在 Microsoft Defender 中使用 Microsoft Copilot 汇总事件
适用于:
- Microsoft Defender XDR
- Microsoft Defender 统一安全运营中心 (SOC) 平台
Microsoft Defender XDR 应用 Copilot for Security 的功能来汇总事件,提供有影响力的信息和见解来简化调查任务。 事件响应团队要成功保护组织免受网络威胁的进一步损害,攻击调查是关键的一步。 调查通常很耗时,因为它涉及许多步骤。 事件响应团队需要了解攻击是如何发生的:整理大量警报,确定涉及到哪些资产和实体,并评估攻击的范围和影响。
事件响应者可以通过 Defender XDR 的相关功能和 Copilot for Security 的 AI 支持数据处理和上下文化,轻松获取正确的上下文来调查和修正事件。 通过事件摘要,响应者可以快速获取重要信息来帮助推进调查。
事件摘要功能通过 Copilot for Security 许可证在 Microsoft Defender 门户中提供。 此功能也可通过 Microsoft Defender XDR 插件在 Copilot for Security 独立体验中使用。
本指南概述了预期内容以及如何在 Defender 中访问 Copilot 的汇总功能,包括有关提供反馈的信息。
汇总事件
包含最多 100 个警报的事件可以汇总到一个事件摘要中。 根据数据的可用性,事件摘要包括以下信息:
- 攻击开始的时间和日期。
- 发起攻击的实体或资产。
- 关于攻击如何展开的时间表摘要。
- 攻击所涉及的资产。
- IoC) (入侵指标。
- 涉及的威胁行动者的名称。
若要汇总事件,请执行以下步骤:
打开事件页面。 Copilot 在打开页面时自动创建事件摘要。 可选择“取消”来停止创建摘要,选择“重新生成”来重新开始创建。
事件摘要卡在 Copilot 窗格中加载。 在卡片上查看生成的摘要。
提示
可以通过单击结果中的证据,从 Copilot 结果窗格导航到文件、IP 或 URL 页。
选择事件摘要卡顶部的“ 更多操作 ”省略号 (...) 以复制或重新生成摘要,或在 Copilot for Security 门户中查看摘要。 选择“ 在 Copilot for Security 中打开 ”将打开一个新选项卡,转到 Copilot for Security 独立门户,可在其中输入提示并访问其他插件。
查看摘要并使用信息来指导事件的调查和响应。 可以通过选择反馈图标“Copilot”窗格底部的 来提供有关摘要的反馈。
另请参阅
- 运行脚本分析
- 分析文件
- 生成设备摘要
- 响应威胁时使用引导式响应
- 生成 KQL 查询
- 创建事件报告
- Microsoft 安全 Copilot 入门
- 了解其他 Copilot for Security 嵌入式体验
- 详细了解 Copilot for Security 中的预安装插件
- 调查 Microsoft Defender XDR 中的事件
提示
想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动。