts, waarmee u zich kunt concentreren op de meest relevante volgende stappen, diepere inzichten krijgt en onderzoeken vereenvoudigt.

Een incident samenvatten

  1. Open een incidentpagina. Copilot maakt automatisch een overzicht van incidenten in het deelvenster Taken . U kunt het maken van de samenvatting stoppen door Annuleren te selecteren of het maken opnieuw starten door Opnieuw genereren te selecteren.

  2. De kaart met het overzicht van incidenten wordt geladen in het deelvenster Copilot voor beveiliging op de incidentpagina. Bekijk de gegenereerde samenvatting op de kaart. Bekijk de samenvatting en gebruik de informatie om je onderzoek en reactie op het incident te begeleiden.

    Schermopname van de overzichtskaart van het incident in het copilot-deelvenster, zoals te zien is op de pagina Microsoft Defender incident.

    Tip

    Je kunt naar een bestand, IP of URL-pagina navigeren vanuit het Copilot-resultatenvenster door op het bewijs in de resultaten te klikken.

  3. Selecteer Prompts weergeven om voorgestelde prompts weer te geven. Voorgestelde prompts komen relevante vervolgvragen naar boven op basis van de meest cruciale informatie in het betreffende incident.

    Selecteer een voorgestelde prompt om meer inzicht te krijgen in de specifieke assets die betrokken zijn bij het incident, zoals apparaatsamenvattingen, identiteitssamenvattingen en gerelateerde bedreigingsinformatie.

    Schermopname van de door Copilot voorgestelde prompts op de overzichtskaart van het incident.

  4. Selecteer het beletselteken Meer acties (...) bovenaan de overzichtskaart van het incident om de samenvatting te kopiëren of opnieuw te genereren, of bekijk het overzicht in de Security Copilot portal. Als u Openen in Copilot voor beveiliging selecteert, wordt er een nieuw tabblad geopend in de Copilot voor beveiliging zelfstandige portal, waar u prompts kunt invoeren en andere invoegtoepassingen kunt openen.

    Schermopname van de acties die beschikbaar zijn op de overzichtskaart van het incident.

Instellingen voor samenvattingen van Copilot-incidenten beheren (preview)

Standaard genereert Copilot een samenvatting voor elk incident dat de gebruiker opent, maar u kunt deze instelling wijzigen om alleen incidentsamenvattingen weer te geven in specifieke instanties. U kunt ervoor kiezen om samenvattingen te laten genereren:

  • Altijd (voor elk geopend incident)
  • Op basis van het ernstniveau van het incident
  • Alleen op aanvraag

Voer de volgende stappen uit om de instellingen voor Copilot-incidentoverzichten in Microsoft Sentinel te wijzigen:

  1. Ga in het navigatiedeelvenster Microsoft Sentinel naar Copilot>systeeminstellingen>in Defender.

    Schermopname van de copilot-instellingenpagina in Microsoft Sentinel.

  2. Selecteer onder Voorkeurende optie Generatie incidentoverzicht.

  3. Selecteer Automatisch genereren of Genereren op aanvraag, afhankelijk van uw voorkeur.

  4. Als u Automatisch genereren selecteert, kiest u tussen Altijd of Ernst van incidenten. Als u Ernst van incident selecteert, kiest u het minimale ernstniveau waarvoor Copilot automatisch samenvattingen van incidenten moet genereren.

    Schermopname van de pagina copilot-instellingenvoorkeuren in Microsoft Sentinel.

  5. Klik op Opslaan.

  • Wanneer u ernst van incidenten selecteert, wordt een schatting weergegeven van het aantal incidenten van elk ernstniveau dat per dag wordt beoordeeld, samen met het geschatte SCU-verbruik.

    Schermopname van het geschatte aantal incidenten van elk ernstniveau.

  • Copilot slaat gegenereerde incidentoverzichten een week op. Als het incident dat u selecteert al een samenvatting in de cache heeft en het incident niet aanzienlijk is gewijzigd, wordt de samenvatting automatisch gratis opnieuw weergegeven, ongeacht de instelling.

  • Als u een overzicht op aanvraag wilt genereren voor een incident dat niet automatisch wordt gegenereerd, selecteert u de knop Genereren .

    Schermopname van de knop Samenvatting genereren op de incidentpagina.

Voorbeeldprompt voor incidentoverzicht

In de Security Copilot zelfstandige portal kunt u de volgende prompt gebruiken om samenvattingen van incidenten te genereren:

  • Geef een samenvatting op voor Defender-incident {incident-id}.

Tip

Wanneer u een incidentsamenvatting genereert in de Security Copilot portal, neemt u het woord Defender op in uw prompts om ervoor te zorgen dat de functie voor incidentsamenvatting de resultaten levert.

Feedback geven

Microsoft raadt u ten zeerste aan om feedback te geven aan Copilot, omdat dit van cruciaal belang is voor de continue verbetering van de mogelijkheden. Je kunt feedback geven over de samenvatting door het feedbackpictogram te selecteren Schermopname van het feedbackpictogram voor Copilot in Defender-kaarten onder aan het Copilot-deelvenster.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.

  • Last updated on