Резюмирование инцидента с помощью Microsoft Copilot в Microsoft Defender

• Применяется к:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR применяет возможности Copilot для безопасности для резюмирования инцидентов, предоставляя ценную информацию и аналитику для упрощения задач исследования. Исследование атак — это важный шаг для групп реагирования на инциденты, позволяющий успешно защитить организацию от дальнейшего ущерба от киберугроз. Исследования часто могут быть трудоемкими, так как они включают в себя многочисленные шаги. Группам реагирования на инциденты необходимо понять, как произошла атака: разобраться в многочисленных оповещениях, определить, какие активы и организации задействованы, а также оценить масштаб и влияние атаки.

Специалисты по реагированию на инциденты могут легко получить правильный контекст для исследования и устранения инцидентов с помощью возможностей корреляции Defender XDR, а также обработки и контекстуализации данных на базе искусственного интеллекта Copilot для безопасности. Со сводкой об инциденте, сотрудники служб реагирования могут быстро получить важную аналитику, которая поможет в исследовании.

Возможность получения сводки об инциденте доступна на портале Microsoft Defender через лицензию Copilot для безопасности. Эта возможность также доступна в отдельном интерфейсе Copilot для безопасности через подключаемый модуль Microsoft Defender XDR.

В этом руководстве описывается, что следует ожидать и как получить доступ к возможности резюмирования Copilot в Defender, включая сведения о предоставлении отзывов.

Обобщение инцидента

Инциденты, содержащие до 100 оповещений, можно объединить в одну сводку по инцидентам. Сводка по инциденту в зависимости от доступности данных включает следующее:

• Время и дату начала атаки.
• Объект или актив, с которого началась атака.
• Сводку временных шкал развертывания атаки.
• Активы, задействованные в атаке.
• Индикаторы компрометации (IoC).
• Имена задействованных субъектов угроз.

Для обобщения инцидента сделайте следующее:

1. Откройте страницу инцидента. Copilot автоматически создает сводку по инциденту при открытии страницы. Вы можете остановить создание сводки, нажав Отмена или перезапустить создание, выбрав Создать заново.

2. Сводная карточка инцидента загружается в области Copilot. Просмотрите созданную сводку на карточке.

   

   Совет

   Вы можете перейти к файлу, IP-адресу или странице URL-адреса из области результатов Copilot, щелкнув свидетельство в результатах.

3. Выберите многоточие Другие действия (...) в верхней части сводной карточки инцидента, чтобы скопировать или повторно создать сводку или просмотреть сводку на портале Copilot для безопасности. При выборе Открыть в Copilot для безопасности открывается новая вкладка отдельного портала Copilot для безопасности, где можно вводить запросы и получать доступ к другим подключаемым модулям.

   

4. Просмотрите сводку и используйте информацию для направления исследования и реагирования на инцидент. Вы можете оставить отзыв о сводке, нажав значок обратной связи в нижней части панели Copilot.

См. также

• Выполнение анализа сценариев
• Анализ файлов
• Генерация сводки по устройству
• Используйте управляемые ответы при реагировании на угрозы
• Создание запросов KQL
• Создание отчетов об инцидентах
• Начало работы с Microsoft Copilot для безопасности
• Сведения о других внедренных интерфейсах Copilot для безопасности
• Дополнительные сведения о предустановленных подключаемых модулях в Copilot для безопасности
• Исследование инцидентов в Microsoft Defender XDR

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.