Microsoft Copilot для обеспечения безопасности в Аналитика угроз Microsoft Defender
Важно!
30 июня 2024 г. автономный портал Аналитика угроз Microsoft Defender (Defender TI) (https://ti.defender.microsoft.com) был прекращен и больше недоступен. Клиенты могут продолжить использовать Defender TI на портале Microsoft Defender или с помощью решения Microsoft Copilot для безопасности. Подробнее
Microsoft Copilot для безопасности — это облачная платформа искусственного интеллекта, обеспечивающая работу второго пилота на естественном языке. Она может помочь специалистам по безопасности в различных сценариях, таких как реагирование на инциденты, поиск угроз и сбор разведывательной информации. Дополнительные сведения о его возможностях см. в разделе Что такое Microsoft Copilot для безопасности? .
Клиенты Copilot for Security получают для каждого из прошедших проверку подлинности пользователей Copilot доступ к Аналитика угроз Microsoft Defender (Defender TI). Чтобы убедиться, что у вас есть доступ к Copilot, ознакомьтесь со сведениями о покупке и лицензировании Copilot для безопасности.
После получения доступа к Copilot for Security ключевые функции, рассмотренные в этой статье, становятся доступными на портале Copilot для безопасности или на портале Microsoft Defender.
Перед началом работы
Если вы не знакомы с Copilot for Security, ознакомьтесь с ним, прочитав следующие статьи:
- Что такое Microsoft Copilot для безопасности?
- Microsoft Copilot для обеспечения безопасности
- Начало работы с Microsoft Copilot для безопасности
- Общие сведения о проверке подлинности в Microsoft Copilot для безопасности
- Запросы к Microsoft Copilot для безопасности
Интеграция Copilot для безопасности в Defender TI
Copilot for Security предоставляет сведения об субъектах угроз, индикаторах компрометации (IOCs), средствах и уязвимостях, а также контекстной аналитике угроз из Defender TI. Вы можете использовать запросы и книги запросов для изучения инцидентов, обогащения потоков охоты на угрозы с помощью информации об угрозах или получения дополнительных знаний о вашей организации или о глобальном ландшафте угроз.
Будьте ясны и конкретны в своих подсказках. Вы можете получить лучшие результаты, если включите в запросы определенные имена или IOC злоумышленников. Также может помочь добавление аналитики угроз в запрос, например:
- Покажи данные аналитики угроз для Aqua Blizzard.
- Создай сводку данных аналитики угроз для "malicious.com".
Будьте конкретными при упоминании инцидента (например, "инцидент с идентификатором 15324").
Поэкспериментируйте с различными подсказками и вариантами, чтобы увидеть, что лучше всего подходит для вашего случая использования. Модели искусственного интеллекта в чате различаются, поэтому повторяйте и уточняйте подсказки на основе полученных результатов.
Copilot сохраняет сеансы запроса. Чтобы просмотреть предыдущие сеансы, в меню Copilot for Security Home перейдите в разделМои сеансы.
Примечание.
Подробное описание Copilot, включая функцию закрепления и публикации, см. в разделе Навигация по Microsoft Copilot для безопасности.
Дополнительные сведения о создании эффективных запросов
Основные возможности
Copilot for Security позволяет командам по безопасности понимать, определять приоритеты и немедленно принимать меры в отношении информации аналитики угроз.
Вы можете спросить о злоумышленнике, кампании атак или любой другой аналитике угроз, о которой вы хотите узнать больше, и Copilot создает ответы на основе отчетов аналитики угроз, профилей и статей Intel, а также другого содержимого Defender TI.
Вы также можете выбрать любой из встроенных запросов, доступных на портале Defender, чтобы выполнить следующие действия:
- Резюмировать последние угрозы, связанные с вашей организацией
- Определить приоритеты, на каких угрозах следует сосредоточиться, в зависимости от максимального уровня уязвимости вашей среды для этих угроз
- Спросите об субъектах угроз, нацеленных на индустрию инфраструктуры связи
Дополнительные сведения об использовании Copilot в Defender для аналитики угроз
Включение интеграции Copilot for Security в Defender TI
Перейдите в Microsoft Copilot для безопасности и войдите в систему, используя свои учетные данные.
Включите подключаемый модуль аналитики безопасности Defender. На панели запросов выберите значок Источники
Во всплывающем окне Управление источниками в разделе Подключаемые модули убедитесь, что переключатель Microsoft Threat Intelligence включен, а затем закройте окно.
