Udostępnij za pośrednictwem


Podsumowywanie zdarzeń usługi Microsoft Sentinel za pomocą rozwiązania Security Copilot

Usługa Microsoft Sentinel stosuje możliwości rozwiązania Security Copilot w Azure Portal w celu tworzenia wzbogaconych podsumowań zdarzeń, zapewniając kompleksowe omówienie zdarzeń zabezpieczeń przez konsolidowanie informacji z wielu alertów. Ta funkcja zwiększa skuteczność reagowania na incydenty, oferując przejrzyste podsumowanie, które pomaga zespołom ds. operacji zabezpieczeń szybko zrozumieć zakres i wpływ incydentu. Zapewnia ustrukturyzowany przegląd, w tym osie czasu, zaangażowane zasoby i wskaźniki naruszeń, a także wzbogacenia, takie jak ryzyko użytkownika, ryzyko związane z urządzeniem i dopasowywanie list obserwowanych. Te podsumowania sugerują ścieżkę badania dla analityków w celu oceny zakresu i wpływu ataku. Aby uzyskać więcej informacji, zobacz Nawigowanie i klasyfikowanie zdarzeń usługi Microsoft Sentinel oraz zarządzanie nimi w Azure Portal.

Jeśli usługa Microsoft Sentinel została dołączona do portalu usługi Defender, możesz przejść bezpośrednio do tego samego zdarzenia w portalu usługi Defender i postępować zgodnie z procedurami badania z przewodnikiem. Aby uzyskać więcej informacji, zobacz Klasyfikacja i badanie zdarzeń za pomocą odpowiedzi z przewodnikiem z rozwiązania Security Copilot w usłudze Microsoft Defender.

W tym przewodniku opisano, czego można oczekiwać i jak uzyskać dostęp do funkcji podsumowania rozwiązania Copilot w usłudze Microsoft Sentinel, w tym informacje na temat przekazywania opinii.

Ważne

Funkcja podsumowania zdarzenia Copilot dla usługi Microsoft Sentinel jest obecnie dostępna w wersji zapoznawczej. Dodatkowe postanowienia dotyczące wersji zapoznawczej platformy Azure obejmują dodatkowe postanowienia prawne dotyczące funkcji platformy Azure, które są dostępne w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Co warto wiedzieć przed rozpoczęciem

Jeśli jesteś nowy w Security Copilot, powinieneś zapoznać się z nim, czytając te artykuły:

Integracja rozwiązania Security Copilot z usługą Microsoft Sentinel

Funkcja podsumowania zdarzeń jest dostępna w usłudze Microsoft Sentinel w Azure Portal dla klientów, którzy aprowizowali dostęp do rozwiązania Security Copilot.

Ta funkcja jest również dostępna w portalu usługi Defender oraz w autonomicznym środowisku rozwiązania Security Copilot za pośrednictwem wtyczek usługi Microsoft Sentinel. Dowiedz się więcej o wstępnie zainstalowanych wtyczkach w Security Copilot.

Kluczowe funkcje

Zdarzenia zawierające do 100 alertów można podsumować w jednym podsumowaniu zdarzenia. Podsumowanie zdarzenia, w zależności od dostępności danych, obejmuje następujące elementy:

  • Godzina i data rozpoczęcia ataku.
  • Jednostka lub zasób, w którym rozpoczął się atak.
  • Podsumowanie osi czasu rozwinięcia ataku.
  • Zasoby biorące udział w ataku.
  • Wskaźniki naruszenia bezpieczeństwa (IOC).
  • Nazwy zaangażowanych podmiotów zajmujących się zagrożeniami.
  • Ryzyko i krytyczność użytkownika.
  • Ryzyko i krytyczność urządzenia.
  • Dopasowania listy obserwowanych.

Copilot automatycznie generuje podsumowanie zdarzenia po otwarciu strony zdarzenia. Podsumowanie zdarzenia jest wyświetlane w górnej części okienka szczegółów strony zdarzenia, przed opisem.

Zrzut ekranu przedstawiający podsumowanie zdarzenia wygenerowane przez copilot w okienku szczegółów na stronie zdarzenia usługi Microsoft Sentinel.

Wybierz pozycję Pokaż więcej , aby rozwinąć podsumowanie i wyświetlić jego pełną zawartość.

Zrzut ekranu przedstawiający rozwinięte podsumowanie zdarzenia.

Wskazówka

Możesz przejść do strony pliku, adresu IP lub adresu URL z okienka wyników usługi Copilot, klikając dowody w wynikach.

Przejrzyj podsumowanie i skorzystaj z informacji, aby kierować badaniem i reagowaniem na zdarzenie.

Zobacz także