Microsoft Copilot в Microsoft Defender

Область применения:

• Microsoft Defender XDR
• Microsoft Defender платформу единого центра управления безопасностью (SOC)

Microsoft Copilot для безопасности объединяет возможности ИИ и опыт человека, помогая группам безопасности реагировать на атаки быстрее и эффективнее. Copilot для безопасности внедрена на портале Microsoft Defender, чтобы группы безопасности могли эффективно обобщать инциденты, анализировать сценарии и коды, анализировать файлы, суммировать сведения об устройстве, использовать управляемые ответы для разрешения инцидентов, создавать запросы KQL, создавать отчеты об инцидентах.

В этой статье представлен обзор для пользователей Copilot в Defender, включая шаги для доступа, ключевые возможности и ссылки на подробные сведения об этих возможностях.

Доступ к Copilot в Defender

Чтобы убедиться, что у вас есть доступ к Copilot в Defender, ознакомьтесь с Copilot для безопасности сведениями о покупке и лицензировании. Получив доступ к Copilot для безопасности, основные возможности, рассмотренные ниже, станут доступны на портале Microsoft Defender.

Расследовать инциденты и реагировать на них, как эксперт

Позволить группам безопасности своевременно и с легкостью и точностью решать расследования атак. Copilot помогает командам немедленно понимать атаки, быстро анализировать подозрительные файлы и сценарии, а также быстро оценивать и применять соответствующие меры для предотвращения и сдерживания атак.

Быстрое создание сводки инцидентов

Исследование инцидентов с несколькими оповещениями может быть сложной задачей. Чтобы сразу разобраться в инциденте, нажмите Copilot, чтобы свести итоги по инциденту . Copilot создает обзор атаки, содержащий важную информацию, чтобы понять, что произошло в атаке, какие ресурсы участвуют, а также временная шкала атаки. Copilot автоматически создает сводку при переходе на страницу инцидента.

Принятие мер по инцидентам с помощью интерактивных ответов

Для разрешения инцидентов аналитики должны иметь представление об атаке, чтобы знать, какие решения подходят. Copilot рекомендует решения с помощью управляемых ответов , относящихся к каждому инциденту.

Простой запуск анализа скрипта

Большинство злоумышленников при проведении атак полагаются на сложные вредоносные программы, чтобы избежать обнаружения и анализа. Эти вредоносные программы обычно маскируются и могут быть в виде скриптов или командных строк в PowerShell. Copilot может быстро анализировать скрипты, сокращая время на исследование.

Создание сводок по устройствам

Исследование устройств, участвующих в инцидентах, может быть заданием. Чтобы быстро оценить устройство, Copilot может суммировать сведения об устройстве, включая состояние безопасности устройства, любое необычное поведение, список уязвимого программного обеспечения и соответствующие сведения Microsoft Intune.

Анализ файлов в кратчайшие сроки

Copilot помогает группам безопасности быстро оценивать и понимать подозрительные файлы с помощью анализа файлов. Copilot предоставляет сводку файла, включая сведения об обнаружении, связанные сертификаты файлов, список вызовов API и строки, найденные в файле.

Эффективное написание отчетов об инцидентах

Группы операций по обеспечению безопасности обычно пишут отчеты, в которых фиксируется важная информация, в том числе о том, какие ответные действия были предприняты и соответствующие результаты, задействованные члены команды, а также другая информация, которая поможет в будущих решениях по обеспечению безопасности и обучении. Часто документирование инцидентов может занять много времени. Чтобы отчеты об инцидентах были эффективными, они должны содержать краткое изложение инцидента, а также предпринятые действия, в том числе, какие действия были предприняты кем и когда. Copilot создает отчет об инциденте , быстро объединяя эти фрагменты информации.

Охота, как профессионал

Copilot в Defender помогает группам безопасности активно искать угрозы в своей сети, быстро создавая соответствующие запросы KQL.

Создание запросов KQL на основе входных данных на естественном языке

Команды безопасности, которые используют расширенный поиск для упреждающего поиска угроз в своей сети, теперь могут использовать помощник по запросам, который преобразует любой вопрос на естественном языке в контексте поиска угроз в готовый к запуску запрос KQL Помощник по запросам экономит время сотрудников службы безопасности, генерируя запрос KQL, который затем можно автоматически запустить или дополнительно настроить в соответствии с потребностями аналитика. Дополнительные сведения о помощник запроса см. в Copilot для безопасности в разделе Расширенный поиск.

Защита организации с помощью соответствующей аналитики угроз

Предоставьте организации безопасности возможность принимать обоснованные решения с помощью последней аналитики угроз. Copilot объединяет и суммирует аналитику угроз, чтобы помочь группам безопасности определять приоритеты и эффективно реагировать на угрозы.

Мониторинг аналитики угроз

Попросите Copilot обобщить соответствующие угрозы, влияющие на вашу среду, определить приоритеты для устранения угроз на основе уровней риска или найти субъектов угроз, которые могут быть нацелены на вашу отрасль. Узнайте больше о Copilot для безопасности в аналитике угроз.

Безопасность данных и обратная связь в Copilot

Copilot постоянно развивается с использованием данных , которые хранятся, обрабатываются и совместно используются в зависимости от параметров, определенных администратором. Корпорация Майкрософт гарантирует, что ваши данные всегда защищены и защищены при использовании Copilot. Дополнительные сведения о безопасности и конфиденциальности данных в Copilot см. в статье Конфиденциальность и безопасность данных в Copilot.

Из-за своей продолжающейся эволюции, Copilot может пропустить некоторые вещи. Просмотр и предоставление отзывов о результатах помогает улучшить будущие ответы Copilot.

Все возможности Copilot в Defender доступны для предоставления отзывов. Чтобы предоставить отзыв, выполните следующие действия.

1. Выберите значок обратной связи , расположенный в нижней части всех результатов карта на боковой панели Copilot.
2. Выберите Подтверждено. Будет здорово, если результаты соответствуют вашей оценке. Дополнительные сведения можно указать в следующем диалоговом окне.
3. Выберите Не соответствовало цели, неточно, если какая-либо информация неверна или неполна на основании вашей оценки. Вы можете предоставить дополнительную информацию о своей оценке в следующем диалоговом окне и отправить ее в корпорацию Майкрософт.
4. Вы также можете сообщить о результатах, если они содержат сомнительную или двусмысленную информацию, выбрав Потенциально опасно, неприемлемо. Предоставьте дополнительную информацию о результатах в следующем диалоговом окне и выберите "Отправить".

Подключаемые модули в Copilot для безопасности

Copilot использует предварительно установленные подключаемые модули Майкрософт, такие как Microsoft Defender XDR, аналитика угроз Defender и естественный язык, для KQL для Microsoft Sentinel и подключаемых модулей Defender XDR для создания релевантной информации, предоставления большего контекста инцидентов и получения более точных результатов. Убедитесь, что в Copilot включены подключаемые модули , чтобы разрешить доступ к соответствующим данным и создавать запрошенное содержимое из других служб Майкрософт в вашей организации.

Дальнейшие действия

• Узнайте, как создавать сводку инцидентов
• Использование интерактивных ответов при реагировании на инциденты
• Выполнение анализа сценариев
• Анализ файлов
• Создание сводки по устройству
• Создание запросов KQL
• Создание отчетов об инцидентах
• Использование аналитики угроз

См. также

• Начало работы с Copilot для безопасности
• Конфиденциальность и безопасность данных в Copilot
• Вопросы и ответы по ответственному использованию ИИ
• Другие встроенные интерфейсы Copilot для безопасности

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.