Описание Microsoft Copilot в Microsoft Defender XDR

  • 9 мин

Microsoft Copilot for Security внедрен в XDR в Microsoft Defender, чтобы группы безопасности могли быстро и эффективно исследовать инциденты и реагировать на них. Microsoft Copilot для XDR в Microsoft Defender поддерживает следующие функции.

  • Сводка инцидентов
  • Интерактивные ответы
  • Анализ скриптов
  • Естественный язык для запросов KQL
  • Отчет об инцидентах
  • Анализ файлов
  • Сводка по устройствам

Существуют также некоторые варианты, распространенные во всех этих функциях, включая возможность предоставления отзывов по ответам на запросы и простого перехода к автономному интерфейсу.

Как описано в уроке внедрения, в внедренном интерфейсе Copilot можно напрямую вызывать специальные возможности продукта, обеспечивая эффективность обработки. Тем не более того, чтобы обеспечить доступ к этим функциям Microsoft Copilot для безопасности, подключаемый модуль XDR в Microsoft Defender должен быть включен, и это делается с помощью автономного интерфейса. Дополнительные сведения см. в статье "Описание возможностей, доступных в автономном интерфейсе Microsoft Copilot для безопасности".

Screen capture of the Manage plugins window that highlights the Microsoft Defender XDR plugin.

Сводка инцидентов

Чтобы сразу понять инцидент, вы можете использовать Microsoft Copilot в XDR в Microsoft Defender, чтобы обобщить инцидент для вас. Copilot создает обзор атаки, содержащей важную информацию для вас, чтобы понять, что произошло в атаке, какие ресурсы вовлечены, и временная шкала атаки. Copilot автоматически создает сводку при переходе на страницу инцидента.

Screen capture of Security Copilot embedded experience in Microsoft Defender XDR, showing an incident summary.

Инциденты, содержащие до 100 оповещений, можно объединить в одну сводку по инцидентам. Сводка по инциденту в зависимости от доступности данных включает следующее:

  • Время и дату начала атаки.
  • Объект или актив, с которого началась атака.
  • Сводку временных шкал развертывания атаки.
  • Активы, задействованные в атаке.
  • Индикаторы компрометации (IOC).
  • Имена задействованных субъектов угроз.

Интерактивные ответы

Copilot в XDR в Microsoft Defender использует возможности искусственного интеллекта и машинного обучения для контекстуализации инцидента и изучения предыдущих исследований для создания соответствующих действий реагирования, которые отображаются как интерактивные ответы. Возможности интерактивного реагирования Copilot позволяют группам реагирования на инциденты на всех уровнях уверенно и быстро применять меры реагирования, чтобы устранить инциденты с легкостью.

Служба реагирования по инструкции рекомендует действия в следующих категориях:

  • рассмотрение — включает рекомендацию классифицировать инциденты как информационные, истинноположительные или ложные срабатывания;
  • сдерживание — включает рекомендуемые действия для сдерживания инцидента;
  • исследование — включает рекомендуемые действия для дальнейшего исследования;
  • исправление — включает рекомендуемые действия по реагированию для конкретных сущностей, вовлеченных в инцидент.

Каждая карта содержит сведения о рекомендуемом действии, в том числе о том, почему действие рекомендуется, аналогичные инциденты и многое другое. Например, действие "Просмотр аналогичных инцидентов" становится доступным при наличии других инцидентов в организации, аналогичной текущему инциденту. Группы реагирования на инциденты также могут просматривать сведения о пользователях для действий по исправлению, таких как сброс паролей.

Screen capture showing the information included in a guided response.

Не все инциденты и оповещения предоставляют интерактивные ответы. Интерактивные ответы доступны для таких типов инцидентов, как фишинг, компрометация бизнес-электронной почты и программ-шантажистов.

Анализ скриптов и кодов

Наиболее сложные и изощренные атаки, такие как программы-шантажисты, ускользают от обнаружения множеством способов, включая использование сценариев и PowerShell. Более того, эти сценарии часто запутаны, что усложняет их обнаружение и анализ. Командам по операциям безопасности необходимо быстро проанализировать скрипты и код, чтобы понять свои возможности и применить соответствующую защиту к атакам от дальнейшего прогресса в сети.

