Share via

Copilot Microsoft w usłudze Microsoft Defender

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR
  • Ujednolicona platforma centrum operacji zabezpieczeń (SOC) usługi Microsoft Defender

Copilot dla rozwiązań zabezpieczających firmy Microsoft łączy możliwości sztucznej inteligencji i ludzkiej wiedzy, aby pomóc zespołom ds. zabezpieczeń szybciej i skuteczniej reagować na ataki. Funkcja Copilot dla rozwiązań zabezpieczających jest osadzona w portalu usługi Microsoft Defender, aby umożliwić zespołom ds. zabezpieczeń wydajne podsumowywanie zdarzeń, analizowanie skryptów i kodów, analizowanie plików, podsumowywanie informacji o urządzeniu, używanie odpowiedzi z przewodnikiem do rozwiązywania zdarzeń, generowanie zapytań KQL, tworzenie raportów o zdarzeniach.

Ten artykuł zawiera omówienie dla użytkowników funkcji Copilot w usłudze Defender, w tym kroki uzyskiwania dostępu, kluczowe możliwości i linki do szczegółów tych możliwości.

Dostęp do funkcji Copilot w usłudze Defender

Aby upewnić się, że masz dostęp do funkcji Copilot w usłudze Defender, zobacz Copilot dla rozwiązań zabezpieczających — informacje o zakupie i licencjonowaniu. Po uzyskaniu dostępu do aplikacji Copilot dla rozwiązań zabezpieczających kluczowe funkcje omówione poniżej staną się dostępne w portalu usługi Microsoft Defender.

Badaj zdarzenia i reaguj na nie, jak ekspert

Zapewnij zespołom ds. bezpieczeństwa łatwe i precyzyjne prowadzenie dochodzeń w sprawie ataków w odpowiednim czasie. Funkcja Copilot ułatwia zespołom natychmiastowe zrozumienie ataków, szybkie analizowanie podejrzanych plików i skryptów oraz szybką ocenę i stosowanie odpowiednich środków zaradczych w celu zatrzymania i ograniczenia ataków.

Szybkie podsumowywanie zdarzeń

Badanie zdarzeń z wieloma alertami może być trudnym zadaniem. Aby natychmiast zrozumieć zdarzenie, możesz nacisnąć pozycję Copilot, aby podsumować zdarzenie. Funkcja Copilot tworzy przegląd ataku zawierający podstawowe informacje, aby zrozumieć, co wydarzyło się podczas ataku, jakie zasoby są zaangażowane i oś czasu ataku. Funkcja Copilot automatycznie tworzy podsumowanie po przejściu do strony zdarzenia.

Wycinek ekranu przedstawiający kartę podsumowania zdarzenia w okienku funkcji Copilot widoczną na stronie zdarzenia usługi Microsoft Defender.

Podejmowanie działań w związku ze zdarzeniami poprzez reakcje nadzorowane

Rozwiązywanie zdarzeń wymaga od analityków zrozumienia ataku, aby wiedzieć, jakie rozwiązania są odpowiednie. Funkcja Copilot zaleca rozwiązania za pośrednictwem odpowiedzi z przewodnikiem, które są specyficzne dla każdego zdarzenia.

Wycinek ekranu przedstawiający okienko funkcji Copilot z odpowiedziami z przewodnikiem na stronie zdarzenia Microsoft Defender.

Łatwe uruchamianie analizy skryptów

Większość atakujących polega na zaawansowanym złośliwym oprogramowaniu podczas przeprowadzania ataków, aby uniknąć wykrywania i analizy. Złośliwe oprogramowanie jest zwykle ukryte i może mieć postać skryptów lub wierszy poleceń w programie PowerShell. Funkcja Copilot może szybko analizować skrypty, skracając czas badania.

Wycinek ekranu przedstawiający przycisk analizy skryptu w widoku historii ataku na stronie zdarzenia.

Generowanie podsumowań urządzeń

Badanie urządzeń biorących udział w zdarzeniach może być wymagającym zadaniem. Aby szybko ocenić urządzenie, funkcja Copilot może podsumować informacje o urządzeniu, w tym stan zabezpieczeń urządzenia, wszelkie nietypowe zachowania, listę oprogramowania podatnego na zagrożenia i odpowiednie informacje usługi Microsoft Intune.

Wycinek ekranu przedstawiający wyniki podsumowania urządzenia w funkcji Copilot w usłudze Defender.

Szybkie analizowanie plików

Rozwiązanie Copilot pomaga zespołom ds. zabezpieczeń szybko ocenić i zrozumieć podejrzane pliki za pomocą analizy plików. Usługa Copilot udostępnia podsumowanie pliku, w tym informacje o wykrywaniu, powiązane certyfikaty plików, listę wywołań interfejsu API i ciągi znalezione w pliku.

Wycinek ekranu przedstawiający wyniki analizy plików w programie Copilot w usłudze Defender z wyróżnioną opcją Ukryj szczegóły.

Wydajne pisanie raportów o zdarzeniach

Zespoły ds. operacji zabezpieczeń zazwyczaj sporządzają raporty w celu rejestrowania ważnych informacji, w tym podjętych działań i odpowiadających im wyników, zaangażowanych członków zespołu oraz innych informacji, które pomogą w podejmowaniu przyszłych decyzji dotyczących zabezpieczeń i zdobywaniu wiedzy. Często dokumentowanie zdarzeń może być czasochłonne. Aby raporty o zdarzeniach były skuteczne, muszą zawierać podsumowanie zdarzenia wraz z podjętymi działaniami, w tym jakie działania zostały podjęte przez kogo i kiedy. Funkcja Copilot generuje raport o zdarzeniu, szybko konsolidując te informacje.

