Udostępnij za pośrednictwem

Copilot Microsoft w usłudze Microsoft Defender

  • Artykuł
  • Dotyczy:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Uwaga

Microsoft Defender XDR zapewnia ujednolicone środowisko XDR dla Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender for Identity, Ochrona usługi Office 365 w usłudze Microsoft Defender, Microsoft Defender for Cloud Apps i Microsoft Defender na potrzeby zarządzania lukami w zabezpieczeniach. Dowiedz się więcej o tym pakiecie ochrony przed i po naruszeniu zabezpieczeń w temacie Co to jest Microsoft Defender XDR?

Ten artykuł zawiera omówienie dla użytkowników Microsoft Copilot w Microsoft Defender, w tym kroki dostępu, kluczowe możliwości i linki do szczegółów tych możliwości.

Przed rozpoczęciem

Jeśli dopiero zaczynasz korzystać z rozwiązania Copilot for Security, zapoznaj się z nim, czytając następujące artykuły:

integracja Microsoft Copilot w Microsoft Defender

Copilot dla rozwiązań zabezpieczających firmy Microsoft łączy możliwości sztucznej inteligencji i ludzkiej wiedzy, aby pomóc zespołom ds. zabezpieczeń szybciej i skuteczniej reagować na ataki. Rozwiązanie Copilot for Security jest osadzone w portalu Microsoft Defender, aby ułatwić zespołom ds. zabezpieczeń rozszerzone możliwości badania i reagowania na zdarzenia, wyszukiwania zagrożeń i ochrony organizacji za pomocą odpowiedniej analizy zagrożeń. Usługa Copilot w usłudze Defender jest dostępna dla użytkowników, którzy aprowizowali dostęp do rozwiązania Copilot for Security.

Najważniejsze cechy

Badaj zdarzenia i reaguj na nie, jak ekspert

Zapewnij zespołom ds. bezpieczeństwa łatwe i precyzyjne prowadzenie dochodzeń w sprawie ataków w odpowiednim czasie. Funkcja Copilot ułatwia zespołom natychmiastowe zrozumienie ataków, szybkie analizowanie podejrzanych plików i skryptów oraz szybką ocenę i stosowanie odpowiednich środków zaradczych w celu zatrzymania i ograniczenia ataków.

Szybkie podsumowywanie zdarzeń

Badanie zdarzeń z wieloma alertami może być trudnym zadaniem. Aby natychmiast zrozumieć zdarzenie, możesz nacisnąć pozycję Copilot, aby podsumować zdarzenie. Copilot tworzy przegląd ataku. Omówienie zawiera podstawowe informacje umożliwiające zrozumienie, co wydarzyło się w ataku, jakie zasoby są związane z atakiem oraz oś czasu ataku. Funkcja Copilot automatycznie tworzy podsumowanie po przejściu do strony zdarzenia.

Wycinek ekranu przedstawiający kartę podsumowania zdarzenia w okienku funkcji Copilot widoczną na stronie zdarzenia usługi Microsoft Defender.

Podejmowanie działań w związku ze zdarzeniami poprzez reakcje nadzorowane

Rozwiązywanie zdarzeń wymaga od analityków zrozumienia ataku, aby wiedzieć, jakie rozwiązania są odpowiednie. Funkcja Copilot zaleca rozwiązania za pośrednictwem odpowiedzi z przewodnikiem, które są specyficzne dla każdego zdarzenia.

Wycinek ekranu przedstawiający okienko funkcji Copilot z odpowiedziami z przewodnikiem na stronie zdarzenia Microsoft Defender.

Łatwe uruchamianie analizy skryptów

Większość atakujących polega na zaawansowanym złośliwym oprogramowaniu podczas przeprowadzania ataków, aby uniknąć wykrywania i analizy. Złośliwe oprogramowanie jest zwykle ukryte i może mieć postać skryptów lub wierszy poleceń w programie PowerShell. Funkcja Copilot może szybko analizować skrypty, skracając czas badania.

Wycinek ekranu przedstawiający przycisk analizy skryptu w widoku historii ataku na stronie zdarzenia.

Generowanie podsumowań urządzeń

Badanie urządzeń biorących udział w zdarzeniach może być wymagającym zadaniem. Aby szybko ocenić urządzenie, funkcja Copilot może podsumować informacje o urządzeniu, w tym stan zabezpieczeń urządzenia, wszelkie nietypowe zachowania, listę oprogramowania podatnego na zagrożenia i odpowiednie informacje usługi Microsoft Intune.

Wycinek ekranu przedstawiający wyniki podsumowania urządzenia w funkcji Copilot w usłudze Defender.

