Microsoft Copilot i Microsoft Defender

  • Artikel

Gäller för:

  • Microsoft Defender XDR
  • Microsoft Defender SOC-plattform (Unified Security Operations Center)

Microsoft Copilot for Security sammanför kraften i AI och mänsklig expertis för att hjälpa säkerhetsteam att reagera på attacker snabbare och mer effektivt. Copilot for Security är inbäddat i Microsoft Defender-portalen för att säkerhetsteam effektivt ska kunna sammanfatta incidenter, analysera skript och koder, analysera filer, sammanfatta enhetsinformation, använda guidade svar för att lösa incidenter, generera KQL-frågor, skapa incidentrapporter.

Den här artikeln innehåller en översikt över användare av Copilot i Defender, inklusive steg för åtkomst, viktiga funktioner och länkar till information om dessa funktioner.

Få åtkomst till Copilot i Defender

För att säkerställa att du har åtkomst till Copilot i Defender kan du läsa Copilot for Security inköps- och licensinformation. När du har åtkomst till Copilot for Security blir de viktigaste funktionerna som beskrivs nedan tillgängliga i Microsoft Defender-portalen.

Undersöka och svara på incidenter som en expert

Gör det möjligt för säkerhetsteam att hantera attackutredningar i tid med lätthet och precision. Copilot hjälper team att förstå attacker omedelbart, snabbt analysera misstänkta filer och skript och snabbt utvärdera och tillämpa lämplig åtgärd för att stoppa och begränsa attacker.

Sammanfatta incidenter snabbt

Det kan vara utmanande att undersöka incidenter med flera varningar. Om du vill förstå en incident direkt kan du trycka på Copilot för att sammanfatta en incident åt dig. Copilot skapar en översikt över attacken som innehåller viktig information för att du ska förstå vad som hände i attacken, vilka tillgångar som är inblandade och tidslinjen för attacken. Copilot skapar automatiskt en sammanfattning när du navigerar till en incident sida.

Skärmbild av kortet incidentsammanfattning i Copilot-fönstret som visas på sidan Microsoft Defender incident.

Vidta åtgärder för incidenter via guidade svar

Att lösa incidenter kräver att analytiker har en förståelse för en attack för att veta vilka lösningar som är lämpliga. Copilot rekommenderar lösningar via guidade svar som är specifika för varje incident.

Skärmbild som visar Copilot-fönstret med de guidade svaren på sidan Microsoft Defender incident.

Kör skriptanalys enkelt

De flesta angripare förlitar sig på avancerad skadlig kod när de startar attacker för att undvika identifiering och analys. Den här skadliga koden är vanligtvis dold och kan vara i form av skript eller kommandorader i PowerShell. Copilot kan snabbt analysera skript, vilket minskar tiden för undersökning.

Skärmbild som visar knappen för skriptanalys i vyn attackberättelse på incidentsidan.

Skapa enhetssammanfattningar

Att undersöka enheter som är inblandade i incidenter kan vara ett uppgiftsjobb. För att snabbt utvärdera en enhet kan Copilot sammanfatta en enhets information, inklusive enhetens säkerhetsstatus, ovanliga beteenden, en lista över sårbara program och relevant Microsoft Intune information.

Skärmbild av enhetssammanfattningen resulterar i Copilot i Defender.

Analysera filer snabbt

Copilot hjälper säkerhetsteam att snabbt utvärdera och förstå misstänkta filer med filanalys. Copilot innehåller en filsammanfattning, inklusive identifieringsinformation, relaterade filcertifikat, en lista över API-anrop och strängar som finns i filen.

Skärmbild av filanalysresultatet i Copilot i Defender med alternativet Dölj information markerat.