Zrzut ekranu karty raportu o zdarzeniu na stronie zdarzenia pokazujący górną połowę karty.

Wyszukuj zagrożenia jak profesjonalista

Rozwiązanie Copilot w usłudze Defender pomaga zespołom ds. zabezpieczeń aktywnie wyszukiwać zagrożenia w sieci, szybko tworząc odpowiednie zapytania KQL.

Generowanie zapytań w języku KQL z danych wejściowych w języku naturalnym

Zespoły ds. zabezpieczeń, które wykorzystują zaawansowane wyszukiwanie do proaktywnego wyszukiwania zagrożeń w swojej sieci, mogą teraz korzystać z asystenta zapytań, który konwertuje dowolne pytanie w języku naturalnym w kontekście wyszukiwania zagrożeń na gotowe do uruchomienia zapytanie w języku KQL. Asystent zapytań oszczędza czas zespołów ds. zabezpieczeń, generując zapytania w języku KQL, które mogą być następnie automatycznie uruchamiane lub dalej dostosowywane do potrzeb analityków. Przeczytaj więcej na temat asystenta zapytań w funkcji Copilot dla rozwiązań zabezpieczających podczas zaawansowanego wyszukiwania zagrożeń.

Wycinek ekranu funkcji Copilot w zaawansowanym wyszukiwaniu zagrożeń.

Ochrona organizacji za pomocą odpowiedniej analizy zagrożeń

Umożliwianie organizacji zabezpieczeń podejmowania świadomych decyzji przy użyciu najnowszej analizy zagrożeń. Funkcja Copilot konsoliduje i podsumowuje analizę zagrożeń, aby pomóc zespołom ds. bezpieczeństwa w skutecznym określaniu priorytetów i reagowaniu na zagrożenia.

Monitorowanie analizy zagrożeń

Poproś funkcję Copilot o podsumowanie istotnych zagrożeń wpływających na środowisko, określenie priorytetów rozwiązywania zagrożeń na podstawie poziomów narażenia lub znalezienie podmiotów stanowiących zagrożenie dla Twojej branży. Przeczytaj więcej na temat funkcji Copilot dla rozwiązań zabezpieczających w analizie zagrożeń.

Wycinek ekranu przedstawiający okienko Copilot w analizie zagrożeń w usłudze Defender XDR.

Bezpieczeństwo danych i opinie w usłudze Copilot

Program Copilot stale ewoluuje przy użyciu danychprzechowywanych, przetwarzanych i udostępnianych w zależności od ustawień zdefiniowanych przez administratora. Firma Microsoft zapewnia, że dane są zawsze chronione i bezpieczne podczas korzystania z rozwiązania Copilot. Aby dowiedzieć się więcej na temat bezpieczeństwa i prywatności danych w usłudze Copilot, zobacz Prywatność i bezpieczeństwo danych w usłudze Copilot.

Ze względu na jego ciągłą ewolucję, funkcja Copilot może przegapić kilka rzeczy. Przeglądanie i przekazywanie opinii na temat wyników pomaga ulepszyć przyszłe odpowiedzi rozwiązania Copilot.

Wszystkie możliwości rozwiązania Copilot w usłudze Defender mają możliwość przekazywania opinii. Aby przekazać opinię, wykonaj następujące kroki:

  1. Wybierz ikonę opinii Wycinek ekranu przedstawiający ikonę opinii dla aplikacji Copilot w kartach usługi Defender znajdujących się u dołu dowolnej karty wyników w panelu bocznym funkcji Copilot.
  2. Wybierz opcję Potwierdzone, wygląda to świetnie, jeśli wyniki są dokładne w oparciu o Twoją ocenę. Możesz podać więcej informacji w następnym oknie dialogowym.
  3. Wybierz pozycję Poza wartością docelową, niedokładne, jeśli jakikolwiek szczegół jest nieprawidłowy lub niekompletny na podstawie Twojej oceny. W następnym oknie dialogowym można podać więcej informacji na temat oceny i przesłać ją do firmy Microsoft.
  4. Możesz również zgłosić wyniki, jeśli zawierają one wątpliwe lub niejednoznaczne informacje, wybierając opcję Potencjalnie szkodliwe, nieodpowiednie. Podaj więcej informacji o wynikach w następnym oknie dialogowym i wybierz pozycję Prześlij.

Wtyczki w funkcji Copilot dla rozwiązań zabezpieczających

Usługa Copilot używa wstępnie zainstalowanych wtyczek firmy Microsoft, takich jak Microsoft Defender XDR, Analiza zagrożeń usługi Defender i język naturalny do KQL dla wtyczek Microsoft Sentinel i Defender XDR w celu generowania odpowiednich informacji, zapewnienia większego kontekstu dla zdarzeń i generowania dokładniejszych wyników. Upewnij się, że wtyczki są włączone w rozwiązaniu Copilot, aby umożliwić dostęp do odpowiednich danych i wygenerować żądaną zawartość z innych usług firmy Microsoft w organizacji.

Następne kroki

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.