อธิบาย Copilot ใน Microsoft Defender XDR

  • 10 นาที

Microsoft Security Copilot ฝังอยู่ในพอร์ทัล Microsoft Defender เพื่อให้ทีมรักษาความปลอดภัยสามารถตรวจสอบและตอบสนองต่อเหตุการณ์ ตามล่าหาภัยคุกคาม และปกป้ององค์กรของตนได้อย่างรวดเร็วและมีประสิทธิภาพ

วิดีโอสั้น ๆ ต่อไปนี้แสดงความสามารถบางอย่างของ Copilot ที่ฝังอยู่ใน Microsoft Defender และวิธีที่ความสามารถเหล่านี้สามารถช่วยให้นักวิเคราะห์ความปลอดภัยมีประสิทธิผลมากขึ้น

หมายเหตุ

รายการความสามารถของ Copilot ที่ฝังอยู่ใน Microsoft Defender มีการเติบโตอย่างต่อเนื่อง หน่วยนี้เป็นเพียงการสุ่มตัวอย่างของความสามารถของ Copilot เหล่านั้น สําหรับข้อมูลเพิ่มเติม โปรดดูเอกสารประกอบเกี่ยวกับ Microsoft Security Copilot ใน Microsoft Defender

นอกจากนี้ยังมีตัวเลือกบางอย่างที่พบได้ทั่วไปในคุณลักษณะเหล่านี้รวมถึงความสามารถในการให้คําติชมเกี่ยวกับการตอบสนองที่รวดเร็วและย้ายไปยังประสบการณ์แบบสแตนด์อโลนได้อย่างราบรื่น

ตามที่อธิบายไว้ในบทนําหน่วยในประสบการณ์การฝังตัว Copilot สามารถเรียกใช้ความสามารถเฉพาะของผลิตภัณฑ์ได้โดยตรงซึ่งมีประสิทธิภาพในการประมวลผล เพื่อให้แน่ใจว่าสามารถเข้าถึงคุณลักษณะ Microsoft Security Copilot เหล่านี้ ปลั๊กอิน Microsoft Defender XDR จําเป็นต้องเปิดใช้งาน และทําได้ผ่านประสบการณ์แบบสแตนด์อโลน หากต้องการเรียนรู้เพิ่มเติม โปรดดูที่ การอธิบายคุณลักษณะที่พร้อมใช้งานในประสบการณ์แบบสแตนด์อโลนของ Microsoft Security Copilot

การจับภาพหน้าจอของหน้าต่างจัดการปลั๊กอินที่เน้นปลั๊กอิน Microsoft Defender XDR

สรุปเหตุการณ์

Copilot จะสร้างข้อมูลสรุปโดยอัตโนมัติเมื่อคุณไปที่หน้าของเหตุการณ์ โดยให้ภาพรวมของการโจมตีที่มีข้อมูลสําคัญ รวมถึงสิ่งที่เกิดขึ้น สินทรัพย์ใดที่เกี่ยวข้อง ไทม์ไลน์ของการโจมตี ตัวบ่งชี้การประนีประนอม (IOC) และชื่อของผู้คุกคามที่เกี่ยวข้อง เหตุการณ์ที่มีการแจ้งเตือนสูงสุด 100 รายการสามารถสรุปเป็นข้อสรุปเหตุการณ์เดียวได้

การจับภาพหน้าจอของประสบการณ์การใช้งานแบบฝังตัวของ Security Copilot ใน Microsoft Defender XDR แสดงสรุปเหตุการณ์

Copilot ยังแนะนําข้อความแจ้งติดตามผลเกี่ยวกับข้อมูลประจําตัว อุปกรณ์ และที่อยู่ IP ที่เกี่ยวข้อง เพื่อช่วยให้คุณเข้าใจทรัพย์สินที่เกี่ยวข้องและวิธีดําเนินการ

