Udostępnij za pośrednictwem

Klasyfikowanie i rozwiązywanie zdarzeń za pomocą reakcji nadzorowanych od funkcji Microsoft Copilot w usłudze Microsoft Defender

  • Artykuł
  • Dotyczy:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Funkcja Copilot dla rozwiązań zabezpieczających w portalu usługi Microsoft Defender obsługuje zespoły reagowania na zdarzenia w natychmiastowym rozwiązywaniu zdarzeń za pomocą reakcji nadzorowanych. Funkcja Copilot w usłudze Defender używa sztucznej inteligencji i możliwości uczenia maszynowego do kontekstualizacji zdarzenia i uczenia się na podstawie poprzednich badań w celu wygenerowania odpowiednich akcji reagowania.

W tym przewodniku opisano sposób uzyskiwania dostępu do reakcji nadzorowanych, w tym informacje na temat przekazywania opinii na temat odpowiedzi.

Przed rozpoczęciem

Jeśli dopiero zaczynasz korzystać z rozwiązania Copilot for Security, zapoznaj się z nim, czytając następujące artykuły:

Reagowanie na zdarzenia w portalu usługi Microsoft Defender często wymaga znajomości dostępnych akcji portalu w celu zatrzymania ataków. Nowe osoby reagujące na zdarzenia mogą mieć też różne wyobrażenie tego, gdzie i jak zacząć reagować w odpowiedzi na zdarzenia. Funkcja reakcji nadzorowanej funkcji Copilot w usłudze Defender umożliwia zespołom reagowania na zdarzenia na wszystkich poziomach pewne i szybkie stosowanie akcji reagowania w celu łatwego rozwiązywania zdarzeń.

Integracja rozwiązania Copilot for Security w Microsoft Defender

Odpowiedzi z przewodnikiem są dostępne w portalu Microsoft Defender dla klientów, którzy aprowizowali dostęp do rozwiązania Copilot for Security.

Odpowiedzi z przewodnikiem są również dostępne w autonomicznym środowisku Copilot for Security za pośrednictwem wtyczki Microsoft Defender XDR. Dowiedz się więcej o wstępnie zainstalowanych wtyczkach w funkcji Copilot dla rozwiązań zabezpieczających.

Najważniejsze cechy

Reakcje nadzorowane zalecają akcje w następujących kategoriach:

  • Klasyfikacja — zawiera zalecenie dotyczące klasyfikowania zdarzeń jako informacyjnych, prawdziwie dodatnich lub fałszywie dodatnich
  • Powstrzymywanie zagrożeń — zawiera akcje zalecane w celu powstrzymania zdarzenia
  • Badanie — obejmuje zalecane działania do dalszego badania
  • Korygowanie — obejmuje zalecane akcje reagowania, które należy zastosować do określonych jednostek biorących udział w zdarzeniu

Każda karta zawiera informacje o zalecanej akcji, w tym jednostkę, w której należy zastosować akcję, oraz przyczynę zalecenia akcji. Karty podkreślają również, kiedy zalecana akcja została wykonana przez zautomatyzowane badanie, takie jak zakłócenie ataku lub reakcja zautomatyzowanego badania.

Karty reakcji nadzorowanych można sortować na podstawie stanu dostępnego dla każdej karty. Możesz wybrać określony stan podczas wyświetlania reakcji nadzorowanych, klikając pozycję Stan i wybierając odpowiedni stan, który chcesz wyświetlić. Wszystkie karty reakcji nadzorowanych, niezależnie od stanu, są wyświetlane domyślnie.

Zrzut ekranu przedstawiający stan odpowiedzi w okienku Copilot na stronie zdarzenia Microsoft Defender.

Aby użyć reakcji nadzorowanych, wykonaj następujące kroki:

  1. Otwórz stronę zdarzenia. Funkcja Copilot automatycznie generuje reakcje nadzorowane po otwarciu strony zdarzenia. Po prawej stronie strony zdarzenia zostanie wyświetlone okienko Copilot z kartami reakcji nadzorowanej.

    Zrzut ekranu przedstawiający okienko Copilot z odpowiedziami z przewodnikiem na stronie zdarzenia Microsoft Defender.

  2. Przejrzyj każdą kartę przed zastosowaniem zaleceń. Wybierz wielokropek (...) Więcej akcji na karcie odpowiedzi, aby wyświetlić opcje dostępne dla każdej rekomendacji. Oto kilka przykładów.

    Zrzut ekranu przedstawiający opcje dostępne dla użytkowników na karcie odpowiedzi z przewodnikiem w panelu bocznym Copilot.

