Microsoft Copilot для безопасности и Аналитика угроз Microsoft Defender

Важно!

30 июня 2024 г. автономный портал Аналитика угроз Microsoft Defender (Defender TI) (https://ti.defender.microsoft.com) будет прекращен и больше не будет доступен. Клиенты могут продолжать использовать Defender TI на портале Microsoft Defender или с помощью Microsoft Copilot для безопасности. Подробнее

Microsoft Copilot для безопасности — это облачная платформа искусственного интеллекта, которая обеспечивает взаимодействие с естественным языком. Она может помочь специалистам по безопасности в различных сценариях, таких как реагирование на инциденты, поиск угроз и сбор разведывательной информации. Дополнительные сведения о возможностях см. в статье Что такое Microsoft Copilot для безопасности?.

Copilot для безопасности интегрируется с Аналитика угроз Microsoft Defender

Copilot для безопасности предоставляет сведения об субъектах угроз, индикаторах компрометации (IOCs), средствах и уязвимостях, а также контекстной аналитике угроз из Аналитика угроз Microsoft Defender (DEFENDER TI). Вы можете использовать подсказки и книги подсказок для изучения инцидентов, обогащения потоков охоты с помощью информации об угрозах или получения дополнительных знаний о вашей организации или о глобальном ландшафте угроз.

Эта статья знакомит вас с Copilot и содержит примеры запросов, которые могут помочь пользователям Defender TI.

Перед началом работы

• Вы можете использовать возможности Copilot для обнаружения угроз на портале Copilot для безопасности или на портале Microsoft Defender. Дополнительные сведения о Copilot для безопасности интерфейсах

• Будьте ясны и конкретны в своих подсказках. Вы можете получить лучшие результаты, если включить в запросы конкретные имена субъектов угроз или ioCs. Это также может помочь, если вы добавите аналитику угроз в запрос, например:

  • Показать данные аналитики угроз для Aqua Blizzard.
  • Сводные данные аналитики угроз для "malicious.com".

• Будьте конкретными при ссылке на инцидент (например, "инцидент с идентификатором 15324").

• Поэкспериментируйте с различными подсказками и вариантами, чтобы увидеть, что лучше всего подходит для вашего случая использования. Модели искусственного интеллекта в чате различаются, поэтому повторяйте и уточняйте подсказки на основе полученных результатов.

• Copilot для безопасности сохраняет сеансы запроса. Чтобы просмотреть предыдущие сеансы, в меню Copilot Home перейдите в раздел Мои сеансы.

  

  Примечание.

  Пошаговое руководство по Copilot, включая функцию закрепления и общего доступа, см. в статье Навигация Microsoft Copilot для безопасности.

Дополнительные сведения о создании эффективных запросов

Использование Copilot для безопасности автономного портала для получения аналитики угроз

1. Перейдите в Microsoft Copilot для безопасности и войдите с помощью учетных данных.

2. Убедитесь, что подключаемый модуль Defender TI включен. На панели командной строки выберите значок Источники

   

   Во всплывающем окне Управление источниками в разделе Подключаемые модули убедитесь, что переключатель Аналитика угроз Microsoft Defender включен, а затем закройте окно.

   

   Примечание.

   Некоторые роли могут включать или отключать переключатель для подключаемых модулей, таких как Defender TI. Дополнительные сведения см. в статье Управление подключаемыми модулями в Microsoft Copilot для безопасности.

3. Введите запрос на панели запросов.

Встроенные функции системы

Copilot для безопасности имеет встроенные системные функции, которые могут получать данные из различных включенных подключаемых модулей.

Чтобы просмотреть список встроенных системных возможностей для Defender TI, выполните следующие действия:

1. На панели запросов выберите значок "Запросы

   

2. Выберите Просмотреть все возможности системы . В разделе Аналитика угроз Microsoft Defender перечислены все доступные возможности для Defender TI, которые можно использовать.

Copilot также имеет следующие сборники подсказок, которые также предоставляют сведения из Defender TI:

• Профиль субъекта угроз . Создает отчет, профилируя известный субъект угроз, включая предложения по защите от его общих инструментов и тактик.
• Оценка влияния уязвимости — создает отчет, содержащий сводку аналитики для известной уязвимости, включая шаги по ее устранению.

Чтобы просмотреть эти сборники подсказок, на панели запросов щелкните значок Запросы , а затем выберите Просмотреть все книги подсказок.

Примеры запросов для DEFENDER TI

Для получения сведений из DEFENDER TI можно использовать множество запросов. В этом разделе перечислены некоторые идеи и примеры.

Общие сведения о тенденциях аналитики угроз

Получите аналитику угроз из статей об угрозах и субъектов угроз.