Skriva incidentrapporter effektivt

Säkerhetsteam skriver vanligtvis rapporter för att registrera viktig information, bland annat vilka svarsåtgärder som vidtogs och deras resultat, de berörda teammedlemmarna och annan information som underlättar framtida säkerhetsbeslut och inlärning. Ofta kan det vara tidskrävande att dokumentera incidenter. För att incidentrapporter ska vara effektiva måste de innehålla en sammanfattning av incidenten tillsammans med de åtgärder som vidtagits, inklusive vilka åtgärder som vidtagits av vem och när. Copilot genererar en incidentrapport genom att snabbt konsolidera dessa uppgifter.

Skärmbild av incidentrapportkortet på incidentsidan som visar den övre halvan av kortet.

Jaga som ett proffs

Copilot i Defender hjälper säkerhetsteamen att proaktivt jaga hot i nätverket genom att snabbt skapa lämpliga KQL-frågor.

Generera KQL-frågor från indata på naturligt språk

Säkerhetsteam som använder avancerad jakt för att proaktivt söka efter hot i sitt nätverk kan nu använda en frågeassistent som konverterar frågor på naturligt språk i samband med hotjakt till en färdig KQL-fråga. Frågeassistenten sparar tid för säkerhetsteam genom att generera en KQL-fråga som sedan kan köras automatiskt eller justeras ytterligare enligt analytikerns behov. Läs mer om frågan assistent i Copilot for Security i avancerad jakt.

Skärmbild av Copilot-fönstret i avancerad jakt.

Skydda din organisation med relevant hotinformation

Ge säkerhetsorganisationen möjlighet att fatta välgrundade beslut med den senaste hotinformationen. Copilot konsoliderar och sammanfattar hotinformation för att hjälpa säkerhetsteam att prioritera och reagera effektivt på hot.

Övervaka hotinformation

Be Copilot att sammanfatta relevanta hot som påverkar din miljö, att prioritera att lösa hot baserat på dina exponeringsnivåer eller att hitta hotaktörer som kan rikta in sig på din bransch. Läs mer om Copilot for Security i hotinformation.

Skärmbild av Copilot-fönstret i hotinformation i Defender XDR.

Datasäkerhet och feedback i Copilot

Copilot utvecklas kontinuerligt med hjälp av data som lagras, bearbetas och delas beroende på de inställningar som administratören har definierat. Microsoft ser till att dina data alltid skyddas och skyddas när du använder Copilot. Mer information om datasäkerhet och sekretess i Copilot finns i Sekretess och datasäkerhet i Copilot.

På grund av dess fortsatta utveckling kan Copilot missa vissa saker. Genom att granska och ge feedback om resultaten kan du förbättra Copilots framtida svar.

Alla Copilot i Defender-funktioner har ett alternativ för att ge feedback. Utför följande steg om du vill ge feedback:

  1. Välj feedbackikonen Skärmbild av feedbackikonen för Copilot i Defender-kort längst ned på resultatkortet i Copilot-sidopanelen.
  2. Välj alternativet för att det är bekräftat och ser bra ut om resultatet är korrekt baserat på din utvärdering. Du kan ange mer information i nästa dialogruta.
  3. Välj alternativet för att det är utanför målet och felaktigt om någon information är felaktig eller ofullständig baserat på din utvärdering. Du kan ange mer information om din utvärdering i nästa dialogruta och skicka den här utvärderingen till Microsoft.
  4. Du kan också rapportera resultatet om det innehåller tvivelaktig eller tvetydig information genom att välja alternativet för att det är potentiellt skadligt och olämpligt. Ange mer information om resultatet i nästa dialogruta och välj att skicka in det.

Plugin-program i Copilot for Security

Copilot använder förinstallerade Microsoft-plugin-program som Microsoft Defender XDR, Defender Threat Intelligence och Natural Language till KQL för Microsoft Sentinel och Defender XDR plugin-program för att generera relevant information, ge mer kontext till incidenter och generera mer exakta resultat. Se till att plugin-program är aktiverade i Copilot för att tillåta åtkomst till relevanta data och generera begärt innehåll från andra Microsoft-tjänster i din organisation.

Nästa steg

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.