Udostępnij za pośrednictwem

Podsumuj zdarzenie za pomocą funkcji Microsoft Copilot w usłudze Microsoft Defender

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR
  • Microsoft Defender ujednoliconej platformy centrum operacji zabezpieczeń (SOC)

Usługa Microsoft Defender XDR stosuje możliwości funkcji Copilot dla rozwiązań zabezpieczających do podsumowania zdarzeń, dostarczając istotne i szczegółowe informacje, które upraszczają zadania badania. Badanie ataków jest kluczowym krokiem dla zespołów reagowania na zdarzenia, aby skutecznie chronić organizację przed dalszymi szkodami spowodowanymi cyberzagrożeniami. Badania często mogą być czasochłonne, ponieważ obejmuje wiele kroków. Zespoły reagowania na zdarzenia muszą zrozumieć, w jaki sposób doszło do ataku: posortować liczne alerty, zidentyfikować zaangażowane zasoby i jednostki oraz ocenić zakres i wpływ ataku.

Osoby reagujące na incydenty mogą łatwo uzyskać odpowiedni kontekst do badania i korygowania zdarzeń dzięki możliwościom korelacji usługi Defender XDR oraz przetwarzaniu i kontekstualizacji danych obsługiwanych przez sztuczną inteligencję funkcji Copilot dla rozwiązań zabezpieczających. Dzięki podsumowaniu zdarzenia ratownicy mogą szybko uzyskać ważne informacje, które pomogą im w badaniu.

Możliwość podsumowania zdarzeń jest dostępna w portalu usługi Microsoft Defender za pośrednictwem licencji Copilot dla rozwiązań zabezpieczających. Ta funkcja jest również dostępna w autonomicznym środowisku Copilot dla rozwiązań zabezpieczających za pośrednictwem wtyczki usługi Microsoft Defender XDR.

W tym przewodniku opisano, czego można oczekiwać i jak uzyskać dostęp do funkcji podsumowania funkcji Copilot w usłudze Defender, w tym informacje na temat przekazywania opinii.

Podsumuj zdarzenie

Zdarzenia zawierające do 100 alertów można podsumować w jednym podsumowaniu zdarzenia. Podsumowanie zdarzenia, w zależności od dostępności danych, obejmuje następujące elementy:

  • Godzina i data rozpoczęcia ataku.
  • Jednostka lub zasób, w którym rozpoczął się atak.
  • Podsumowanie osi czasu rozwinięcia ataku.
  • Zasoby biorące udział w ataku.
  • Wskaźniki naruszenia bezpieczeństwa (IOC).
  • Nazwy zaangażowanych podmiotów zajmujących się zagrożeniami.

Aby podsumować zdarzenie, wykonaj następujące kroki:

  1. Otwórz stronę zdarzenia. Funkcja Copilot automatycznie tworzy podsumowanie zdarzenia po otwarciu strony. Możesz zatrzymać tworzenie podsumowania, wybierając opcję Anuluj lub wznowić tworzenie, wybierając opcję Wygeneruj ponownie.

  2. Karta podsumowania zdarzenia jest ładowana w okienku funkcji Copilot. Przejrzyj wygenerowane podsumowanie na karcie.

    Zrzut ekranu przedstawiający kartę podsumowania zdarzenia w okienku Copilot, jak pokazano na stronie zdarzenia usługi Microsoft Defender.

    Porada

    Możesz przejść do strony pliku, adresu IP lub adresu URL z okienka wyników usługi Copilot, klikając dowody w wynikach.

  3. Wybierz wielokropek (...) Więcej akcji w górnej części karty podsumowania zdarzenia, aby skopiować lub ponownie wygenerować podsumowanie, lub wyświetl podsumowanie w portalu Copilot dla rozwiązań zabezpieczających. Wybranie opcji Otwórz w programie Copilot dla rozwiązań zabezpieczających powoduje otwarcie nowej karty autonomicznego portalu Copilot dla rozwiązań zabezpieczających, w której można wprowadzać monity i uzyskiwać dostęp do innych wtyczek.

    Zrzut ekranu przedstawiający akcje dostępne na karcie podsumowania zdarzenia.

  4. Przejrzyj podsumowanie i skorzystaj z informacji, aby kierować badaniem i reagowaniem na zdarzenie. Możesz przekazać opinię na temat podsumowania, wybierając ikonę opinii Wycinek ekranu przedstawiający ikonę opinii dla funkcji Copilot na kartach usługi Defender znajdujących się w dolnej części okienka Copilot.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.