    Zrzut ekranu przedstawiający opcje dostępne dla użytkowników na karcie odpowiedzi automatyzacji w okienku Copilot w Microsoft Defender XDR.

  3. Aby zastosować akcję, wybierz odpowiednią akcję znajdującą się na każdej karcie. Akcja reakcji nadzorowanej na każdej karcie jest dostosowana do typu zdarzenia i konkretnej jednostki.

    Zrzut ekranu przedstawiający karty odpowiedzi z przewodnikiem w okienku Copilot w Microsoft Defender.

  4. Możesz przekazać opinię do każdej karty odpowiedzi, aby stale ulepszać przyszłe odpowiedzi od firmy Copilot. Aby przekazać opinię, wybierz ikonę opinii Zrzut ekranu przedstawiający ikonę opinii dla rozwiązania Copilot na kartach usługi Defender znajdujących się w prawym dolnym rogu każdej karty.

Uwaga

Wyszarzone przyciski akcji oznaczają, że te akcje są ograniczone przez Twoje uprawnienia. Aby uzyskać więcej informacji, zapoznaj się ujednoliconymi uprawnieniami dostępu opartego na rolach.

Copilot pomaga przyspieszyć zadania dochodzeniowe analityków. Gdy zdarzenie wymaga dalszego zbadania działania użytkownika, copilot sugeruje tekst, którego analitycy mogą używać do komunikowania się z użytkownikiem. Karta odpowiedzi z przewodnikiem zawiera akcję Kontakt z użytkownikiem w aplikacji Teams lub Kopiuj do schowka , która kopiuje sugerowany tekst do schowka. Analitycy mogą następnie wkleić tekst do wiadomości e-mail lub innego narzędzia do komunikacji. Analityk może również uzyskać więcej kontekstu dotyczącego użytkownika za pomocą akcji Wyświetl użytkownika .

Zrzut ekranu przedstawiający sugerowany tekst do komunikacji na karcie odpowiedzi z przewodnikiem.

Rozwiązanie Copilot obsługuje również zespoły reagowania na zdarzenia, umożliwiając analitykom uzyskanie większego kontekstu dotyczącego akcji reagowania przy użyciu dodatkowych szczegółowych informacji. Aby uzyskać reakcje korygujące, zespoły reagowania na zdarzenia mogą wyświetlać dodatkowe informacje z opcjami takimi jak Wyświetl podobne zdarzenia lub Wyświetl podobne wiadomości e-mail.

Akcja Wyświetl podobne zdarzenia jest dostępna, gdy w organizacji występują inne zdarzenia podobne do bieżącego zdarzenia. Karta „Podobne zdarzenia” zawiera listę podobnych zdarzeń, które można przejrzeć. Usługa Microsoft Defender automatycznie identyfikuje podobne zdarzenia w organizacji za pośrednictwem uczenia maszynowego. Zespoły reagowania na zdarzenia mogą używać informacji z tych podobnych zdarzeń do klasyfikowania zdarzeń i dalszego przeglądania wykonanych w ich przypadku akcji.

Akcja Wyświetl podobne wiadomości e-mail, właściwa dla zdarzeń dotyczących wyłudzania informacji, prowadzi do strony zaawansowanego wyszukiwania zagrożeń, na której jest automatycznie generowane zapytanie KQL do wyświetlania podobnych wiadomości e-mail w organizacji. To automatyczne generowanie zapytań związane ze zdarzeniem ułatwia zespołom reagowania na zdarzenia dalsze badanie innych wiadomości e-mail, które mogą być związane ze zdarzeniem. Możesz przeglądać zapytania i modyfikować je w razie potrzeby.

Przykładowy monit odpowiedzi z przewodnikiem

W autonomicznym portalu Copilot for Security możesz użyć następującego monitu, aby wygenerować odpowiedzi z przewodnikiem:

  • Generowanie odpowiedzi z przewodnikiem i zaleceń dotyczących zdarzenia usługi Defender {identyfikator zdarzenia}.

Porada

Podczas generowania odpowiedzi z przewodnikiem w portalu Copilot for Security firma Microsoft zaleca dołączenie słowa Defender w monitach, aby upewnić się, że funkcja odpowiedzi z przewodnikiem zapewnia wyniki.

Przekazywanie opinii

Firma Microsoft zdecydowanie zachęca do przekazywania opinii do rozwiązania Copilot, ponieważ jest to kluczowe dla ciągłego ulepszania możliwości. Aby przekazać opinię, przejdź do dołu panelu bocznego Copilot i wybierz ikonę opinii Zrzut ekranu przedstawiający ikonę opinii dla rozwiązania Copilot na kartach usługi Defender.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.