Примеры запросов :

• Подведите итог по последней аналитике угроз.
• Покажите мне последние статьи об угрозах.
• Получите статьи об угрозах, связанные с программами-шантажистами за последние шесть месяцев.

IP-адрес и контекстная информация узла в связи с аналитикой угроз

Получите сведения о наборах данных, связанных с IP-адресами и узлами, например о портах, оценках репутации, компонентах, сертификатах, файлах cookie, службах и парах узлов.

Примеры запросов :

• Показать репутацию <имени> узла узла.
• Получение разрешений для IP-адреса IP-адреса<>.

Сопоставление субъектов угроз и инфраструктура

Получите сведения об субъектах угроз и тактике, методах и процедурах (ТПП), спонсируемых штатах, отраслях и связанных с ними МОП.

Примеры запросов :

• Расскажите мне больше о Silk Typhoon.
• Совместное использование операций ввода-вывода, связанных с Silk Typhoon.
• Общий доступ к TTP, связанным с Silk Typhoon.
• Поделиться субъектами угроз, связанными с Россией.

Данные об уязвимостях по CVE

Получение контекстной информации и аналитики угроз по общим уязвимостям и воздействиям (CVEs).

Примеры запросов :

• Поделитесь технологиями, которые подвержены уязвимости CVE-2021-44228.
• Краткое описание уязвимости CVE-2021-44228.
• Покажите мне последние резюме.
• Показать субъекты угроз, связанные с CVE-2021-44228.
• Покажите статьи об угрозах, связанные с CVE-2021-44228.

Предоставление отзывов

Ваш отзыв об интеграции Defender TI с Copilot для безопасности помогает в разработке. Чтобы оставить отзыв, в Copilot выберите Как это ответ? В нижней части каждого завершенного запроса выберите любой из следующих параметров:

• Выглядит правильно . Нажмите эту кнопку, если результаты являются точными на основе вашей оценки.
• Требуется улучшение . Нажмите эту кнопку, если какие-либо сведения в результатах являются неправильными или неполными в зависимости от оценки.
• Неуместно — нажмите эту кнопку, если результаты содержат сомнительные, неоднозначные или потенциально опасные сведения.

Для каждой кнопки обратной связи можно указать дополнительные сведения в следующем появившемся диалоговом окне. Всякий раз, когда это возможно, и когда результат требует улучшения, напишите несколько слов, объясняя, что можно сделать для улучшения результата. Если вы ввели запросы, относящиеся к TI Defender, и результаты не связаны, включите эти сведения.

Использование Microsoft Copilot в Defender для получения аналитики угроз

Copilot для безопасности клиенты получают для каждого из прошедших проверку подлинности пользователей Copilot доступ к Defender TI на портале Microsoft Defender. Чтобы убедиться, что у вас есть доступ к Copilot, ознакомьтесь с Copilot для безопасности сведениями о покупке и лицензировании.

Получив доступ к Copilot для безопасности, ключевые функции, описанные в следующем разделе, станут доступны в следующих разделах аналитики угроз на портале Defender:

• Аналитика угроз
• Профили Intel
• Intel Explorer
• Проекты Intel

Основные возможности

Copilot в Defender предоставляет Copilot для безопасности возможность искать аналитику угроз на портале, позволяя группам безопасности понимать, определять приоритеты и немедленно принимать меры по анализу угроз.

Вы можете спросить об субъекте угроз, кампании атак или любой другой аналитике угроз, о которой вы хотите узнать больше, и Copilot создает ответы на основе отчетов аналитики угроз, профилей и статей Intel, а также другого содержимого DEFENDER TI. Вы также можете выбрать любой из доступных встроенных запросов, которые позволяют выполнять следующие действия:

• Сводка последних угроз, связанных с вашей организацией
• Определение приоритетов , на каких угрозах следует сосредоточиться, в зависимости от максимального уровня уязвимости вашей среды для этих угроз
• Спросите об субъектах угроз, нацеленных на инфраструктуру коммуникаций

Дополнительные сведения об использовании Copilot в Defender для аналитики угроз

Обработка данных и конфиденциальность

При взаимодействии с Copilot для безопасности для получения данных DEFENDER TI Copilot извлекает эти данные из DEFENDER TI. Запросы, полученные данные и выходные данные, показанные в результатах запроса, обрабатываются и хранятся в службе Copilot. Дополнительные сведения о конфиденциальности и безопасности данных в Microsoft Copilot для безопасности

См. также

• Что такое Microsoft Copilot для безопасности?
• Конфиденциальность и безопасность данных в Microsoft Copilot для безопасности
• Использование Microsoft Copilot для безопасности для аналитики угроз