การตอบกลับที่แนะนํา

Copilot ใช้ AI และการเรียนรู้ของเครื่องเพื่อปรับบริบทของเหตุการณ์และเรียนรู้จากการสืบสวนก่อนหน้านี้เพื่อสร้างการดําเนินการตอบสนองที่เหมาะสม การตอบกลับที่แนะนําแนะนําการดําเนินการในหมวดหมู่ต่อไปนี้:

  • การคัดกรอง - รวมถึงคําแนะนําในการจําแนกเหตุการณ์เป็นข้อมูล ผลบวกจริง หรือผลบวกปลอม
  • การกักกัน - รวมถึงการดําเนินการที่แนะนําเพื่อยับยั้งเหตุการณ์
  • การสืบสวน - รวมถึงการดําเนินการที่แนะนําสําหรับการตรวจสอบเพิ่มเติม
  • การแก้ไข - รวมถึงการดําเนินการตอบสนองที่แนะนําเพื่อนําไปใช้กับหน่วยงานเฉพาะที่เกี่ยวข้องกับเหตุการณ์

สกรีนช็อตแสดงข้อมูลที่รวมอยู่ในการตอบกลับแบบให้คําแนะนํา

การ์ดแต่ละใบมีข้อมูลเกี่ยวกับการดําเนินการที่แนะนํา รวมถึงเหตุผลที่แนะนําให้ดําเนินการ ผู้ดูแลระบบยังสามารถอัปโหลดแนวทางการตอบสนองเฉพาะองค์กรเพื่อปรับแต่งคําแนะนําให้เหมาะกับสภาพแวดล้อมของตน การตอบกลับพร้อมคําแนะนําจะพร้อมใช้งานสําหรับเหตุการณ์ประเภทต่างๆ เช่น ฟิชชิ่ง การส่งผลต่ออีเมลทางธุรกิจ และแรนซัมแวร์

การวิเคราะห์สคริปต์และบรรทัดคําสั่ง

การโจมตีที่ซับซ้อนมักจะหลบเลี่ยงการตรวจจับโดยใช้สคริปต์และบรรทัดคําสั่งที่สับสน ความสามารถในการวิเคราะห์สคริปต์ช่วยให้ทีมรักษาความปลอดภัยสามารถตรวจสอบสคริปต์และโค้ดได้โดยไม่ต้องใช้เครื่องมือภายนอก และประเมินได้อย่างรวดเร็วว่าสคริปต์นั้นเป็นอันตรายหรือไม่เป็นอันตราย

การจับภาพหน้าจอแสดงตัวเลือกในการวิเคราะห์สคริปต์ PowerShell

Copilot วิเคราะห์สคริปต์และแสดงผลลัพธ์ในการ์ดการวิเคราะห์สคริปต์ รวมถึงคําอธิบายภาษาธรรมดาว่าสคริปต์ทําอะไร ไม่ว่าจะเป็นอันตรายหรือไม่ และ MITRE ATT& เทคนิค CK ที่ใช้ ผู้ใช้สามารถเลือก แสดงโค้ด เพื่อดูบรรทัดโค้ดเฉพาะที่เกี่ยวข้องกับการวิเคราะห์ คุณสามารถเข้าถึงการวิเคราะห์สคริปต์ในไทม์ไลน์การแจ้งเตือนภายในเหตุการณ์ สําหรับรายการไทม์ไลน์ที่ประกอบด้วยสคริปต์หรือโค้ด

การจับภาพหน้าจอแสดงบรรทัดของรหัสที่เกี่ยวข้องกับการวิเคราะห์สคริปต์

หมายเหตุ

ฟังก์ชันการวิเคราะห์สคริปต์อยู่ในการพัฒนาอย่างต่อเนื่อง การวิเคราะห์สคริปต์ในภาษาอื่นนอกเหนือจาก PowerShell ชุดงาน และแบชจะถูกประเมิน

สร้างคิวรี KQL

Copilot ใน Microsoft Defender มีความสามารถของผู้ช่วยคิวรีในการล่าสัตว์ขั้นสูงที่แปลงคําถามภาษาธรรมชาติให้เป็นคิวรี KQL ที่พร้อมใช้งาน คุณลักษณะนี้ช่วยลดเวลาที่ใช้ในการเขียนคําค้นหาการล่าสัตว์ตั้งแต่เริ่มต้น ทําให้นักล่าภัยคุกคามและนักวิเคราะห์ความปลอดภัยสามารถมุ่งเน้นไปที่การล่าและตรวจสอบภัยคุกคามได้

