在 Microsoft Defender 中使用 Microsoft Copilot 的引导式响应对事件进行分级和调查

适用于：

• Microsoft Defender XDR
• Microsoft Defender 统一安全运营中心 (SOC) 平台

Microsoft Defender 门户中的 Microsoft 安全 Copilot 支持事件响应团队通过引导式响应立即解决事件。 Defender 中的 Copilot 使用 AI 和机器学习功能将事件上下文化，并从以前的调查中学习，以生成适当的响应操作。

响应 Microsoft Defender 门户中的事件通常需要熟悉门户的可用操作来阻止攻击。 此外，新的事件响应者可能对在何处以及如何开始响应事件有不同想法。 Defender 中的 Copilot 的引导式响应功能使各级事件响应团队能够自信地快速应用响应操作来轻松解决事件。

通过安全 Copilot 许可证，可以在 Microsoft Defender 门户中使用引导式响应。 通过 Defender XDR 插件，安全 Copilot 独立体验中也提供引导式响应。

本指南概述了如何访问引导式响应功能，包括有关提供有关响应的反馈的信息。

应用引导式响应以解决事件

引导式响应推荐以下类别的操作:

• 会审 - 包括将事件分类为信息性、真正或误报的建议
• 包含 - 包括用于包含事件的建议操作
• 调查 - 包括进一步调查的建议操作
• 修正 - 包括建议的响应操作，以应用于事件中涉及的特定实体

每个卡片都包含有关建议操作的信息，包括需要应用的操作的实体以及建议操作的原因。 这些卡片还强调自动调查（如攻击中断或自动调查响应）何时执行了建议的操作。

可根据每张卡片的可用状态对引导式响应卡片进行排序。 通过单击“状态”并选择要查看的相应状态，可以在查看引导式响应时选择某特定状态。 默认情况下，无论状态如何，都会显示所有引导式响应卡片。

若要使用引导式响应，请执行以下步骤:

1. 打开事件页面。 Copilot 在打开事件页时会自动生成引导式响应。 “Copilot”窗格会显示在事件页面的右侧，其中显示了引导式响应卡片。

   

2. 在应用建议之前，请查看每张卡片。 选择响应卡片顶部的“更多操作”省略号(...)，以查看每个建议可用的选项。 下面是一些示例。

   

   

3. 若要应用操作，请选择在每个卡片上找到的所需操作。 每个卡片上的引导式响应操作会根据事件类型和涉及的特定实体进行定制。

   

4. 可以向每个响应卡提供反馈，以持续增强 Copilot 将来的响应。 若要提供反馈，请选择反馈图标 。

注意

灰显操作按钮表示这些操作受你的权限限制。 有关详细信息，请参阅统一的基于角色的访问(RBAC)权限页面。

Copilot 可帮助加快分析师的调查任务。 当事件需要对用户活动进行进一步调查时，Copilot 会建议分析人员可用于与用户通信的文本。 引导式响应卡包括 Teams 中的“联系人用户” 或“ 复制到剪贴板 ”操作，用于将建议的文本复制到剪贴板。 然后，分析人员可以将文本粘贴到电子邮件或其他通信工具中。 分析师还可以通过 “查看 用户”操作获取更多有关用户的上下文。

Copilot 还支持事件响应团队，使分析师能够获取有关响应操作的更多上下文和更多见解。 对于修正响应，事件响应团队可以使用“查看类似事件”或“查看类似电子邮件”等选项查看其他信息。

当组织中存在与当前事件类似的其他事件时，“查看类似事件”操作将变为可用。 “类似事件”选项卡列出了可查看的类似事件。 Microsoft Defender 通过机器学习自动识别组织内的类似事件。 事件响应团队可以使用这些类似事件中的信息对事件进行分类，并进一步查看在这些类似事件中执行的操作。

“查看类似电子邮件”操作(特定于网络钓鱼事件)会将你转到“高级搜寻”页面，其中会自动生成 KQL 查询以列出组织中类似的电子邮件。 与事件相关的这种自动查询生成可帮助事件响应团队进一步调查可能与事件相关的其他电子邮件。 你可以查看查询并根据需要对其进行修改。

另请参阅

• 汇总事件
• 分析文件
• 运行脚本分析
• 创建事件报告
• 生成 KQL 查询
• Microsoft 安全 Copilot 入门
• 了解其他 Microsoft 安全 Copilot 嵌入式体验
• 详细了解安全 Copilot 中的预安装插件

提示

想要了解更多信息？ 请在我们的技术社区中与 Microsoft 安全社区互动：Microsoft Defender XDR 技术社区。