Microsoft Defender 中的 Microsoft Copilot
注意事項
Microsoft Defender 全面偵測回應 為 適用於端點的 Microsoft Defender、適用於身分識別的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender 提供統一的 XDR 體驗。Microsoft Defender for Cloud Apps,以及弱點管理的 Microsoft Defender。 在什麼是 Microsoft Defender 全面偵測回應 中深入瞭解此入侵前和入侵后防禦套件?
Microsoft Copilot for Security 可將 AI 和人類專業知識結合,以協助安全性小組更快速且更有效地回應攻擊。 安全性 Copilot 內嵌在 Microsoft Defender 入口網站中,可讓安全性小組有效率地摘要事件、分析腳本和程式碼、分析檔案、摘要裝置資訊、使用引導式回應來解決事件、產生 KQL 查詢,以及建立事件報告。
本文提供 Defender 中的 Copilot 使用者概觀,包括存取步驟、重要功能,以及詳細說明這些功能的連結。
存取 Defender 中的 Copilot
若要確保您有權存取 Defender 中的 Copilot,請參閱 Copilot for Security 購買和授權資訊。 一旦您具有 Copilot for Security 的存取權,以下討論的重要功能就可在 Microsoft Defender 入口網站中存取。
像專家一樣調查並回應事件
讓安全性小組能夠輕鬆且準確地及時處理攻擊調查。 Copilot 可協助小組立即瞭解攻擊、快速分析可疑的檔案和指令碼,並立即評估和套用適當的防護功能,來停止和控制攻擊。
快速摘要事件
調查具有多個警示的事件可能是一項令人卻步的工作。 若要立即瞭解事件,您可以點選 Copilot,以為您 [摘要事件]。 Copilot 會建立攻擊的概觀。 概觀包含基本資訊,可讓您了解攻擊中所發生的狀況、涉及哪些資產,以及攻擊的時間軸。 當您瀏覽至事件頁面時,Copilot 會自動建立摘要。
透過引導式回應對事件採取動作
解決事件需要分析師瞭解攻擊,才能知道適合使用哪些解決方案。 Copilot 會透過每個事件特定的 引導式回應 來建議解決方案。
![醒目提示 [Copilot] 窗格的螢幕擷取畫面,其中包含 [Microsoft Defender 事件] 頁面中的引導式回應。](/zh-tw/defender/media/copilot-in-defender/guided-response/copilot-defender-guided-response.png#lightbox)
輕鬆執行指令碼分析
大多數攻擊者在啟動攻擊時依賴複雜的惡意程式碼,以避免偵測和分析。 這些惡意程式碼通常會模糊化,且可能以 PowerShell 中的指令碼或命令行的形式顯示。 Copilot 可以快速 分析指令碼,從而減少調查的時間。
產生裝置摘要
調查涉及事件的裝置可能是一項繁重的工作。 為快速評估裝置,Copilot 可以 摘要裝置的資訊,包括裝置的安全性態勢、任何異常行為、易受攻擊的軟體清單,以及相關的 Microsoft Intune 資訊。
立即分析檔案
Copilot 可協助安全性小組使用 檔案分析,快速評估及瞭解可疑檔案。 Copilot 提供檔案的摘要,包括偵測資訊、相關的檔案憑證、API 呼叫清單,以及在檔案中找到的字串。
![Defender 中的 Copilot 中的檔案分析結果的螢幕擷取畫面,其中已醒目提示 [隱藏詳細資料] 選項。](/zh-tw/defender/media/copilot-in-defender/file-analysis/copilot-defender-file-analysis-hide.png#lightbox)
立即調查身分識別
使用 Copilot 產生 身分識別摘要 ,以快速評估用戶的風險。 使用使用者角色和角色變更、登入行為、裝置登入和相關聯繫人資訊的內容相關信息,識別身分識別處於風險或可疑狀態。
