分享方式:


Microsoft Defender 中的 Microsoft Copilot

注意事項

Microsoft Defender 全面偵測回應 為 適用於端點的 Microsoft Defender、適用於身分識別的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender 提供統一的 XDR 體驗,Microsoft Defender for Cloud Apps,以及弱點管理的 Microsoft Defender。 在什麼是 Microsoft Defender 全面偵測回應 中深入瞭解此入侵前和入侵后防禦套件

本文提供 Microsoft Defender 中 Microsoft Copilot 使用者的概觀,包括存取步驟、重要功能,以及這些功能詳細數據的連結。

開始之前的須知事項

如果您不熟悉 Copilot for Security,您應該閱讀下列文章來熟悉它:

Microsoft Defender 中的 Microsoft Copilot整合

Microsoft Copilot for Security 可將 AI 和人類專業知識結合,以協助安全性小組更快速且更有效地回應攻擊。 Copilot for Security 內嵌在 Microsoft Defender 入口網站中,可協助安全性小組提供增強的功能來調查和回應事件、搜捕威脅,以及使用相關的威脅情報保護其組織。 Defender 中的 Copilot 可供已布建安全性 Copilot 存取權的使用者使用。

重點功能

像專家一樣調查並回應事件

讓安全性小組能夠輕鬆且準確地及時處理攻擊調查。 Copilot 可協助小組立即瞭解攻擊、快速分析可疑的檔案和指令碼,並立即評估和套用適當的防護功能,來停止和控制攻擊。

快速摘要事件

調查具有多個警示的事件可能是一項令人卻步的工作。 若要立即瞭解事件,您可以點選 Copilot,以為您 [摘要事件]。 Copilot 會建立攻擊的概觀。 概觀包含基本資訊,可讓您了解攻擊中所發生的狀況、涉及哪些資產,以及攻擊的時間軸。 當您瀏覽至事件頁面時,Copilot 會自動建立摘要。

如 Microsoft Defender 事件頁面所示,在 Copilot 窗格中顯示的事件摘要卡片之螢幕擷取畫面。

透過引導式回應對事件採取動作

解決事件需要分析師瞭解攻擊,才能知道適合使用哪些解決方案。 Copilot 會透過每個事件特定的 引導式回應 來建議解決方案。

醒目提示 [Copilot] 窗格的螢幕擷取畫面,其中包含 [Microsoft Defender 事件] 頁面中的引導式回應。

輕鬆執行指令碼分析

大多數攻擊者在啟動攻擊時依賴複雜的惡意程式碼,以避免偵測和分析。 這些惡意程式碼通常會模糊化,且可能以 PowerShell 中的指令碼或命令行的形式顯示。 Copilot 可以快速 分析指令碼,從而減少調查的時間。

醒目提示事件頁面的攻擊故事檢視中指令碼分析按鈕的螢幕擷取畫面。

產生裝置摘要

調查涉及事件的裝置可能是一項繁重的工作。 為快速評估裝置,Copilot 可以 摘要裝置的資訊,包括裝置的安全性態勢、任何異常行為、易受攻擊的軟體清單,以及相關的 Microsoft Intune 資訊。

Defender 中的 Copilot 中的裝置摘要結果的螢幕擷取畫面。

立即分析檔案

Copilot 可協助安全性小組使用 檔案分析,快速評估及瞭解可疑檔案。 Copilot 提供檔案的摘要,包括偵測資訊、相關的檔案憑證、API 呼叫清單,以及在檔案中找到的字串。

Defender 中的 Copilot 中的檔案分析結果的螢幕擷取畫面,其中已醒目提示 [隱藏詳細資料] 選項。

立即調查身分識別

使用 Copilot 產生 身分識別摘要 ,以快速評估用戶的風險。 使用使用者角色和角色變更、登入行為、裝置登入和相關聯繫人資訊的內容相關信息,識別身分識別處於風險或可疑狀態。

顯示使用者詳細資料窗格中 [摘要] 選項的螢幕快照。

有效率地撰寫事件報告

安全性作業小組通常會撰寫報告來記錄重要資訊,包括已採取哪些回應動作和對應的結果、涉及的小組成員等其他資訊,以協助未來的安全性決策和學習。 記錄事件通常很耗時。 若要讓事件報告生效,它必須包含事件摘要以及所採取的動作,包括由誰和何時採取的動作。 Copilot 會透過快速合併這些資訊來 產生事件報告