Szybkie analizowanie plików

Rozwiązanie Copilot pomaga zespołom ds. zabezpieczeń szybko ocenić i zrozumieć podejrzane pliki za pomocą analizy plików. Usługa Copilot udostępnia podsumowanie pliku, w tym informacje o wykrywaniu, powiązane certyfikaty plików, listę wywołań interfejsu API i ciągi znalezione w pliku.

Wycinek ekranu przedstawiający wyniki analizy plików w programie Copilot w usłudze Defender z wyróżnioną opcją Ukryj szczegóły.

Natychmiast zbadaj tożsamości

Szybko oceń ryzyko użytkownika, generując podsumowanie tożsamości za pomocą rozwiązania Copilot. Określ, kiedy tożsamość jest zagrożona lub podejrzana, korzystając z kontekstowych informacji o zmianach roli i roli użytkownika, zachowaniach logowania, zalogowanych urządzeniach i odpowiednich informacjach kontaktowych.

Zrzut ekranu przedstawiający opcję Podsumowanie w okienku szczegółów użytkownika.

Wydajne pisanie raportów o zdarzeniach

Zespoły ds. operacji zabezpieczeń zazwyczaj sporządzają raporty w celu rejestrowania ważnych informacji, w tym podjętych działań i odpowiadających im wyników, zaangażowanych członków zespołu oraz innych informacji, które pomogą w podejmowaniu przyszłych decyzji dotyczących zabezpieczeń i zdobywaniu wiedzy. Często dokumentowanie zdarzeń może być czasochłonne. Aby raport o zdarzeniu był skuteczny, musi zawierać podsumowanie zdarzenia wraz z podjętymi działaniami, w tym o tym, jakie działania zostały podjęte przez kogo i kiedy. Funkcja Copilot generuje raport o zdarzeniu, szybko konsolidując te informacje.

Zrzut ekranu karty raportu o zdarzeniu na stronie zdarzenia pokazujący górną połowę karty.

Wyszukuj zagrożenia jak profesjonalista

Rozwiązanie Copilot w usłudze Defender pomaga zespołom ds. zabezpieczeń aktywnie wyszukiwać zagrożenia w sieci, szybko tworząc odpowiednie zapytania KQL.

Generowanie zapytań w języku KQL z danych wejściowych w języku naturalnym

Zespoły ds. zabezpieczeń korzystające z zaawansowanego wyszukiwania zagrożeń w celu proaktywnego wyszukiwania zagrożeń w sieci mogą teraz użyć zapytania asystent, które konwertuje dowolne pytanie w języku naturalnym w kontekście wyszukiwania zagrożeń na gotowe do uruchomienia zapytanie KQL. Asystent zapytań oszczędza czas zespołów ds. zabezpieczeń, generując zapytania w języku KQL, które mogą być następnie automatycznie uruchamiane lub dalej dostosowywane do potrzeb analityków. Przeczytaj więcej na temat asystenta zapytań w funkcji Copilot dla rozwiązań zabezpieczających podczas zaawansowanego wyszukiwania zagrożeń.

Wycinek ekranu funkcji Copilot w zaawansowanym wyszukiwaniu zagrożeń.

Ochrona organizacji za pomocą odpowiedniej analizy zagrożeń

Umożliwianie organizacji zabezpieczeń podejmowania świadomych decyzji przy użyciu najnowszej analizy zagrożeń. Funkcja Copilot konsoliduje i podsumowuje analizę zagrożeń, aby pomóc zespołom ds. bezpieczeństwa w skutecznym określaniu priorytetów i reagowaniu na zagrożenia.

Monitorowanie analizy zagrożeń

Poproś funkcję Copilot o podsumowanie istotnych zagrożeń wpływających na środowisko, określenie priorytetów rozwiązywania zagrożeń na podstawie poziomów narażenia lub znalezienie podmiotów stanowiących zagrożenie dla Twojej branży. Przeczytaj więcej na temat funkcji Copilot dla rozwiązań zabezpieczających w analizie zagrożeń.

Wycinek ekranu przedstawiający okienko Copilot w analizie zagrożeń w usłudze Defender XDR.

Dostęp do funkcji Copilot w usłudze Defender

Aby upewnić się, że masz dostęp do funkcji Copilot w usłudze Defender, zobacz Copilot dla rozwiązań zabezpieczających — informacje o zakupie i licencjonowaniu. Po uzyskaniu dostępu do rozwiązania Copilot for Security kluczowe funkcje stają się dostępne w portalu Microsoft Defender.

