Резюмирование инцидента с помощью Microsoft Copilot в Microsoft Defender
Microsoft Defender XDR применяет возможности Copilot для безопасности для резюмирования инцидентов, предоставляя ценную информацию и аналитику для упрощения задач исследования. Исследование атак — это важный шаг для групп реагирования на инциденты, позволяющий успешно защитить организацию от дальнейшего ущерба от киберугроз. Исследования часто могут быть трудоемкими, так как они включают в себя многочисленные шаги. Группам реагирования на инциденты необходимо понять, как произошла атака: разобраться в многочисленных оповещениях, определить, какие активы и организации задействованы, а также оценить масштаб и влияние атаки.
Специалисты по реагированию на инциденты могут легко получить правильный контекст для исследования и устранения инцидентов с помощью возможностей корреляции Defender XDR, а также обработки и контекстуализации данных на базе искусственного интеллекта Copilot для безопасности. Со сводкой об инциденте, сотрудники служб реагирования могут быстро получить важную аналитику, которая поможет в исследовании.
Возможность получения сводки об инциденте доступна на портале Microsoft Defender через лицензию Copilot для безопасности. Эта возможность также доступна в отдельном интерфейсе Copilot для безопасности через подключаемый модуль Microsoft Defender XDR.
В этом руководстве описывается, что следует ожидать и как получить доступ к возможности резюмирования Copilot в Defender, включая сведения о предоставлении отзывов.
Обобщение инцидента
Инциденты, содержащие до 100 оповещений, можно объединить в одну сводку по инцидентам. Сводка по инциденту в зависимости от доступности данных включает следующее:
- Время и дату начала атаки.
- Объект или актив, с которого началась атака.
- Сводку временных шкал развертывания атаки.
- Активы, задействованные в атаке.
- Индикаторы компрометации (IoC).
- Имена задействованных субъектов угроз.
Для обобщения инцидента сделайте следующее:
Откройте страницу инцидента. Copilot автоматически создает сводку по инциденту при открытии страницы. Вы можете остановить создание сводки, нажав Отмена или перезапустить создание, выбрав Создать заново.
Сводная карточка инцидента загружается в области Copilot. Просмотрите созданную сводку на карточке.
Совет
Вы можете перейти к файлу, IP-адресу или странице URL-адреса из области результатов Copilot, щелкнув свидетельство в результатах.
Выберите многоточие Другие действия (...) в верхней части сводной карточки инцидента, чтобы скопировать или повторно создать сводку или просмотреть сводку на портале Copilot для безопасности. При выборе Открыть в Copilot для безопасности открывается новая вкладка отдельного портала Copilot для безопасности, где можно вводить запросы и получать доступ к другим подключаемым модулям.
Просмотрите сводку и используйте информацию для направления исследования и реагирования на инцидент. Вы можете оставить отзыв о сводке, нажав значок обратной связи в нижней части панели Copilot.
См. также
- Выполнение анализа сценариев
- Анализ файлов
- Генерация сводки по устройству
- Используйте управляемые ответы при реагировании на угрозы
- Создание запросов KQL
- Создание отчетов об инцидентах
- Начало работы с Microsoft Copilot для безопасности
- Сведения о других внедренных интерфейсах Copilot для безопасности
- Дополнительные сведения о предустановленных подключаемых модулях в Copilot для безопасности
- Исследование инцидентов в Microsoft Defender XDR
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.