Поделиться через

Microsoft Copilot в Microsoft Defender

  • Статья
  • Применяется к:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Примечание.

Microsoft Defender XDR предоставляет унифицированный интерфейс XDR для Microsoft Defender для конечной точки, Microsoft Defender для удостоверений, Microsoft Defender для Office 365, Microsoft Defender for Cloud Apps и Microsoft Defender для управления уязвимостями. Дополнительные сведения об этом наборе защиты до и после нарушения безопасности см. в статье Что такое Microsoft Defender XDR?

Microsoft Copilot для безопасности — это платформа, объединяющая возможности ИИ и человеческого опыта, чтобы помогать командам по безопасности быстрее и эффективнее реагировать на атаки. Copilot for Security внедрен на портале Microsoft Defender, чтобы команды безопасности могли эффективно обобщать инциденты, анализировать сценарии и коды, анализировать файлы, суммировать сведения об устройстве, использовать управляемые ответы для разрешения инцидентов, создавать запросы KQL и создавать отчеты об инцидентах.

В этой статье содержится обзор Copilot в Defender для пользователей. Описаны действия по получению доступа к этому решению, основные возможности и ссылки на их подробное описание.

Доступ к Copilot в Defender

Чтобы убедиться в наличии доступа к Copilot в Defender, ознакомьтесь со статьей Сведения о приобретении и лицензировании Copilot для безопасности. После получения доступа к Copilot для безопасности основные возможности, описанные ниже, станут доступны на портале Microsoft Defender.

Расследование инцидентов и реагирование на них на профессиональном уровне

Группы безопасности могут своевременно, с легкостью и точностью расследовать атаки. Copilot помогает командам быстро анализировать атаки, подозрительные файлы и сценарии, своевременно оценивать и применять соответствующие меры по устранению рисков, чтобы изолировать и останавливать атаки.

Быстрое создание сводки инцидентов

Исследование инцидентов с несколькими оповещениями может быть сложной задачей. Чтобы сразу разобраться в инциденте, можно создать сводку инцидента с помощью Copilot. Copilot создает обзор атаки. Обзор содержит важную информацию, чтобы понять, что произошло в результате атаки, какие ресурсы участвуют, а также временная шкала атаки. Copilot автоматически создает сводку при переходе на страницу инцидента.

Снимок экрана: сводная карточка инцидента на панели Copilot на странице инцидента в Microsoft Defender.

Принятие мер по инцидентам с помощью интерактивных ответов

Для устранения инцидентов аналитики должны изучить атаку и определить подходящие решения. Copilot предлагает решения с помощью управляемых ответов по каждому конкретному инциденту.

Снимок экрана: область Copilot с интерактивными ответами выделена на странице инцидента в Microsoft Defender.

Удобный анализ сценариев

Большинство злоумышленников при проведении атак полагаются на сложные вредоносные программы, чтобы избежать обнаружения и анализа. Для вредоносных программ обычно используется маскировка, они могут выглядеть как сценарии или командные строки PowerShell. Copilot может быстро анализировать сценарии, благодаря чему ускоряются исследования.

Снимок экрана: представление истории на странице инцидента, выделена кнопка анализа сценариев.

Создание сводок по устройствам

Исследование устройств, замешанных в инцидентах, может быть непростой задачей. Чтобы быстро оценить состояние устройства, Copilot может создать сводку сведений об устройстве, которая будет включать состояние безопасности устройства, необычное поведение, список уязвимых программ и соответствующие сведения Microsoft Intune.

Снимок экрана: результаты создании сводки устройства в Copilot в Defender.

Быстрый анализ файлов

Copilot помогает командам безопасности быстро оценивать и изучать подозрительные файлы с использованием анализа файлов. Copilot предоставляет сводку о файлах. Эта сводка содержит сведения об обнаружении, связанные сертификаты файлов, список вызовов API и строки, обнаруженные в файле.

Снимок экрана: результаты анализа файлов в Copilot в Defender, выделен параметр

Немедленное изучение удостоверений

Быстро оцените риск пользователя, создав сводку удостоверений с помощью Copilot. Определите, когда удостоверение находится под угрозой или подозрительно с контекстной информацией о роли и изменениях роли пользователя, поведением входа, устройствами, в которые выполнен вход, и соответствующими контактными данными.

