Microsoft 安全 Copilot 和 Microsoft Defender 威胁智能
重要
2024 年 6 月 30 日,Microsoft Defender 威胁智能 (Defender TI) 独立门户 (https://ti.defender.microsoft.com) 已停用,不再可访问。 客户可以在Microsoft Defender 门户中或通过Microsoft 安全 Copilot继续使用 Defender TI。 了解更多
Microsoft 安全 Copilot 是一个基于云的 AI 平台,可提供自然语言辅助体验。 它可以帮助支持不同方案中的安全专业人员,例如事件响应、威胁搜寻和情报收集。 有关它可执行的操作的详细信息,请阅读什么是 Microsoft 安全 Copilot?。
安全 Copilot 与 Microsoft Defender 威胁智能集成
在安全 Copilot 中,可以查看威胁行动者、入侵指标 (IOC)、工具和漏洞,还可查看来自 Microsoft Defender 威胁智能 (Defender TI) 的上下文威胁情报。 可以使用提示和提示本来调查事件、使用威胁情报信息扩充搜寻流,或者获取有关组织或全球威胁形势的更多知识。
本文介绍了 Copilot 并提供了可帮助 Defender TI 用户的示例提示。
在开始之前了解
可以使用 Copilot 功能在安全 Copilot 门户或 Microsoft Defender 门户中显示威胁情报。 详细了解安全 Copilot 体验
提示要清晰和具体。 如果在提示中包含特定的威胁行动者名称或 IOC,可能会得到更好的结果。 如果在提示中添加威胁情报,也可能会有所帮助,例如:
- 显示 Aqua Blizzard 的威胁情报数据。
- 汇总“malicious.com”的威胁情报数据。
在引用事件时要具体(例如,“事件 ID 15324”)。
尝试使用不同提示和变体,以查看最适合你的用例的提示和变体。 聊天 AI 模型各不相同,因此根据收到的结果循环访问和优化提示。
安全 Copilot 会保存你的提示会话。 若要查看以前的会话,请从 Copilot 的主页菜单转到“我的会话”。
注意
有关 Copilot 的演练(包括固定和共享功能),请阅读导航 Microsoft 安全 Copilot。
使用安全 Copilot 独立门户获取威胁情报
转到 Microsoft 安全 Copilot,然后使用凭据登录。
请确保 Defender TI 插件已打开。 在提示栏中,选择“源”图标 。
在出现的“ 管理源” 弹出窗口中,在 “插件”下,确认“ Microsoft威胁情报 ”开关已打开,然后关闭窗口。
注意
某些角色可以打开或关闭 Defender TI 等插件。 有关详细信息,请阅读在 Microsoft 安全 Copilot 中管理插件。
- 在提示栏中输入提示。
内置系统功能
安全 Copilot 具有内置的系统功能,可以从打开的不同插件获取数据。
要查看 Defender TI 的内置系统功能列表,请执行以下步骤:
在提示栏中,选择“提示”图标 。
选择“查看所有系统功能”。 Microsoft Defender 威胁智能部分列出了你可使用的 Defender TI 的所有可用功能。
Copilot 还具有以下提示本,其中也提供来自 Defender TI 的信息:
- 威胁行动者配置文件 - 生成对已知威胁行动者进行分析的报告,包括针对其常见工具和战术进行防御的建议。
- 漏洞影响评估 - 生成一份汇总已知漏洞的情报的报告,其中包括解决该漏洞的步骤。
若要查看这些提示本,请在提示栏中选择“提示”图标,然后选择“查看所有提示本”。
Defender TI 的示例提示
可以使用许多提示从 Defender TI 获取信息。 本部分列出了一些想法和示例。
有关威胁情报趋势的一般信息
从威胁文章和威胁行动者那里获取威胁情报。
示例提示:
- 汇总最近的威胁情报。
- 向我显示最新的威胁文章。
- 获取过去六个月内与勒索软件相关的威胁文章。
与威胁情报相关的 IP 地址和主机上下文信息
获取与 IP 地址和主机关联的数据集相关信息,例如端口、信誉分数、组件、证书、Cookie、服务和主机对。
示例提示:
- 向我显示主机 主机名<> 的信誉。
- 获取 IP 地址 <IP 地址> 的解析。
威胁行动者映射和基础结构
获取威胁行动者及与之关联的战术、技术和程序 (TTP)、资助国家/地区、行业和 IOC 的相关信息。
示例提示:
- 告诉我有关 Silk Typhoon 的详细信息。
- 共享与 Silk Typhoon 相关的 IOC。
- 共享与 Silk Typhoon 相关的 TTP。
- 共享与俄罗斯相关的威胁行动者。
按 CVE 提供的漏洞数据
获取有关公共漏洞和暴露 (CVE) 的上下文信息和威胁情报。
示例提示:
- 共享易受 CVE-2021-44228 漏洞影响的技术。
- 汇总 CVE-2021-44228 漏洞。
- 显示最新的 CVE。
- 显示与 CVE-2021-44228 关联的威胁行动者。
- 显示与 CVE-2021-44228 关联的威胁文章。
提供反馈
有关 Defender TI 与安全 Copilot 集成的反馈有助于开发。 若要提供反馈,请在 Copilot 中选择“ 此响应如何?” 在每个已完成的提示符的底部,选择以下任一选项:
- 看起来正确 - 如果你评估认为结果准确,请选择此按钮。
- 需要改进 - 如果你评估认为结果中的任何详细信息不正确或不完整,请选择此按钮。
- 不适当 - 如果结果包含可疑、不明确或可能有害的信息,请选择此按钮。
对于每个反馈按钮,可以在显示的下一个对话框中提供详细信息。 当结果需要改进时,只要有可能,就请写几句话,解释可以采取哪些措施来改善结果。 如果输入了特定于 Defender TI 的提示,并且结果不相关,请包含该信息。
在 Defender 中使用 Microsoft Copilot 获取威胁情报
安全 Copilot 客户在 Microsoft Defender 门户中为每个经过身份验证的 Copilot 用户获取 Defender TI 的访问权限。 若要确保你有权访问 Copilot,请参阅安全 Copilot 购买和许可信息。
当你有权访问安全 Copilot 后,可在 Defender 门户的下列“威胁情报”部分中访问下一部分中讨论的主要功能:
- 威胁分析
- Intel 配置文件
- Intel 资源管理器
- Intel 项目
关键功能
Defender 中的 Copilot 使 Copilot for Security 能够在门户中查找威胁情报,使安全团队能够立即了解威胁情报信息、确定优先级并采取措施。
可以询问威胁行动者、攻击活动或你想要详细了解的任何其他威胁情报,Copilot 会根据威胁分析报告、Intel 配置文件和文章以及其他 Defender TI 内容生成响应。 还可选择任何可用于执行以下操作的内置提示:
详细了解如何在 Defender 中使用 Copilot 获取威胁情报
数据处理和隐私
与安全 Copilot 交互来获取 Defender TI 数据时,Copilot 会从 Defender TI 拉取该数据。 系统会处理提示、检索到的数据以及提示结果中显示的输出,并将其存储在 Copilot 服务中。 详细了解 Microsoft 安全 Copilot 中的隐私和数据安全