在 Microsoft Defender 中使用 Microsoft Copilot 汇总事件
适用于:
- Microsoft Defender XDR
- Microsoft Defender统一的安全运营中心 (SOC) 平台
Microsoft Defender XDR应用安全 Copilot的功能来汇总事件,提供有影响力的信息和见解来简化调查任务。 事件响应团队要成功保护组织免受网络威胁的进一步损害,攻击调查是关键的一步。 调查通常很耗时,因为它涉及许多步骤。 事件响应团队需要了解攻击是如何发生的:整理大量警报,确定涉及到哪些资产和实体,并评估攻击的范围和影响。
事件响应者可以通过Defender XDR的相关功能和安全 Copilot AI 支持的数据处理和上下文化轻松获取正确的上下文来调查和修正事件。 通过事件摘要,响应者可以快速获取重要信息来帮助推进调查。
事件摘要功能可通过 安全 Copilot 许可证在 Microsoft Defender 门户中使用。 此功能也可通过 Microsoft Defender XDR 插件在安全 Copilot独立体验中使用。
本指南概述了预期内容以及如何在 Defender 中访问 Copilot 的汇总功能,包括有关提供反馈的信息。
汇总事件
包含最多 100 个警报的事件可以汇总到一个事件摘要中。 根据数据的可用性,事件摘要包括以下信息:
- 攻击开始的时间和日期。
- 发起攻击的实体或资产。
- 关于攻击如何展开的时间表摘要。
- 攻击所涉及的资产。
- IoC) (入侵指标。
- 涉及的威胁行动者的名称。
若要汇总事件,请执行以下步骤:
打开事件页面。 Copilot 在打开页面时自动创建事件摘要。 可选择“取消”来停止创建摘要,选择“重新生成”来重新开始创建。
事件摘要卡加载到 Copilot 窗格上。 在卡片上查看生成的摘要。
提示
可以通过单击结果中的证据,从 Copilot 结果窗格导航到文件、IP 或 URL 页。
选择事件摘要顶部的“更多操作”省略号 (...) 卡复制或重新生成摘要,或在安全 Copilot门户中查看摘要。 选择“在 安全 Copilot打开”将打开安全 Copilot独立门户的新选项卡,可在其中输入提示并访问其他插件。
查看摘要并使用信息来指导事件的调查和响应。 可以通过选择反馈图标“Copilot”窗格底部的 来提供有关摘要的反馈。
另请参阅
- 运行脚本分析
- 分析文件
- 生成设备摘要
- 响应威胁时使用引导式响应
- 生成 KQL 查询
- 创建事件报告
- Microsoft 安全 Copilot 入门
- 了解其他安全 Copilot嵌入式体验
- 详细了解 安全 Copilot 中的预安装插件
- 调查Microsoft Defender XDR中的事件
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