通过

Microsoft 安全 Copilot 和 Microsoft Defender 威胁智能

  • 项目

重要

2024 年 6 月 30 日,Microsoft Defender 威胁智能 (Defender TI) 独立门户 (https://ti.defender.microsoft.com) 已停用,不再可访问。 客户可以在Microsoft Defender 门户中或通过Microsoft 安全 Copilot继续使用 Defender TI。 了解更多

Microsoft 安全 Copilot 是一个基于云的 AI 平台,可提供自然语言辅助体验。 它可以帮助支持不同方案中的安全专业人员,例如事件响应、威胁搜寻和情报收集。 有关它可执行的操作的详细信息,请阅读什么是 Microsoft 安全 Copilot?

安全 Copilot 与 Microsoft Defender 威胁智能集成

在安全 Copilot 中,可以查看威胁行动者、入侵指标 (IOC)、工具和漏洞,还可查看来自 Microsoft Defender 威胁智能 (Defender TI) 的上下文威胁情报。 可以使用提示和提示本来调查事件、使用威胁情报信息扩充搜寻流,或者获取有关组织或全球威胁形势的更多知识。

本文介绍了 Copilot 并提供了可帮助 Defender TI 用户的示例提示。

在开始之前了解

  • 可以使用 Copilot 功能在安全 Copilot 门户Microsoft Defender 门户中显示威胁情报。 详细了解安全 Copilot 体验

  • 提示要清晰和具体。 如果在提示中包含特定的威胁行动者名称或 IOC,可能会得到更好的结果。 如果在提示中添加威胁情报,也可能会有所帮助,例如:

    • 显示 Aqua Blizzard 的威胁情报数据。
    • 汇总“malicious.com”的威胁情报数据。

  • 在引用事件时要具体(例如,“事件 ID 15324”)。

  • 尝试使用不同提示和变体,以查看最适合你的用例的提示和变体。 聊天 AI 模型各不相同,因此根据收到的结果循环访问和优化提示。

  • 安全 Copilot 会保存你的提示会话。 若要查看以前的会话,请从 Copilot 的主页菜单转到“我的会话”。

    显示“安全主页”菜单Microsoft Copilot的屏幕截图,其中突出显示了“我的会话”。

    注意

    有关 Copilot 的演练(包括固定和共享功能),请阅读导航 Microsoft 安全 Copilot

详细了解如何创建有效提示

使用安全 Copilot 独立门户获取威胁情报

  1. 转到 Microsoft 安全 Copilot,然后使用凭据登录。

  2. 请确保 Defender TI 插件已打开。 在提示栏中,选择“”图标 “源”图标的屏幕截图。

    Microsoft 安全 Copilot 中提示栏的屏幕截图,其中突出显示了“源”图标。

    在出现的“ 管理源” 弹出窗口中,在 “插件”下,确认“ Microsoft威胁情报 ”开关已打开,然后关闭窗口。

    注意

    某些角色可以打开或关闭 Defender TI 等插件。 有关详细信息,请阅读在 Microsoft 安全 Copilot 中管理插件

  1. 在提示栏中输入提示。

内置系统功能

安全 Copilot 具有内置的系统功能,可以从打开的不同插件获取数据。

要查看 Defender TI 的内置系统功能列表,请执行以下步骤:

  1. 在提示栏中,选择“提示”图标 提示”图标的“屏幕截图”。

    Microsoft 安全 Copilot 中提示栏的屏幕截图,其中突出显示了“提示”图标。

  2. 选择“查看所有系统功能”。 Microsoft Defender 威胁智能部分列出了你可使用的 Defender TI 的所有可用功能。

Copilot 还具有以下提示本,其中也提供来自 Defender TI 的信息:

  • 威胁行动者配置文件 - 生成对已知威胁行动者进行分析的报告,包括针对其常见工具和战术进行防御的建议。
  • 漏洞影响评估 - 生成一份汇总已知漏洞的情报的报告,其中包括解决该漏洞的步骤。

