分享方式:


使用 Microsoft Defender 中的 Microsoft Copilot 摘要身分識別資訊

調查使用者的安全性作業小組可以使用 Microsoft Defender 中安全性 Microsoft Copilot 中的身分識別摘要功能,輕鬆地瞭解身分識別資訊。 透過產生 AI 並運用 適用於身分識別的 Microsoft Defender 能力,Copilot 會建立有關組織中身分識別的內容深入解析,協助分析師快速瞭解重要數據以加速調查。

利用身分識別摘要功能,分析師可以立即識別可疑或具風險的身分識別相關變更,以及可能會對組織造成負面影響的動作。 摘要也包含影響身分識別的潛在錯誤設定。 使用自然語言,Copilot 提供清楚且可採取動作的使用者資訊,讓分析師可以在其事件調查活動中使用。 此功能目前著重於使用者,並將服務帳戶包含在其下一個反覆專案中。

本指南說明身分識別摘要功能是什麼及其運作方式,包括如何提供所產生結果的意見反應。

開始之前的須知事項

如果您不熟悉 Copilot for Security,您應該閱讀下列文章來熟悉它:

Microsoft Defender 中安全性整合的 Copilot

身分識別摘要功能可在 Microsoft Defender 入口網站中供已布建安全性 Copilot 存取權的客戶使用。

存取 Copilot for Security 獨立入口網站的使用者可以透過 Microsoft Defender 全面偵測回應 外掛程式來使用此功能。 深入瞭解 Copilot for Security 中預先安裝的外掛程式

重點功能

身分識別摘要包含關於身分識別的基本資訊,包括:

  • 建立用戶帳戶的日期,以及用戶帳戶是否為高、中或低重要性
  • 任何與登入位置、登入頻率或登入嘗試失敗頻率相關的異常行為模式
  • 使用者目前的角色,包括其部門和職位,以及相較於用戶的職稱和部門,是否有值得注意的角色變更,以強調不一致
  • 過去 30 天內用戶最後一次登入裝置的數據,無論裝置是否與使用者相關聯
  • 使用的驗證方法和應用程式
  • 根據 Microsoft Entra ID 與使用者相關聯的風險
  • 一般資訊,例如使用者的專業職稱和連絡資訊、部門及其經理的聯繫人資訊

您可以透過下列方式存取身分識別摘要功能:

  • 從事件頁面選擇事件圖表上的身分識別,然後 (1) 選取 [使用者詳細數據]。 在 [使用者詳細數據] 窗格中, (2) 選取 [ 摘要]。 結果會顯示在 Copilot 側邊面板中。

    顯示使用者詳細資料窗格中 [摘要] 選項的螢幕快照。

  • 或者,您可以選取使用者詳細資料窗格底部的 [ 移至使用者] 頁面 ,以開啟使用者頁面。 Copilot 會自動產生身分識別摘要,並在開啟用戶頁面時顯示側邊面板。

  • 您也可以在事件的 [ 資產 ] 索引標籤中選擇使用者,以存取身分識別摘要功能。 在使用者詳細數據窗格中選取 [ 摘要 ],以產生身分識別摘要。

    顯示 [資產] 索引標籤和已醒目提示使用者帳戶的螢幕快照。

  • 在警示頁面中,選取使用者,然後在使用者詳細數據窗格中選取 [ 摘要 ],以產生身分識別摘要。

  • 在進階搜捕頁面中,您可以在結果數據表中選取使用者,然後選取使用者頁面的連結,以存取身分識別摘要功能。 Copilot 會自動產生身分識別摘要,並在開啟用戶頁面時顯示側邊面板。

  • 從主功能表中,流覽至 [資產 > 身分識別]。 從清單中選取使用者名稱,然後選取 [ 檢視用戶頁面 ] 以開啟使用者頁面。 Copilot 會自動產生身分識別摘要,並在開啟用戶頁面時顯示側邊面板。

    醒目提示 [身分識別] 內用戶名稱搜尋中檢視用戶頁面選項的螢幕快照。

  • 在 Microsoft Defender 入口網站的搜尋方塊中輸入使用者名稱,然後從搜尋結果中選取用戶名稱。 在使用者詳細數據側邊面板中,選取 [ 摘要 ] 以產生身分識別摘要。

檢閱身分識別摘要結果。 您可以將結果複製到剪貼簿、重新產生結果,或在身分識別摘要卡片頂端選取 [其他動作] 省略號 (...) 開啟 安全性 Copilot。 您可以使用 Copilot for Security 入口網站中的提示和其他外掛程式來擴充身分識別的調查。

範例身分識別摘要提示

在 Copilot for Security 獨立入口網站中,您可以使用下列提示來產生身分識別摘要:

  • 顯示此使用者在上一個 {time frame} 中的 Defender 摘要。

提示

調查 Copilot for Security 入口網站中的使用者時,Microsoft建議在提示中包含 Defender 一詞,以確保身分識別摘要功能會提供結果。 您可以在調查時間範圍中指定最多 120 天,預設值為 30 天,而您不表示。

提供意見反應

Microsoft強烈鼓勵您提供意見反應給 Copilot,因為這對功能的持續改進非常重要。 若要提供意見反應,請流覽至 Copilot 側邊面板底部,然後選取意見反應圖示 Defender 卡片中 Copilot 的意見反應圖示螢幕快照

顯示 [意見反應] 文本框的螢幕快照,您可以在其中分享意見反應。

填寫專用文本框,以分享您的想法、體驗和要求。 Microsoft重視您的意見反應,並在我們致力於增強 Copilot 的效能和用戶體驗時加以重視。

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群