使用 Microsoft Defender 中 Microsoft Copilot 的引导响应对事件进行会审和调查

适用于:

  • Microsoft Defender XDR
  • Microsoft Defender 统一安全运营中心 (SOC) 平台

Microsoft Microsoft Defender 门户中的 Copilot for Security 支持事件响应团队使用引导响应立即解决事件。 Defender 中的 Copilot 使用 AI 和机器学习功能将事件上下文化,并从以前的调查中学习,以生成适当的响应操作。

在 Microsoft Defender 门户中响应事件通常需要熟悉门户的可用操作来阻止攻击。 此外,新的事件响应者可能对在何处以及如何开始响应事件有不同想法。 Defender 中 Copilot 的引导响应功能使各级事件响应团队能够自信地快速应用响应操作,轻松解决事件。

引导响应可通过 Copilot for Security 许可证在 Microsoft Defender 门户中获得。 引导式响应也可通过 Defender XDR 插件在 Copilot for Security 独立体验中使用。

本指南概述了如何访问引导响应功能,包括提供有关响应的反馈的信息。

应用引导响应来解决事件

引导式响应推荐以下类别的操作:

  • 会审 - 包括将事件分类为信息性、真正或误报的建议
  • 包含 - 包括用于包含事件的建议操作
  • 调查 - 包括进一步调查的建议操作
  • 修正 - 包括建议的响应操作,以应用于事件中涉及的特定实体

每张卡片都包含有关建议的操作的信息,包括需要应用操作的实体以及建议操作的原因。 这些卡片还强调何时通过自动调查(如 攻击中断自动调查响应)执行了建议的操作。

可以根据每个卡片的可用状态对引导式响应卡进行排序。 在查看引导响应时,可以通过单击“ 状态 ”并选择要查看的相应状态来选择特定状态。 默认情况下,无论状态如何,所有引导响应卡都会显示。

显示“Microsoft Defender 事件”页的 Copilot 窗格中响应状态的屏幕截图。

若要使用引导式响应,请执行以下步骤:

  1. 打开事件页面。 Copilot 会在打开事件页时自动生成引导式响应。 “Copilot”窗格显示在事件页面的右侧,其中显示了引导响应卡。

    显示 Copilot 窗格的屏幕截图,其中包含 Microsoft Defender 事件页中的引导响应。

  2. 在应用建议之前,请查看每张卡片。 选择响应卡顶部的“更多操作”省略号 (...) 以查看每个建议可用的选项。 下面是一些示例。

    显示 Copilot 侧面板中引导式响应卡中用户可用的选项的屏幕截图。

    屏幕截图显示 Microsoft Defender XDR 中 Copilot 窗格中的自动化响应卡中用户可用的选项。

  3. 若要应用操作,请选择每张卡片上找到的所需操作。 每张卡片上的引导式响应操作都根据事件类型和所涉及的特定实体进行定制。

    显示 Microsoft Defender 中 Copilot 窗格中的引导响应卡的屏幕截图。

  4. 你可以向每个响应卡提供反馈,以持续增强 Copilot 未来的响应。 若要提供反馈,请选择反馈图标 屏幕截图,其中显示了每个卡片右下角的 Defender 卡片中 Copilot 的反馈图标

注意

灰显的操作按钮表示这些操作受你的权限限制。 有关详细信息,请参阅统一的基于角色的访问(RBAC)权限页面。

Defender 中的 Copilot 支持事件响应团队,使分析师能够使用其他见解获取有关响应操作的更多上下文。 对于修正响应,事件响应团队可以使用“查看类似事件”或“查看类似电子邮件”等选项查看其他信息。

当组织中存在与当前事件类似的其他事件时,“查看类似事件”操作将变为可用。 “类似事件”选项卡列出了可查看的类似事件。 Microsoft Defender 通过机器学习自动识别组织内的类似事件。 事件响应团队可以使用这些类似事件中的信息对事件进行分类,并进一步查看在这些类似事件中执行的操作。

查看类似电子邮件”操作(特定于网络钓鱼事件)会将你转到“高级搜寻”页面,其中会自动生成 KQL 查询以列出组织中类似的电子邮件。 与事件相关的这种自动查询生成可帮助事件响应团队进一步调查可能与事件相关的其他电子邮件。 你可以查看查询并根据需要对其进行修改。

另请参阅

提示

想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动