培训
认证
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、Microsoft Defender for Cloud 和 Microsoft 365 Defender 调查、搜索和缓解威胁。
Microsoft Defender XDR应用Security Copilot的功能来汇总事件,提供有影响力的信息和见解来简化调查任务。 事件响应团队要成功保护组织免受网络威胁的进一步损害,攻击调查是关键的一步。 调查通常很耗时,因为它涉及许多步骤。 事件响应团队需要了解攻击是如何发生的:整理大量警报,确定涉及到哪些资产和实体,并评估攻击的范围和影响。
本指南概述了预期内容,还简要介绍了如何访问 Defender 中的 Copilot 汇总功能(包括有关提供反馈的信息)。
如果你不熟悉Security Copilot,应阅读以下文章来熟悉它:
事件响应者可以通过Defender XDR的相关功能和Security Copilot AI 支持的数据处理和上下文化轻松获取正确的上下文来调查和修正事件。 通过事件摘要,响应者可以快速获取重要信息来帮助推进调查。
事件摘要功能在Microsoft Defender门户中提供,供有权预配Security Copilot的客户使用。
此功能也可通过 Microsoft Defender XDR 插件在Security Copilot独立体验中使用。 详细了解 Security Copilot 中的预安装插件。
包含最多 100 个警报的事件可以汇总到一个事件摘要中。 根据数据的可用性,事件摘要包括以下信息:
若要汇总事件,请执行以下步骤:
打开事件页面。 在打开页面时,Copilot 会自动创建事件摘要。 可选择“取消”来停止创建摘要,选择“重新生成”来重新开始创建。
事件摘要卡会在 Copilot 窗格上加载。 在卡片上查看生成的摘要。
提示
可以通过单击结果中的证据,从 Copilot 结果窗格导航到文件、IP 或 URL 页。
选择事件摘要顶部的“更多作”省略号 (...) 卡复制或重新生成摘要,或在Security Copilot门户中查看摘要。 选择“在安全 Copilot 中打开”将打开安全 Copilot 独立门户的新选项卡,可在其中输入提示并访问其他插件。
查看摘要并使用信息指导调查和响应事件。
在Security Copilot独立门户中,可以使用以下提示生成事件摘要:
提示
在 Security Copilot 门户中生成事件摘要时,Microsoft建议在提示中包含“Defender”一词,以确保事件摘要功能提供结果。
Microsoft强烈建议你向 Copilot 提供反馈,因为它对于功能的持续改进至关重要。 可以通过选择“Copilot”窗格底部的“”反馈图标提供有关摘要的反馈。
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。
培训
认证
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、Microsoft Defender for Cloud 和 Microsoft 365 Defender 调查、搜索和缓解威胁。
文档
在 Microsoft Defender 中使用 Microsoft Copilot 进行脚本分析 - Microsoft Defender XDR
在 Microsoft Defender 中使用 Microsoft Copilot 脚本分析来调查脚本和命令行。
在 Microsoft Defender 中使用 Microsoft Copilot 的引导式响应对事件进行分级和调查 - Microsoft Defender XDR
使用 Microsoft Defender 中Microsoft Copilot提供的引导响应对事件进行会审、缓解和响应。
使用 Microsoft Defender 中的 Microsoft Copilot 汇总设备信息 - Microsoft Defender XDR
使用 Microsoft Defender 中的 Microsoft Copilot 生成设备摘要。