Примечание.
Некоторые роли могут включать или отключать переключатель для подключаемых модулей, таких как Defender TI. Дополнительные сведения см. в статье Управление подключаемыми модулями в Microsoft Copilot для безопасности.
Введите запрос на панели запросов.
Встроенные функции системы
Copilot для безопасности имеет встроенные системные функции, которые могут получать данные из различных включенных подключаемых модулей.
Чтобы просмотреть список встроенных системных возможностей для Defender TI, выполните следующие действия:
На панели запросов выберите значок Запросы
Выберите Просмотреть все возможности системы . В разделе Аналитика угроз в Microsoft Defender перечислены все доступные возможности для Defender TI, которые можно использовать.
Copilot также имеет следующие сборники запросов, которые также предоставляют сведения из Defender TI:
- Профиль злоумышленника. Создает отчет, профилируя известного злоумышленника, включая предложения по защите от его наиболее используемых инструментов и тактик.
- Оценка влияния уязвимости. Создает отчет, содержащий сводку аналитики для известной уязвимости, включая шаги по ее устранению.
Чтобы просмотреть эти сборники запросов, на панели запросов щелкните значок Запросы, а затем выберите Просмотреть все книги запросов.
Примеры запросов ti Defender
Для получения сведений из Defender TI можно использовать множество запросов. В этом разделе перечислены некоторые идеи и примеры.
Общие сведения о тенденциях аналитики угроз
Получите аналитику угроз из статей об угрозах и злоумышленниках.
Примеры запросов :
- Резюмируй последнюю аналитику угроз.
- Покажи мне последние статьи об угрозах.
- Предоставь статьи об угрозах, связанные с программами-шантажистами за последние шесть месяцев.
IP-адрес и контекстная информация об узле в связи с аналитикой угроз
Предоставь сведения о наборах данных, связанных с IP-адресами и узлами, например о портах, оценках репутации, компонентах, сертификатах, файлах cookie, службах и парах узлов.
Примеры запросов :
- Покажи репутацию <имени узла>.
- Предоставь разрешения для <IP-адреса>.
Сопоставь злоумышленника и инфраструктуру
Получите информацию об субъектах угроз, а также о тактиках, методах и процедурах (TTP), спонсируемых государствах, отраслях и связанных с ними IOC.
Примеры запросов :
- Расскажи мне больше о Silk Typhoon.
- Поделитесь информацией о IOC, связанных с Silk Typhoon.
- Поделитесь информацией о TTP, связанных с Silk Typhoon.
- Найдите злоумышленников, связанных с Россией.
Данные об уязвимостях по CVE
Получение контекстной информации и аналитики угроз по распространенным уязвимостям и рискам (CVEs).
Примеры запросов :
- Поделитесь технологиями, которые подвержены уязвимости CVE-2021-44228.
- Резюмируй уязвимость CVE-2021-44228.
- Покажите мне последние CVE.
- Найдите злоумышленников, связанных с CVE-2021-44228.
- Найдите статьи о злоумышленниках, связанных с CVE-2021-44228.
Предоставление отзывов
Ваши отзывы об интеграции Defender TI в Copilot for Security помогают при разработке. Чтобы оставить отзыв, в Copilot выберите Как это ответ? В нижней части каждого завершенного запроса выберите любой из следующих параметров:
- Выглядит правильно. Нажмите эту кнопку, если результаты соответствуют вашей оценке.
- Требуется улучшение. Нажмите эту кнопку, если какие-либо сведения в результатах являются неправильными или неполными в зависимости от оценки.
- Неуместно. Нажмите эту кнопку, если результаты содержат сомнительные, неоднозначные или потенциально опасные сведения.
Для каждой кнопки обратной связи можно указать дополнительные сведения в следующем появившемся диалоговом окне. По возможности и если результат Требуется улучшение, напишите несколько слов, объясняющих, что можно сделать, чтобы улучшить результат. Если вы ввели запросы, специфичные для Defender TI, и результаты не связаны с Defender TI, включите эту информацию.
Конфиденциальность и безопасность данных в Copilot for Security
При взаимодействии с Copilot для безопасности для получения данных Defender TI Copilot извлекает эти данные из Defender TI. Запросы, полученные данные и выходные данные, отображаемые в результатах запросов, обрабатываются и сохраняются в службе Copilot. Дополнительные сведения о конфиденциальности и безопасности данных в Microsoft Copilot для безопасности