Przykładowe monity w programie Copilot

W portalu Microsoft Defender można znaleźć przykładowe monity ułatwiające nawigację i korzystanie z niektórych możliwości rozwiązania Copilot. Monity mają na celu ułatwienie zrozumienia tych możliwości i efektywnego korzystania z nich. Oto kilka przykładów monitów, które mogą być widoczne w portalu:

Zaawansowane monity dotyczące wyszukiwania zagrożeń:

Zrzut ekranu przedstawiający monity Copilot na stronie zaawansowanego wyszukiwania zagrożeń.

Monity dotyczące analizy zagrożeń:

Zrzut ekranu przedstawiający monity copilot na stronie analizy zagrożeń.

Badanie można rozszerzyć w autonomicznym portalu Copilot for Security przy użyciu monitów języka naturalnego. Poniżej przedstawiono przykładowe monity, które można wpisać na pasku monitu, aby ułatwić podsumowanie zdarzenia za pomocą zaleceń:

  • Wpisz Podsumowanie zdarzenia {numer zdarzenia} i zakończ z zestawem zaleceń w celu wygenerowania podsumowania zdarzenia i zaleceń.
  • Wpisz Co możesz mi powiedzieć o reputacji wskaźników w skryptze? Czy są złośliwe? Jeśli tak, to dlaczego? w celu przeanalizowania skryptu i wygenerowania szczegółów dotyczących skryptu.

Monitowanie w programie Copilot ułatwia efektywne nawigowanie po możliwościach i korzystanie z nich. Możesz również użyć paska monitu do generowania zapytań KQL, podsumowywania zdarzeń i analizowania plików. Zobacz porady dotyczące tworzenia skutecznych monitów w skutecznym monitowanie. Możesz również użyć wstępnie utworzonych wierszy polecenia, aby ułatwić rozpoczęcie pracy z rozwiązaniem Copilot. Aby dowiedzieć się więcej na temat elementów promptbook, zobacz promptbooks in Copilot (Podręczniki wiersza polecenia w programie Copilot).

Przekazywanie opinii

Wszystkie możliwości rozwiązania Copilot w usłudze Defender mają możliwość przekazywania opinii. Aby przekazać opinię, wykonaj następujące kroki:

  1. Wybierz ikonę opinii Zrzut ekranu przedstawiający ikonę opinii dla rozwiązania Copilot w kartach usługi Defender znajdującą się u dołu dowolnej karty wyników w panelu bocznym Copilot.
  2. Wybierz pozycję Wygląda prawidłowo , jeśli uznasz wyniki za dokładne. Możesz podać więcej informacji w następnym oknie dialogowym.
  3. Wybierz pozycję Wymaga poprawy , jeśli wynik został oceniony jako brakujący lub niekompletny. W następnym oknie dialogowym można podać więcej informacji na temat oceny i przesłać ją do firmy Microsoft.
  4. Możesz również zgłosić wyniki, jeśli zawierają wątpliwe lub niejednoznaczne informacje, wybierając pozycję Nieodpowiednie. Podaj więcej informacji o wynikach w następnym oknie dialogowym i wybierz pozycję Prześlij.

Prywatność i bezpieczeństwo danych

Program Copilot stale ewoluuje przy użyciu danychprzechowywanych, przetwarzanych i udostępnianych w zależności od ustawień zdefiniowanych przez administratora. Firma Microsoft zapewnia, że dane są zawsze chronione i bezpieczne podczas korzystania z rozwiązania Copilot. Aby dowiedzieć się więcej na temat bezpieczeństwa i prywatności danych w usłudze Copilot, zobacz Prywatność i bezpieczeństwo danych w usłudze Copilot.

Ze względu na jego ciągłą ewolucję, funkcja Copilot może przegapić kilka rzeczy. Przeglądanie i przekazywanie opinii na temat wyników pomaga ulepszyć przyszłe odpowiedzi rozwiązania Copilot.

Wtyczki w funkcji Copilot dla rozwiązań zabezpieczających

Usługa Copilot używa wstępnie zainstalowanych wtyczek firmy Microsoft, takich jak Microsoft Defender XDR, Analiza zagrożeń usługi Defender i język naturalny do KQL dla wtyczek Microsoft Sentinel i Defender XDR w celu generowania odpowiednich informacji, zapewnienia większego kontekstu dla zdarzeń i generowania dokładniejszych wyników. Upewnij się, że wtyczki są włączone w rozwiązaniu Copilot, aby umożliwić dostęp do odpowiednich danych i wygenerować żądaną zawartość z innych usług firmy Microsoft w organizacji.

Następne kroki

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.