Снимок экрана: параметр Суммировать в области сведений о пользователе.

Эффективное написание отчетов об инцидентах

Группы операций по обеспечению безопасности обычно пишут отчеты, в которых фиксируется важная информация, в том числе о том, какие ответные действия были предприняты и соответствующие результаты, задействованные члены команды, а также другая информация, которая поможет в будущих решениях по обеспечению безопасности и обучении. Часто документирование инцидентов может занять много времени. Чтобы отчет об инциденте был эффективным, он должен содержать сводку инцидента, а также предпринятые действия, включая действия, предпринятые кем и когда. Copilot создает отчет об инциденте, быстро объединяя эти сведения.

Снимок экрана: карточка отчета об инциденте на странице инцидента; показана верхняя половина карточки.

Охота на угрозы на профессиональном уровне

Copilot в Defender помогает командам безопасности в заблаговременной охоте на угрозы в сети путем быстрого создания соответствующих запросов KQL.

Создание запросов KQL на основе входных данных на естественном языке

Команды безопасности, которые используют расширенную охоту для упреждающего поиска угроз в своей сети, теперь могут использовать запрос помощник, который преобразует любой вопрос на естественном языке в контексте охоты на угрозы в готовый к выполнению запрос KQL. Помощник по запросам экономит время сотрудников службы безопасности, генерируя запрос KQL, который затем можно автоматически запустить или дополнительно настроить в соответствии с потребностями аналитика. Дополнительные сведения о помощнике по запросам см. в статье Copilot для безопасности в решении "Расширенная охота".

Снимок экрана: панель Copilot в решении

Защита организации с помощью аналитики угроз

Аналитика современных угроз поможет организациям безопасности принимать взвешенные решения. Copilot объединяет аналитику угроз и создает сводки, чтобы помочь командам безопасности определить приоритет угроз и эффективно реагировать на них.

Мониторинг аналитики угроз

Попросите Copilot создать сводку угроз, влияющих на вашу среду, чтобы определить приоритет устранения угроз на основе уровня подверженности риску или чтобы найти злоумышленников, которые атаковали вашу отрасль. Дополнительные сведения о Copilot для безопасности в аналитике угроз.

Снимок экрана: панель Copilot в аналитике угроз в решении Defender XDR.

Безопасность данных и отзывы в Copilot

Copilot постоянно совершенствуется с использованием данных, которые хранятся, обрабатываются и распространяются в соответствии с параметрами, настроенными вашим администратором. Корпорация Майкрософт гарантирует, что при использовании Copilot ваши данные всегда надежно защищены. Для получения дополнительных сведений о безопасности и конфиденциальности в Copilot см. статью Конфиденциальность и безопасность данных в Copilot.

В силу непрерывного развития Copilot может не всегда действовать правильно. Проверяйте результаты работы Copilot и отправляйте отзывы, чтобы улучшить работу Copilot в будущем.

Во всех функциях Copilot в Defender предусмотрена возможность оставить отзыв. Чтобы предоставить отзыв, выполните следующие действия.

  1. Щелкните значок обратной связи Снимок экрана: значок отзыва для Copilot в карточках Defender. В нижней части всех результатов карта на боковой панели Copilot.
  2. Выберите Выглядит правильно , если вы считаете результаты точными. В следующем окне можно предоставить дополнительные сведения.
  3. Выберите Требуется улучшение , если результат был оценен как недостаточный или неполный. Вы можете предоставить дополнительную информацию о своей оценке в следующем диалоговом окне и отправить ее в корпорацию Майкрософт.
  4. Вы также можете сообщить о результатах, если они содержат сомнительные или неоднозначные сведения, выбрав Недопустимые. Предоставьте дополнительную информацию о результатах в следующем диалоговом окне и выберите "Отправить".

Подключаемые модули в Copilot для безопасности

Copilot использует предустановленные подключаемые модули Майкрософт, такие как Microsoft Defender XDR и Аналитика угроз Defender, а также преобразование естественного языка в KQL для подключаемых модулей Microsoft Sentinel и Defender XDR, чтобы создавать релевантные сведения, предоставлять больше контекста для инцидентов и получать более точные результаты. Убедитесь, что в Copilot включены подключаемые модули, дающие возможность получить доступ к нужным данным для создания запрошенного содержимого из других служб Майкрософт в вашей организации.

Дальнейшие действия

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.