培训
认证
Microsoft Certified: Identity and Access Administrator Associate - Certifications
演示 Microsoft Entra ID 的功能,以将标识解决方案现代化、实现混合解决方案和实现标识治理。
调查用户的安全运营团队可以使用 Microsoft Defender Microsoft Security Copilot 中的标识摘要功能轻松了解标识信息。 通过生成 AI 和利用Microsoft Defender for Identity的强大功能,Copilot 创建有关组织中标识的上下文见解,帮助分析师快速了解重要数据以加快调查速度。
借助标识摘要功能,分析师可以立即识别对组织产生负面影响的可疑或风险标识相关更改和操作。 摘要还包括影响标识的潜在错误配置。 Copilot 使用自然语言提供清晰且可操作的用户信息,分析师可以在其事件调查活动中使用这些信息。 该功能当前侧重于用户,并将在其下一次迭代中包括服务帐户。
本指南介绍什么是标识摘要功能及其工作原理,包括如何提供有关生成结果的反馈。
如果你不熟悉Security Copilot,应阅读以下文章来熟悉它:
借助标识摘要功能,分析师可以立即识别对组织产生负面影响的可疑或风险标识相关更改和操作。 摘要还包括影响标识的潜在错误配置。 Copilot 使用自然语言提供清晰且可操作的用户信息,分析师可以在其事件调查活动中使用这些信息。 该功能当前侧重于用户,并将在其下一次迭代中包括服务帐户。
标识摘要功能在Microsoft Defender门户中提供,供具有预配Security Copilot访问权限的客户使用。
访问 Security Copilot 独立门户的用户可以通过 Microsoft Defender XDR 插件使用此功能。 详细了解 Security Copilot 中的预安装插件。
标识摘要包含有关标识的基本信息,包括:
可以通过以下方式访问标识摘要功能:
在事件页上,选择事件图上的标识,然后 (1) 选择 “用户详细信息”。 在用户详细信息窗格中, (2) 选择 “汇总”。 结果显示在 Copilot 侧面板中。
或者,可以选择“用户详细信息”窗格底部的“ 转到用户页 ”以打开用户页面。 Copilot 在打开用户页面时自动生成标识摘要并显示侧面板。
还可以通过在事件的“ 资产 ”选项卡中选择用户来访问标识摘要功能。 在用户详细信息窗格中选择“ 汇总 ”以生成标识摘要。
在警报页中,选择用户,然后在用户详细信息窗格中选择“ 汇总 ”以生成标识摘要。
在高级搜寻页中,可以通过在结果表中选择用户,然后选择指向用户页面的链接来访问标识摘要功能。 Copilot 在打开用户页面时自动生成标识摘要并显示侧面板。
在“main”菜单中,导航到“资产>标识”。 从列表中选择用户名,然后选择“ 查看用户页 ”以打开用户页。 Copilot 在打开用户页面时自动生成标识摘要并显示侧面板。
在Microsoft Defender门户的搜索框中键入用户名,然后从搜索结果中选择用户名。 在“用户详细信息”侧面板中,选择“ 汇总 ”以生成标识摘要。
查看标识摘要结果。 可以通过选择标识摘要卡顶部的“更多操作”省略号 (...) ,将结果复制到剪贴板、重新生成结果或打开Security Copilot。 可以使用Security Copilot门户中的提示和其他插件来扩展对标识的调查。
在Security Copilot独立门户中,可以使用以下提示生成标识摘要:
提示
在Security Copilot门户中调查用户时,Microsoft建议在提示中包含“Defender”一词,以确保标识摘要功能提供结果。 在调查时间范围内,最多可以指定 120 天,如果未指定 30 天,则默认值为 30 天。
Microsoft强烈建议你向 Copilot 提供反馈,因为它对于功能的持续改进至关重要。 若要提供反馈,请导航到 Copilot 侧面板底部,然后选择“反馈”图标“ 。
填写专用文本框以分享你的想法、体验和请求。 Microsoft重视你的反馈,并认真对待我们提升 Copilot 性能和用户体验的承诺。
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。
培训
认证
Microsoft Certified: Identity and Access Administrator Associate - Certifications
演示 Microsoft Entra ID 的功能,以将标识解决方案现代化、实现混合解决方案和实现标识治理。
文档
使用 Microsoft Defender 中的 Microsoft Copilot 汇总设备信息 - Microsoft Defender XDR
使用 Microsoft Defender 中的 Microsoft Copilot 生成设备摘要。
在 Microsoft Defender 中使用 Microsoft Copilot 的引导式响应对事件进行分级和调查 - Microsoft Defender XDR
使用 Microsoft Defender 中Microsoft Copilot提供的引导响应对事件进行会审、缓解和响应。
Microsoft Defender XDR中的自动攻击中断 - Microsoft Defender XDR
通过使用Microsoft Defender XDR中的自动攻击中断来自动包含攻击者控制的资产。