![顯示使用者詳細資料窗格中 [摘要] 選項的螢幕快照。](/zh-tw/defender/media/copilot-in-defender/identity-summary/identity-incident-graph.png#lightbox)
有效率地撰寫事件報告
安全性作業小組通常會撰寫報告來記錄重要資訊,包括已採取哪些回應動作和對應的結果、涉及的小組成員等其他資訊,以協助未來的安全性決策和學習。 記錄事件通常很耗時。 若要讓事件報告生效,它必須包含事件摘要以及所採取的動作,包括由誰和何時採取的動作。 Copilot 會透過快速合併這些資訊來 產生事件報告。
像專業人員一樣搜捕
Defender 中的 Copilot 可透過快速建置適當的 KQL 查詢,以協助安全性小組主動搜捕其網路中的威脅。
從自然語言輸入產生 KQL 查詢
使用進階搜捕主動搜捕其網路中威脅的安全性小組,現在可以使用查詢 助理,將威脅搜捕內容中的任何自然語言問題轉換成現成可執行的 KQL 查詢。 查詢助理會透過產生接著可以根據分析師的需求自動執行或進一步調整的 KQL 查詢,以節省安全性小組的時間。 閱讀更多 進階搜捕中的 Copilot for Security 中的查詢助理。
![進階搜捕中的 [Copilot] 窗格的螢幕擷取畫面。](/zh-tw/defender/media/advanced-hunting-security-copilot-pane-big.png#lightbox)
使用相關的威脅情報,來保護您的組織
讓您的安全性組織能夠使用最新的威脅情報,做出明智的決策。 Copilot 會合併並摘要威脅情報,以協助安全性小組有效排定威脅的優先順序並回應威脅。
監視威脅情報
要求 Copilot 摘要影響您環境的相關威脅、根據您的暴露程度排定解決威脅的優先順序,或尋找可能以您的產業為目標的威脅行為者。 閱讀更多關於 威脅情報中的 Copilot for Security 之資訊。
![Defender 全面偵測回應中的威脅情報中的 [Copilot] 窗格之螢幕擷取畫面。](/zh-tw/defender/media/copilot-in-defender/TI/copilot-defender-threat-intel-full.png#lightbox)
Copilot 中的資料安全性和意見反應
Copilot 會根據系統管理員所定義的設定,使用 已儲存、已處理 和 已共用 的 資料 來持續演進。 Microsoft 會確保使用 Copilot 時,您的資料始終受到保護且安全。 若要深入瞭解 Copilot 中的資料安全性和隱私權,請參閱 Copilot 中的隱私權和資料安全性。
由於 Copilot 的持續演進,它可能會遺漏一些項目。 檢閱並針對結果 提供意見反應,有助於改善 Copilot 的未來回應。
所有 Defender 中的 Copilot 功能都有提供意見反應的選項。 若要提供意見反應, 請執行下列步驟:
- 選取意見反應圖示
位於 Copilot 側邊面板中任何結果卡片底部。 - 如果您認為結果正確,請選取 [看起來正確 ]。 您可以在下一個對話方塊中提供詳細資訊。
- 如果您將結果評估為不足或不完整,請選取 [ 需要改進 ]。 您可以在下一個對話方塊中提供評定的詳細資訊,並提交此評定給 Microsoft。
- 如果結果包含可疑或模棱兩可的資訊,您也可以選取 [ 不適當] 來報告結果。 請在下一個對話方塊中提供有關結果的詳細資訊,然後選取 [提交]。
Copilot for Security 中的外掛程式
Copilot 會使用 預先安裝的 Microsoft 外掛程式,例如 Microsoft Defender 全面偵測回應、Defender 威脅情報和 Microsoft Sentinel 和 Defender 全面偵測回應的自然語言 KQL 外掛程式,以產生相關資訊、為事件提供更多內容,並產生更精確的結果。 請確定 已在 Copilot 中開啟外掛程式,以允許存取相關資料,並從組織中的其他 Microsoft 服務產生要求的內容。
後續步驟
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。