Klasyfikowanie i rozwiązywanie zdarzeń za pomocą reakcji nadzorowanych od funkcji Microsoft Copilot w usłudze Microsoft Defender
Funkcja Copilot dla rozwiązań zabezpieczających w portalu usługi Microsoft Defender obsługuje zespoły reagowania na zdarzenia w natychmiastowym rozwiązywaniu zdarzeń za pomocą reakcji nadzorowanych. Funkcja Copilot w usłudze Defender używa sztucznej inteligencji i możliwości uczenia maszynowego do kontekstualizacji zdarzenia i uczenia się na podstawie poprzednich badań w celu wygenerowania odpowiednich akcji reagowania.
Reagowanie na zdarzenia w portalu usługi Microsoft Defender często wymaga znajomości dostępnych akcji portalu w celu zatrzymania ataków. Nowe osoby reagujące na zdarzenia mogą mieć też różne wyobrażenie tego, gdzie i jak zacząć reagować w odpowiedzi na zdarzenia. Funkcja reakcji nadzorowanej funkcji Copilot w usłudze Defender umożliwia zespołom reagowania na zdarzenia na wszystkich poziomach pewne i szybkie stosowanie akcji reagowania w celu łatwego rozwiązywania zdarzeń.
Reakcje nadzorowane są dostępne w portalu usługi Microsoft Defender za pośrednictwem licencji Copilot dla rozwiązań zabezpieczających. Reakcje nadzorowane są również dostępne w środowisku autonomicznym funkcji Copilot dla rozwiązań zabezpieczających za pośrednictwem wtyczki Defender XDR.
W tym przewodniku opisano sposób uzyskiwania dostępu do reakcji nadzorowanych, w tym informacje na temat przekazywania opinii na temat odpowiedzi.
Stosowanie reakcji nadzorowanych w celu rozwiązania zdarzeń
Reakcje nadzorowane zalecają akcje w następujących kategoriach:
- Klasyfikacja — zawiera zalecenie dotyczące klasyfikowania zdarzeń jako informacyjnych, prawdziwie dodatnich lub fałszywie dodatnich
- Powstrzymywanie zagrożeń — zawiera akcje zalecane w celu powstrzymania zdarzenia
- Badanie — obejmuje zalecane działania do dalszego badania
- Korygowanie — obejmuje zalecane akcje reagowania, które należy zastosować do określonych jednostek biorących udział w zdarzeniu
Każda karta zawiera informacje o zalecanej akcji, w tym jednostkę, w której należy zastosować akcję, oraz przyczynę zalecenia akcji. Karty podkreślają również, kiedy zalecana akcja została wykonana przez zautomatyzowane badanie, takie jak zakłócenie ataku lub reakcja zautomatyzowanego badania.
Karty reakcji nadzorowanych można sortować na podstawie stanu dostępnego dla każdej karty. Możesz wybrać określony stan podczas wyświetlania reakcji nadzorowanych, klikając pozycję Stan i wybierając odpowiedni stan, który chcesz wyświetlić. Wszystkie karty reakcji nadzorowanych, niezależnie od stanu, są wyświetlane domyślnie.
Aby użyć reakcji nadzorowanych, wykonaj następujące kroki:
Otwórz stronę zdarzenia. Funkcja Copilot automatycznie generuje reakcje nadzorowane po otwarciu strony zdarzenia. Po prawej stronie strony zdarzenia zostanie wyświetlone okienko Copilot z kartami reakcji nadzorowanej.
Przejrzyj każdą kartę przed zastosowaniem zaleceń. Wybierz wielokropek (...) Więcej akcji na karcie odpowiedzi, aby wyświetlić opcje dostępne dla każdej rekomendacji. Oto kilka przykładów.
Aby zastosować akcję, wybierz odpowiednią akcję znajdującą się na każdej karcie. Akcja reakcji nadzorowanej na każdej karcie jest dostosowana do typu zdarzenia i konkretnej jednostki.
Możesz przekazać opinię do każdej karty odpowiedzi, aby stale ulepszać przyszłe odpowiedzi od firmy Copilot. Aby przekazać opinię, wybierz ikonę się w prawym dolnym rogu każdej karty.
Uwaga
Wyszarzone przyciski akcji oznaczają, że te akcje są ograniczone przez Twoje uprawnienia. Aby uzyskać więcej informacji, zapoznaj się ujednoliconymi uprawnieniami dostępu opartego na rolach.
Copilot pomaga przyspieszyć zadania dochodzeniowe analityków. Gdy zdarzenie wymaga dalszego zbadania działania użytkownika, copilot sugeruje tekst, którego analitycy mogą używać do komunikowania się z użytkownikiem. Karta odpowiedzi z przewodnikiem zawiera akcję Kontakt z użytkownikiem w aplikacji Teams lub Kopiuj do schowka , która kopiuje sugerowany tekst do schowka. Analitycy mogą następnie wkleić tekst do wiadomości e-mail lub innego narzędzia do komunikacji. Analityk może również uzyskać więcej kontekstu dotyczącego użytkownika za pomocą akcji Wyświetl użytkownika .
Rozwiązanie Copilot obsługuje również zespoły reagowania na zdarzenia, umożliwiając analitykom uzyskanie większego kontekstu dotyczącego akcji reagowania przy użyciu dodatkowych szczegółowych informacji. Aby uzyskać reakcje korygujące, zespoły reagowania na zdarzenia mogą wyświetlać dodatkowe informacje z opcjami takimi jak Wyświetl podobne zdarzenia lub Wyświetl podobne wiadomości e-mail.
Akcja Wyświetl podobne zdarzenia jest dostępna, gdy w organizacji występują inne zdarzenia podobne do bieżącego zdarzenia. Karta „Podobne zdarzenia” zawiera listę podobnych zdarzeń, które można przejrzeć. Usługa Microsoft Defender automatycznie identyfikuje podobne zdarzenia w organizacji za pośrednictwem uczenia maszynowego. Zespoły reagowania na zdarzenia mogą używać informacji z tych podobnych zdarzeń do klasyfikowania zdarzeń i dalszego przeglądania wykonanych w ich przypadku akcji.
Akcja Wyświetl podobne wiadomości e-mail, właściwa dla zdarzeń dotyczących wyłudzania informacji, prowadzi do strony zaawansowanego wyszukiwania zagrożeń, na której jest automatycznie generowane zapytanie KQL do wyświetlania podobnych wiadomości e-mail w organizacji. To automatyczne generowanie zapytań związane ze zdarzeniem ułatwia zespołom reagowania na zdarzenia dalsze badanie innych wiadomości e-mail, które mogą być związane ze zdarzeniem. Możesz przeglądać zapytania i modyfikować je w razie potrzeby.
Zobacz też
- Podsumowanie zdarzenia
- Analizowanie plików
- Uruchamianie analizy skryptów
- Tworzenie raportu o zdarzeniu
- Generowanie zapytań KQL
- Rozpoczynanie pracy z funkcją Copilot dla rozwiązań zabezpieczających
- Dowiedz się więcej o innych środowiskach osadzonych funkcji Copilot dla rozwiązań zabezpieczających
- Dowiedz się więcej o wstępnie zainstalowanych wtyczkach w funkcji Copilot dla rozwiązań zabezpieczających
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.