Поделиться через

Сортируйте и исследуйте инциденты с помощью управляемых ответов от Microsoft Copilot в Microsoft Defender.

  • Статья
  • Применяется к:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Copilot для безопасности на портале Microsoft Defender поддерживает группы реагирования на инциденты при немедленном разрешении инцидентов с помощью управляемых ответов. Copilot в Defender использует возможности ИИ и машинного обучения для контекстуализации инцидента и изучения результатов предыдущих исследований для принятия соответствующих ответных мер.

В этом руководстве описано, как получить доступ к возможности управляемого ответа, включая сведения о предоставлении отзывов об ответах.

Перед началом работы

Если вы не знакомы с Copilot for Security, ознакомьтесь со следующими статьями:

Реагирование на инциденты на портале Microsoft Defender часто требует знания доступных действий портала для предотвращения атак. Кроме того, новые участники процесса реагирования на инциденты могут иметь различные представления о том, где и как его начать. Возможности управляемого реагирования Copilot в Defender позволяют группам реагирования на инциденты на всех уровнях уверенно и быстро применять ответные действия для легкого разрешения инцидентов.

Интеграция Copilot for Security в Microsoft Defender

Интерактивные ответы доступны на портале Microsoft Defender для клиентов, которые подготовили доступ к Copilot for Security.

Интерактивные ответы также доступны в автономном интерфейсе Copilot for Security через подключаемый модуль Microsoft Defender XDR. Узнайте больше о предустановленных подключаемых модулях в Copilot для безопасности.

Основные возможности

Служба реагирования по инструкции рекомендует действия в следующих категориях:

  • рассмотрение — включает рекомендацию классифицировать инциденты как информационные, истинноположительные или ложные срабатывания;
  • сдерживание — включает рекомендуемые действия для сдерживания инцидента;
  • исследование — включает рекомендуемые действия для дальнейшего исследования;
  • исправление — включает рекомендуемые действия по реагированию для конкретных сущностей, вовлеченных в инцидент.

Каждая карточка содержит сведения о рекомендуемом действии, включая объект, к которому необходимо применить действие, и почему это действие рекомендуется. На карточках также указывается, когда рекомендованное действие было выполнено в результате автоматического расследования, например, срыв атаки или реагирование на автоматическое исследование.

Карточки с управляемыми ответами можно сортировать в зависимости от доступного состояния каждой карточки. Вы можете выбрать определенное состояние при просмотре управляемых ответов, нажав Состояние и выбрав соответствующий статус, который вы хотите просмотреть. По умолчанию отображаются все карточки с управляемыми ответами, независимо от состояния.

Снимок экрана: состояние ответов на панели Copilot на странице инцидента Microsoft Defender.

Чтобы использовать реагирование по инструкции, выполните следующие действия.

  1. Откройте страницу инцидента. Copilot автоматически генерирует управляемые ответы при открытии страницы инцидента. В правой части страницы инцидента появится панель Copilot с карточками управляемого реагирования.

    Снимок экрана: панель Copilot с интерактивными ответами на странице инцидента Microsoft Defender.

  2. Прежде чем применять рекомендации, просмотрите каждую карточку. Щелкните многоточие Дополнительные действия (...) в верхней части карточки ответа, чтобы просмотреть варианты, доступные для каждой рекомендации. Ниже приведены некоторые примеры.

    Снимок экрана: параметры, доступные пользователям в интерактивном ответе карта на боковой панели Copilot.

    Снимок экрана: параметры, доступные пользователям в карта ответа автоматизации в области Copilot в Microsoft Defender XDR.

  3. Чтобы применить действие, выберите нужное действие, указанное на каждой карточке. Действия по реагированию на каждой карточке адаптированы к типу инцидента и конкретной вовлеченной организации.

    Снимок экрана: интерактивные карточки ответов в области Copilot в Microsoft Defender.

  4. Вы можете предоставить обратную связь к каждой карточке ответа, чтобы постоянно улучшать будущие ответы от Copilot. Чтобы отправить отзыв, выберите значок обратной связи Снимок экрана, на котором показан значок обратной связи для Copilot в карточках Defender, расположенных в правом нижнем углу каждого карта.

Примечание.

Кнопки действий, выделенные серым цветом, означают, что эти действия ограничены разрешением. Дополнительные сведения см. на странице разрешений для управления доступом на основе ролей (RBAC).

Copilot помогает ускорить задачи аналитиков по расследованию. Если инцидент требует дальнейшего изучения действий пользователя, Copilot предлагает текст, который аналитики могут использовать для общения с пользователем. В карта интерактивного ответа входит пользователь Contact в Teams или действие "Копировать в буфер обмена", которое копирует предложенный текст в буфер обмена. Затем аналитики могут вставить текст в сообщение электронной почты или другое средство коммуникации. Аналитик также может получить дополнительный контекст о пользователе с помощью действия Просмотреть пользователя .

Снимок экрана: предлагаемый текст для общения в интерактивном карта ответа.

Copilot также поддерживает команды реагирования на инциденты, позволяя аналитикам получать больше контекста о действиях реагирования с дополнительными аналитическими сведениями. В целях исправления команды реагирования на инциденты могут просматривать дополнительные сведения с помощью таких параметров, как Просмотреть аналогичные инциденты или Просмотреть аналогичные сообщения электронной почты.

Действие Просмотреть аналогичные инциденты становится доступным при наличии в организации других инцидентов, аналогичных текущему. На вкладке "Аналогичные инциденты" приводится список похожих инцидентов, который можно просмотреть. Microsoft Defender автоматически выявляет подобные инциденты в организации с помощью машинного обучения. Команды реагирования на инциденты могут использовать информацию из аналогичных инцидентов для классификации инцидентов и дальнейшего просмотра действий, выполненных в этих инцидентах.

Действие Просмотреть аналогичные сообщения электронной почты, которое предназначено для инцидентов, связанных с фишингом, перенаправляет пользователя на страницу расширенной охоты, где автоматически создается запрос KQL на создание списка аналогичных сообщений электронной почты в организации. Автоматическое создание запросов, связанных с инцидентом, помогает командам реагирования на инциденты дополнительно исследовать другие сообщения электронной почты, которые могут быть связаны с инцидентом. Вы можете просмотреть запрос и изменить его при необходимости.

Пример запроса на интерактивные ответы

На автономном портале Copilot for Security можно использовать следующий запрос для создания интерактивных ответов:

  • Создание интерактивных ответов и рекомендаций для инцидента Defender {идентификатор инцидента}.

Совет

При создании интерактивных ответов на портале Copilot for Security корпорация Майкрософт рекомендует включить слово Defender в ваши запросы, чтобы обеспечить получение результатов с помощью возможности управляемых ответов.

Предоставление отзывов

Корпорация Майкрософт настоятельно рекомендует предоставить отзыв компании Copilot, так как она имеет решающее значение для постоянного совершенствования возможностей. Чтобы отправить отзыв, перейдите в нижнюю часть боковой панели Copilot и выберите значок обратной связи Снимок экрана: значок обратной связи для Copilot в карточках Defender.

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.