Резюмирование инцидента с помощью Microsoft Copilot в Microsoft Defender

• Применяется к:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR применяет возможности Copilot для безопасности для резюмирования инцидентов, предоставляя ценную информацию и аналитику для упрощения задач исследования. Исследование атак — это важный шаг для групп реагирования на инциденты, позволяющий успешно защитить организацию от дальнейшего ущерба от киберугроз. Исследования часто могут быть трудоемкими, так как они включают в себя многочисленные шаги. Группам реагирования на инциденты необходимо понять, как произошла атака: разобраться в многочисленных оповещениях, определить, какие активы и организации задействованы, а также оценить масштаб и влияние атаки.

В этом руководстве описывается, что следует ожидать и как получить доступ к возможности резюмирования Copilot в Defender, включая сведения о предоставлении отзывов.

Перед началом работы

Если вы не знакомы с Copilot for Security, ознакомьтесь со следующими статьями:

• Что такое Copilot для безопасности?
• Возможности Copilot для обеспечения безопасности
• Начало работы с Copilot для безопасности
• Общие сведения о проверке подлинности в Copilot для безопасности
• Запрос в Copilot для безопасности

Специалисты по реагированию на инциденты могут легко получить правильный контекст для исследования и устранения инцидентов с помощью возможностей корреляции Defender XDR, а также обработки и контекстуализации данных на базе искусственного интеллекта Copilot для безопасности. Со сводкой об инциденте, сотрудники служб реагирования могут быстро получить важную аналитику, которая поможет в исследовании.

Интеграция Copilot for Security в Microsoft Defender

Возможность сводки инцидентов доступна на портале Microsoft Defender для клиентов, которые подготовили доступ к Copilot for Security.

Эта возможность также доступна в отдельном интерфейсе Copilot для безопасности через подключаемый модуль Microsoft Defender XDR. Узнайте больше о предустановленных подключаемых модулях в Copilot для безопасности.

Основные возможности

Инциденты, содержащие до 100 оповещений, можно объединить в одну сводку по инцидентам. Сводка по инциденту в зависимости от доступности данных включает следующее:

• Время и дату начала атаки.
• Объект или актив, с которого началась атака.
• Сводку временных шкал развертывания атаки.
• Активы, задействованные в атаке.
• Индикаторы компрометации (IoC).
• Имена задействованных субъектов угроз.

Для обобщения инцидента сделайте следующее:

1. Откройте страницу инцидента. Copilot автоматически создает сводку по инциденту при открытии страницы. Вы можете остановить создание сводки, нажав Отмена или перезапустить создание, выбрав Создать заново.

2. Сводная карточка инцидента загружается в области Copilot. Просмотрите созданную сводку на карточке.

   

   Совет

   Вы можете перейти к файлу, IP-адресу или странице URL-адреса из области результатов Copilot, щелкнув свидетельство в результатах.

3. Выберите многоточие Другие действия (...) в верхней части сводной карточки инцидента, чтобы скопировать или повторно создать сводку или просмотреть сводку на портале Copilot для безопасности. При выборе Открыть в Copilot для безопасности открывается новая вкладка отдельного портала Copilot для безопасности, где можно вводить запросы и получать доступ к другим подключаемым модулям.

   

4. Просмотрите сводку и используйте информацию для направления исследования и реагирования на инцидент.

Пример сводной строки по инцидентам

На автономном портале Copilot for Security можно использовать следующий запрос для создания сводок по инцидентам:

• Предоставьте сводку по инциденту в Defender {идентификатор инцидента}.

Совет

При создании сводки по инцидентам на портале Copilot для безопасности корпорация Майкрософт рекомендует включить в запросы слово Defender , чтобы обеспечить получение результатов с помощью функции сводки по инцидентам.

Предоставление отзывов

Корпорация Майкрософт настоятельно рекомендует предоставить отзыв компании Copilot, так как она имеет решающее значение для постоянного совершенствования возможностей. Вы можете оставить отзыв о сводке, нажав значок обратной связи в нижней части панели Copilot.

См. также

• Сведения о других внедренных интерфейсах Copilot для безопасности
• Конфиденциальность и безопасность данных в Copilot for Security

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.