Возможность анализа скриптов Copilot в XDR в Microsoft Defender предоставляет командам безопасности добавлена емкость для проверки скриптов и кода без использования внешних средств. Эта возможность также снижает сложность анализа, сводя к минимуму проблемы и позволяя группам безопасности быстро оценить и идентифицировать сценарий как вредоносный или безопасный.

Вы можете получить доступ к возможности анализа скриптов в временная шкала оповещения в инциденте для записи временная шкала, состоящей из скрипта или кода. На следующем рисунке временная шкала отображается запись powershell.exe.

Примечание.

Функции анализа скриптов постоянно разрабатываются. Выполняется анализ скриптов на языках, отличных от PowerShell, пакетов и bash.

Screen capture showing the option to analyze a PowerShell script.

Copilot анализирует скрипт и отображает результаты анализа скрипта карта. Пользователи могут выбрать код Show, чтобы просмотреть определенные строки кода, связанные с анализом. Чтобы скрыть код, пользователям нужно выбрать только скрытие кода.

Screen capture showing the lines of code related to the script analysis.

Создание запросов KQL

Copilot в XDR в Microsoft Defender поставляется с возможностью запроса помощник в расширенной охоте.

Охотники за угрозами или аналитики безопасности, которые еще не знакомы или еще не знакомы с KQL, могут выполнить запрос или задать вопрос на естественном языке (например, получить все оповещения с участием администратора пользователя123). Затем Copilot создает запрос KQL, соответствующий запросу, используя схему данных расширенной охоты.

Эта возможность позволяет сократить время, необходимое для создания запроса охоты с нуля, благодаря чему охотники на угрозы и аналитики безопасности могут сосредоточиться на охоте и исследовании угроз.

Чтобы получить доступ к естественному языку помощник запроса KQL, пользователи с доступом к Copilot выбирают расширенную охоту на левой панели навигации на портале XDR Defender.

Screen capture showing the Copilot query assistant screen embedded in Defender XDR.

Используя панель запроса запроса на поиск угроз, пользователь может запросить запрос на поиск угроз, используя естественный язык, например : "Дайте мне все устройства, которые выполнили вход в течение последних 10 минут".

Screen capture showing the KQL query generated from a natural language request.

Затем пользователь может выбрать выполнение запроса, нажав кнопку "Добавить и запустить". Затем созданный запрос отображается в качестве последнего запроса в редакторе запросов. Чтобы сделать дальнейшие настройки, нажмите кнопку "Добавить в редактор".

Параметр запуска созданного запроса также можно настроить автоматически с помощью значка параметров.

Screen capture showing the option to run the generated query automatically.

Создание отчетов об инцидентах

Полный и четкий отчет об инциденте является важным справочником для групп безопасности и управления операциями безопасности. Однако написание всеобъемлющего отчета с важными сведениями может быть трудоемкой задачей для групп по операциям безопасности, так как она включает сбор, организацию и обобщение сведений об инцидентах из нескольких источников. Теперь команды безопасности могут мгновенно создать обширный отчет об инцидентах на портале.

Используя обработку данных на основе искусственного интеллекта Copilot, команды безопасности могут немедленно создавать отчеты об инцидентах с помощью кнопки в Microsoft Defender XDR.

Хотя сводка по инциденту содержит общие сведения об инциденте и его возникновении, отчет об инциденте объединяет сведения об инцидентах из различных источников данных, доступных в Microsoft Sentinel и Microsoft Defender XDR. Отчет об инциденте также включает все шаги, управляемые аналитиками, и автоматизированные действия, аналитики, участвующие в ответе, и комментарии аналитиков.

Copilot создает отчет об инциденте, содержащий следующие сведения:

  • Основные метки времени управления инцидентами, в том числе:
    • Создание и закрытие инцидентов
    • Первые и последние журналы, независимо от того, был ли журнал управляемым аналитиком или автоматическим, захваченным в инциденте
  • Аналитики, участвующие в реагировании на инциденты.
  • Классификация инцидентов, включая комментарии аналитиков о том, как инцидент был оценен и классифицирован.
  • Действия по расследованию, применяемые аналитиками и отмеченные в журналах инцидентов
  • Действия по исправлению, в том числе:
    • Действия вручную, применяемые аналитиками и отмеченные в журналах инцидентов
    • Автоматические действия, примененные системой, включая сборники схем Microsoft Sentinel, выполнялись и применены действия XDR в Microsoft Defender
  • Выполните такие действия, как рекомендации, открытые проблемы или дальнейшие шаги, отмеченные аналитиками в журналах инцидентов.