การจับภาพหน้าจอแสดงคิวรี KQL ที่สร้างขึ้นจากคําขอภาษาธรรมชาติ

เมื่อใช้แถบพร้อมท์ นักวิเคราะห์สามารถขอคําค้นหาการไล่ล่าภัยคุกคามโดยใช้ภาษาธรรมชาติ เช่น "ให้อุปกรณ์ทั้งหมดที่ลงชื่อเข้าใช้ภายใน 10 นาทีที่ผ่านมาแก่ฉัน" จากนั้นคิวรีที่สร้างขึ้นสามารถเรียกใช้โดยอัตโนมัติ เพิ่มลงในตัวแก้ไขคิวรีเพื่อปรับแต่งเพิ่มเติม หรือคัดลอกเพื่อใช้ที่อื่น

สร้างรายงานเหตุการณ์

Copilot ช่วยให้ทีมรักษาความปลอดภัยสามารถสร้างรายงานเหตุการณ์ที่ครอบคลุมภายในพอร์ทัลได้ทันที แม้ว่าสรุปเหตุการณ์จะให้ภาพรวมของสิ่งที่เกิดขึ้น แต่รายงานเหตุการณ์จะรวมข้อมูลเหตุการณ์จากแหล่งข้อมูลต่างๆ ที่มีอยู่ใน Microsoft Sentinel และ Microsoft Defender XDR

รายงานเหตุการณ์ประกอบด้วยการประทับเวลาสําหรับการดําเนินการจัดการที่สําคัญนักวิเคราะห์ที่เกี่ยวข้องการจําแนกเหตุการณ์ด้วยความคิดเห็นของนักวิเคราะห์การดําเนินการสืบสวนและการแก้ไข (ทั้งแบบแมนนวลและแบบอัตโนมัติรวมถึงคู่มือ Microsoft Sentinel) และการดําเนินการติดตามผลที่นักวิเคราะห์บันทึกไว้

การจับภาพหน้าจอแสดงรายงานเหตุการณ์ที่สร้างขึ้นและเมนูดรอปดาวน์ของตัวเลือกที่พร้อมใช้งานโดยการเลือกจุดไข่ปลา

วิเคราะห์ไฟล์

Copilot ช่วยให้ทีมรักษาความปลอดภัยสามารถระบุไฟล์ที่เป็นอันตรายและน่าสงสัยได้อย่างรวดเร็วผ่านความสามารถในการวิเคราะห์ไฟล์ที่ขับเคลื่อนด้วย AI เมื่อนักวิเคราะห์เปิดหน้าไฟล์ Copilot สามารถสร้างข้อมูลสรุปที่มีข้อมูลการตรวจจับ ใบรับรองไฟล์ที่เกี่ยวข้อง รายการการเรียก API และสตริงที่พบในไฟล์ ไฟล์สามารถเข้าถึงได้จากแท็บหลักฐานและการตอบสนองของเหตุการณ์ กราฟเหตุการณ์ หรือคุณสมบัติการค้นหา

สรุปอุปกรณ์และข้อมูลประจําตัว

Copilot ใน Defender สามารถสร้างข้อมูลสรุปสําหรับอุปกรณ์และข้อมูลประจําตัวเพื่อช่วยให้ทีมรักษาความปลอดภัยประเมินเสถียรภาพการรักษาความปลอดภัยได้อย่างรวดเร็วในระหว่างการสืบสวน

สรุปอุปกรณ์ รวมถึงเสถียรภาพการรักษาความปลอดภัยของอุปกรณ์พร้อมข้อมูลเกี่ยวกับสถานะของความสามารถในการป้องกัน เช่น การลดพื้นผิวการโจมตีและการป้องกันการงัดแงะ กิจกรรมที่ผิดปกติของผู้ใช้ รายการซอฟต์แวร์ที่มีช่องโหว่ การตั้งค่าไฟร์วอลล์ และข้อมูล Microsoft Intune ที่เกี่ยวข้อง

