在 Microsoft Defender 中使用 Microsoft Copilot 汇总事件

适用于：

• Microsoft Defender XDR
• Microsoft Defender 统一安全运营中心 (SOC) 平台

Microsoft Defender XDR 应用 Copilot for Security 的功能来汇总事件，提供有影响力的信息和见解来简化调查任务。 事件响应团队要成功保护组织免受网络威胁的进一步损害，攻击调查是关键的一步。 调查通常很耗时，因为它涉及许多步骤。 事件响应团队需要了解攻击是如何发生的：整理大量警报，确定涉及到哪些资产和实体，并评估攻击的范围和影响。

事件响应者可以通过 Defender XDR 的相关功能和 Copilot for Security 的 AI 支持数据处理和上下文化，轻松获取正确的上下文来调查和修正事件。 通过事件摘要，响应者可以快速获取重要信息来帮助推进调查。

事件摘要功能通过 Copilot for Security 许可证在 Microsoft Defender 门户中提供。 此功能也可通过 Microsoft Defender XDR 插件在 Copilot for Security 独立体验中使用。

本指南概述了预期内容以及如何在 Defender 中访问 Copilot 的汇总功能，包括有关提供反馈的信息。

汇总事件

包含最多 100 个警报的事件可以汇总到一个事件摘要中。 根据数据的可用性，事件摘要包括以下信息：

• 攻击开始的时间和日期。
• 发起攻击的实体或资产。
• 关于攻击如何展开的时间表摘要。
• 攻击所涉及的资产。
• IoC) (入侵指标。
• 涉及的威胁行动者的名称。

若要汇总事件，请执行以下步骤：

1. 打开事件页面。 Copilot 在打开页面时自动创建事件摘要。 可选择“取消”来停止创建摘要，选择“重新生成”来重新开始创建。

2. 事件摘要卡在 Copilot 窗格中加载。 在卡片上查看生成的摘要。

   

   提示

   可以通过单击结果中的证据，从 Copilot 结果窗格导航到文件、IP 或 URL 页。

3. 选择事件摘要卡顶部的“ 更多操作 ”省略号 (...) 以复制或重新生成摘要，或在 Copilot for Security 门户中查看摘要。 选择“ 在 Copilot for Security 中打开 ”将打开一个新选项卡，转到 Copilot for Security 独立门户，可在其中输入提示并访问其他插件。

   

4. 查看摘要并使用信息来指导事件的调查和响应。 可以通过选择反馈图标“Copilot”窗格底部的 来提供有关摘要的反馈。

另请参阅

• 运行脚本分析
• 分析文件
• 生成设备摘要
• 响应威胁时使用引导式响应
• 生成 KQL 查询
• 创建事件报告
• Microsoft 安全 Copilot 入门
• 了解其他 Copilot for Security 嵌入式体验
• 详细了解 Copilot for Security 中的预安装插件
• 调查 Microsoft Defender XDR 中的事件

提示

想要了解更多信息？ 在我们的技术社区：Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。