Чтобы создать отчет об инциденте, пользователь выбирает отчет о инциденте в правом верхнем углу страницы инцидента или значок на панели Copilot.

Screen capture showing the two options for generating an incident report.

Созданный отчет зависит от сведений об инциденте, доступных от XDR в Microsoft Defender и Microsoft Sentinel. Выбрав многоточие отчета об инциденте карта, пользователь может скопировать отчет в буфер обмена, опубликовать в журнал действий, повторно создать отчет или открыть в автономном интерфейсе Copilot.

Screen capture showing the generated incident report and the drop-down menu of options available by selecting the ellipses.

Анализ файлов

Сложные атаки часто используют файлы, которые имитируют допустимые или системные файлы, чтобы избежать обнаружения. Copilot в XDR в Microsoft Defender позволяет командам безопасности быстро выявлять вредоносные и подозрительные файлы с помощью возможностей анализа файлов с поддержкой искусственного интеллекта.

Существует множество способов доступа к странице с подробным профилем определенного файла. Например, вы можете использовать функцию поиска, выбрать ссылку из дерева процесса генерации оповещений, графа инцидентов, артефактов временная шкала или выбрать событие, указанное в временная шкала устройства.

В этом примере вы перейдете к файлам через граф инцидентов инцидента с затронутыми файлами. График инцидентов показывает полную область атаки, как атака распространилась по сети с течением времени, где она началась, и насколько далеко злоумышленник пошел.

На графике инцидентов выбор файлов отображает параметр просмотра файлов. При выборе файлов представления откроется панель справа от списка затронутых файлов экрана.

Screen capture showing the incident graph of an incident, with files highlighted.

При выборе любого файла отображается обзор сведений о файле и параметр для анализа файла. При выборе "Анализ" откроется анализ файла Copilot.

Screen capture showing the file analyze option and the file analysis output from Copilot.

Сводка устройств

Сводная возможность устройства Copilot в Defender позволяет командам по безопасности получить состояние безопасности устройства, уязвимую информацию о программном обеспечении и любое необычное поведение. Аналитики по безопасности могут использовать сводку устройства для ускорения изучения инцидентов и оповещений.

Существует множество способов доступа к сводке устройств. В этом примере вы перейдете к сводке по устройству на странице ресурсов инцидентов. При выборе вкладки ресурсов для инцидента отображаются все ресурсы. На панели навигации слева выберите "Устройства", а затем выберите определенное имя устройства. На странице обзора, открывающейся справа, можно выбрать Copilot.

Screen capture showing the device summary option from the incident assets page.

Screen capture showing the device summary from Copilot.

Общие функциональные возможности в ключевых функциях

Существуют некоторые варианты, распространенные в функциях Copilot для XDR в Microsoft Defender.

Обратная связь

Как и в автономном режиме, внедренный интерфейс предоставляет пользователям механизм для предоставления отзывов о точности созданного ИИ ответа. Для любого созданного ИИ содержимого можно выбрать запрос обратной связи в правом нижнем углу окна содержимого и выбрать из доступных параметров.

Screen capture of the feedback icon for AI generated content and the three options. The options are confirmed, it looks great, off target, inaccurate, and potentially harmful, inappropriate.

Переход к автономному интерфейсу

Как аналитик с помощью XDR в Microsoft Defender, вы, скорее всего, тратите хорошее время в ЗащитникЕ XDR, поэтому внедренный интерфейс является отличным местом для начала исследования безопасности. В зависимости от того, что вы узнаете, вы можете определить, что требуется более глубокое исследование. В этом сценарии вы можете легко перейти к автономному интерфейсу, чтобы продолжить более подробное кросс-исследование продуктов, которое приносит все возможности Copilot, включенные для вашей роли.

Для содержимого, созданного с помощью встроенного интерфейса, можно легко перейти к автономному интерфейсу. Чтобы перейти к автономному интерфейсу, выберите многоточие в созданном окне содержимого и нажмите кнопку "Открыть в Безопасности Copilot".

Screen capture showing the option to open in Security Copilot, which is available by selecting the ellipses in the AI generated content window.