Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Microsoft Sentinel stosuje możliwości rozwiązania Security Copilot w Azure Portal w celu tworzenia wzbogaconych podsumowań zdarzeń, zapewniając kompleksowe omówienie zdarzeń zabezpieczeń przez konsolidowanie informacji z wielu alertów. Ta funkcja zwiększa skuteczność reagowania na incydenty, oferując przejrzyste podsumowanie, które pomaga zespołom ds. operacji zabezpieczeń szybko zrozumieć zakres i wpływ incydentu. Zapewnia ustrukturyzowany przegląd, w tym osie czasu, zaangażowane zasoby i wskaźniki naruszeń, a także wzbogacenia, takie jak ryzyko użytkownika, ryzyko związane z urządzeniem i dopasowywanie list obserwowanych. Te podsumowania sugerują ścieżkę badania dla analityków w celu oceny zakresu i wpływu ataku. Aby uzyskać więcej informacji, zobacz Nawigowanie i klasyfikowanie zdarzeń usługi Microsoft Sentinel oraz zarządzanie nimi w Azure Portal.
Jeśli usługa Microsoft Sentinel została dołączona do portalu usługi Defender, możesz przejść bezpośrednio do tego samego zdarzenia w portalu usługi Defender i postępować zgodnie z procedurami badania z przewodnikiem. Aby uzyskać więcej informacji, zobacz Klasyfikacja i badanie zdarzeń za pomocą odpowiedzi z przewodnikiem z rozwiązania Security Copilot w usłudze Microsoft Defender.
W tym przewodniku opisano, czego można oczekiwać i jak uzyskać dostęp do funkcji podsumowania rozwiązania Copilot w usłudze Microsoft Sentinel, w tym informacje na temat przekazywania opinii.
Ważne
Funkcja podsumowania zdarzenia Copilot dla usługi Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.
Co warto wiedzieć przed rozpoczęciem
Jeśli jesteś nowy w Security Copilot, powinieneś zapoznać się z nim, czytając te artykuły:
- Co to jest Microsoft Security Copilot?
- Doświadczenia z Microsoft Security Copilot
- Rozpocznij pracę z Microsoft Security Copilot
- Omówienie uwierzytelniania w rozwiązaniu Microsoft Security Copilot
- Inicjowanie w programie Microsoft Security Copilot
Integracja rozwiązania Security Copilot z usługą Microsoft Sentinel
Funkcja podsumowania zdarzeń jest dostępna w usłudze Microsoft Sentinel w Azure Portal dla klientów, którzy aprowizowali dostęp do rozwiązania Security Copilot.
Ta funkcja jest również dostępna w portalu usługi Defender oraz w autonomicznym środowisku rozwiązania Security Copilot za pośrednictwem wtyczek usługi Microsoft Sentinel. Dowiedz się więcej o wstępnie zainstalowanych wtyczkach w Security Copilot.
Kluczowe funkcje
Zdarzenia zawierające do 100 alertów można podsumować w jednym podsumowaniu zdarzenia. Podsumowanie zdarzenia, w zależności od dostępności danych, obejmuje następujące elementy:
- Godzina i data rozpoczęcia ataku.
- Jednostka lub zasób, w którym rozpoczął się atak.
- Podsumowanie osi czasu rozwinięcia ataku.
- Zasoby biorące udział w ataku.
- Wskaźniki naruszenia bezpieczeństwa (IOC).
- Nazwy zaangażowanych podmiotów zajmujących się zagrożeniami.
- Ryzyko i krytyczność użytkownika.
- Ryzyko i krytyczność urządzenia.
- Dopasowania listy obserwowanych.
Copilot automatycznie generuje podsumowanie zdarzenia po otwarciu strony zdarzenia. Podsumowanie zdarzenia jest wyświetlane w górnej części okienka szczegółów strony zdarzenia, przed opisem.
Wybierz pozycję Pokaż więcej , aby rozwinąć podsumowanie i wyświetlić jego pełną zawartość.
Wskazówka
Możesz przejść do strony pliku, adresu IP lub adresu URL z okienka wyników usługi Copilot, klikając dowody w wynikach.
Przejrzyj podsumowanie i skorzystaj z informacji, aby kierować badaniem i reagowaniem na zdarzenie.