若要查看这些提示本,请在提示栏中选择“提示”图标,然后选择“查看所有提示本”。

Defender TI 的示例提示

可以使用许多提示从 Defender TI 获取信息。 本部分列出了一些想法和示例。

从威胁文章和威胁行动者那里获取威胁情报。

示例提示

  • 汇总最近的威胁情报。
  • 向我显示最新的威胁文章。
  • 获取过去六个月内与勒索软件相关的威胁文章。

与威胁情报相关的 IP 地址和主机上下文信息

获取与 IP 地址和主机关联的数据集相关信息,例如端口、信誉分数、组件、证书、Cookie、服务和主机对。

示例提示:

  • 向我显示主机 主机名<> 的信誉。
  • 获取 IP 地址 <IP 地址> 的解析。

威胁行动者映射和基础结构

获取威胁行动者及与之关联的战术、技术和程序 (TTP)、资助国家/地区、行业和 IOC 的相关信息。

示例提示:

  • 告诉我有关 Silk Typhoon 的详细信息。
  • 共享与 Silk Typhoon 相关的 IOC。
  • 共享与 Silk Typhoon 相关的 TTP。
  • 共享与俄罗斯相关的威胁行动者。

按 CVE 提供的漏洞数据

获取有关公共漏洞和暴露 (CVE) 的上下文信息和威胁情报。

示例提示:

  • 共享易受 CVE-2021-44228 漏洞影响的技术。
  • 汇总 CVE-2021-44228 漏洞。
  • 显示最新的 CVE。
  • 显示与 CVE-2021-44228 关联的威胁行动者。
  • 显示与 CVE-2021-44228 关联的威胁文章。

提供反馈

有关 Defender TI 与安全 Copilot 集成的反馈有助于开发。 若要提供反馈,请在 Copilot 中选择“ 此响应如何?” 在每个已完成的提示符的底部,选择以下任一选项:

  • 看起来正确 - 如果你评估认为结果准确,请选择此按钮。
  • 需要改进 - 如果你评估认为结果中的任何详细信息不正确或不完整,请选择此按钮。
  • 不适当 - 如果结果包含可疑、不明确或可能有害的信息,请选择此按钮。

对于每个反馈按钮,可以在显示的下一个对话框中提供详细信息。 当结果需要改进时,只要有可能,就请写几句话,解释可以采取哪些措施来改善结果。 如果输入了特定于 Defender TI 的提示,并且结果不相关,请包含该信息。

在 Defender 中使用 Microsoft Copilot 获取威胁情报

安全 Copilot 客户在 Microsoft Defender 门户中为每个经过身份验证的 Copilot 用户获取 Defender TI 的访问权限。 若要确保你有权访问 Copilot,请参阅安全 Copilot 购买和许可信息

当你有权访问安全 Copilot 后,可在 Defender 门户的下列“威胁情报”部分中访问下一部分中讨论的主要功能:

  • 威胁分析
  • Intel 配置文件
  • Intel 资源管理器
  • Intel 项目

关键功能

Defender 中的 Copilot 使 Copilot for Security 能够在门户中查找威胁情报,使安全团队能够立即了解威胁情报信息、确定优先级并采取措施。

可以询问威胁行动者、攻击活动或你想要详细了解的任何其他威胁情报,Copilot 会根据威胁分析报告、Intel 配置文件和文章以及其他 Defender TI 内容生成响应。 还可选择任何可用于执行以下操作的内置提示:

  • 汇总与你的组织相关的最新威胁
  • 根据环境对这些威胁的最高暴露级别确定要关注的威胁的优先级
  • 询问 针对通信基础结构行业的威胁参与者

详细了解如何在 Defender 中使用 Copilot 获取威胁情报

数据处理和隐私

与安全 Copilot 交互来获取 Defender TI 数据时,Copilot 会从 Defender TI 拉取该数据。 系统会处理提示、检索到的数据以及提示结果中显示的输出,并将其存储在 Copilot 服务中。 详细了解 Microsoft 安全 Copilot 中的隐私和数据安全

另请参阅