สรุปข้อมูลประจําตัว ให้ภาพรวมตามบริบทของข้อมูลประจําตัวของผู้ใช้ รวมถึงวันที่สร้างบัญชี ระดับความสําคัญ การเปลี่ยนแปลงบทบาทและบทบาท พฤติกรรมและรูปแบบการลงชื่อเข้าใช้ วิธีการรับรองความถูกต้อง ความเสี่ยงจาก Microsoft Entra ID และข้อมูลติดต่อ

ข่าวกรองภัยคุกคาม

Copilot ฝังอยู่ในส่วนข่าวกรองภัยคุกคามของพอร์ทัล Microsoft Defender ซึ่งช่วยให้ทีมรักษาความปลอดภัยตัดสินใจได้อย่างชาญฉลาดโดยการรวมและสรุปข้อมูลข่าวกรองภัยคุกคาม คุณสามารถขอให้ Copilot สรุปภัยคุกคามที่เกี่ยวข้องที่ส่งผลกระทบต่อสภาพแวดล้อมของคุณ จัดลําดับความสําคัญของภัยคุกคามตามระดับการเปิดเผยขององค์กร หรือค้นหาผู้คุกคามที่อาจกําหนดเป้าหมายอุตสาหกรรมของคุณ Copilot ใช้ปลั๊กอิน Microsoft Defender Threat Intelligence เพื่อแสดงสรุปรายงานการวิเคราะห์ภัยคุกคาม โปรไฟล์ Intel และการเปิดเผยช่องโหว่ ทั้งหมดนี้เป็นภาษาธรรมชาติ

ฟังก์ชันการทํางานทั่วไปในคุณลักษณะหลักต่างๆ

มีตัวเลือกบางอย่างที่พบได้ทั่วไปในคุณลักษณะของ Copilot สําหรับ Microsoft Defender

การแสดงความคิดเห็น

เช่นเดียวกับประสบการณ์แบบสแตนด์อโลน ประสบการณ์แบบฝังตัวช่วยให้ผู้ใช้มีกลไกในการให้ข้อเสนอแนะเกี่ยวกับความถูกต้องของการตอบสนองที่สร้างโดย AI สําหรับเนื้อหาที่สร้างโดย AI คุณสามารถเลือกข้อความแจ้งความคิดเห็นที่ด้านล่างขวาของหน้าต่างเนื้อหา และเลือกจากตัวเลือกที่มี

การจับภาพหน้าจอของไอคอนคําติชมสําหรับเนื้อหาที่ AI สร้างขึ้นและตัวเลือกสามรายการ ตัวเลือกได้รับการยืนยันแล้วมันดูดีนอกเป้าหมายไม่ถูกต้องและอาจเป็นอันตรายไม่เหมาะสม

ย้ายไปยังประสบการณ์แบบสแตนด์อโลน

ผู้ตรวจสอบที่เริ่มต้นในพอร์ทัล Defender สามารถเปลี่ยนไปใช้ประสบการณ์แบบสแตนด์อโลนได้อย่างง่ายดายสําหรับการตรวจสอบข้ามผลิตภัณฑ์ที่มีรายละเอียดมากขึ้น ซึ่งนําความสามารถทั้งหมดของ Copilot ที่เปิดใช้งานสําหรับบทบาทของตน หากต้องการย้ายไปยังประสบการณ์แบบสแตนด์อโลน ให้เลือกจุดไข่ปลาภายในหน้าต่างเนื้อหาที่สร้างขึ้น จากนั้นเลือก เปิดในตัวนําร่องความปลอดภัย

การจับภาพหน้าจอแสดงตัวเลือกเพื่อเปิดใน Security Copilot ซึ่งพร้อมใช้งานโดยการเลือกจุดไข่ปลาในหน้าต่างเนื้อหาที่สร้างขึ้นโดย AI