事件頁面中的事件報告卡片之螢幕擷取畫面,其中顯示卡片的上半部。

像專業人員一樣搜捕

Defender 中的 Copilot 可透過快速建置適當的 KQL 查詢,以協助安全性小組主動搜捕其網路中的威脅。

從自然語言輸入產生 KQL 查詢

使用進階搜捕主動搜捕其網路中威脅的安全性小組,現在可以使用查詢 助理,將威脅搜捕內容中的任何自然語言問題轉換成現成可執行的 KQL 查詢。 查詢助理會透過產生接著可以根據分析師的需求自動執行或進一步調整的 KQL 查詢,以節省安全性小組的時間。 閱讀更多 進階搜捕中的 Copilot for Security 中的查詢助理。

進階搜捕中的 [Copilot] 窗格的螢幕擷取畫面。

使用相關的威脅情報,來保護您的組織

讓您的安全性組織能夠使用最新的威脅情報,做出明智的決策。 Copilot 會合併並摘要威脅情報,以協助安全性小組有效排定威脅的優先順序並回應威脅。

監視威脅情報

要求 Copilot 摘要影響您環境的相關威脅、根據您的暴露程度排定解決威脅的優先順序,或尋找可能以您的產業為目標的威脅行為者。 閱讀更多關於 威脅情報中的 Copilot for Security 之資訊。

Defender 全面偵測回應中的威脅情報中的 [Copilot] 窗格之螢幕擷取畫面。

存取 Defender 中的 Copilot

若要確保您有權存取 Defender 中的 Copilot,請參閱 Copilot for Security 購買和授權資訊。 一旦您能夠存取 Copilot for Security,主要功能就會在 Microsoft Defender 入口網站中提供。

Copilot 中的範例提示

在 Microsoft Defender 入口網站中,您可以找到範例提示,以協助您流覽及使用一些 Copilot 功能。 提示的設計目的是要協助您了解這些功能,以及如何有效地使用它們。 以下是您可能會在入口網站中看到的一些提示範例:

進階搜捕提示:

醒目提示進階搜捕頁面中 Copilot 提示的螢幕快照。

威脅情報提示:

醒目提示威脅情報頁面中 Copilot 提示的螢幕快照。

您可以使用自然語言提示,在 Copilot for Security 獨立入口網站中擴充調查。 以下是您可以在提示欄中輸入的範例提示,以協助您摘要說明事件與建議:

  • 輸入 摘要事件 {incident number},並以一組建議結束 ,以產生事件摘要和建議。
  • 鍵入 您可以對文稿中指標的評價提供什麼資訊?它們是否為惡意?如果是,為什麼? 分析文稿併產生腳本的相關詳細數據。

Copilot 中的提示可協助您有效地流覽和使用功能。 您也可以使用提示列來產生 KQL 查詢、摘要事件,以及分析檔案。 請參閱在 有效提示中建立有效提示的秘訣。 您也可以使用預先建置的提示書,協助您開始使用 Copilot。 若要深入瞭解 promptbook,請參閱 Copilot 中的 promptbooks

提供意見反應

所有 Defender 中的 Copilot 功能都有提供意見反應的選項。 若要提供意見反應, 請執行下列步驟:

  1. 選取意見反應圖示 Defender 卡片中 Copilot 意見反應圖示的螢幕快照。 位於 Copilot 側邊面板中任何結果卡片底部。
  2. 如果您認為結果正確,請選取 [看起來正確 ]。 您可以在下一個對話方塊中提供詳細資訊。
  3. 如果您將結果評估為不足或不完整,請選取 [ 需要改進 ]。 您可以在下一個對話方塊中提供評定的詳細資訊,並提交此評定給 Microsoft。
  4. 如果結果包含可疑或模棱兩可的資訊,您也可以選取 [ 不適當] 來報告結果。 請在下一個對話方塊中提供有關結果的詳細資訊,然後選取 [提交]。

隱私權與資料安全性

Copilot 會根據系統管理員所定義的設定,使用 已儲存已處理已共用資料 來持續演進。 Microsoft 會確保使用 Copilot 時,您的資料始終受到保護且安全。 若要深入瞭解 Copilot 中的資料安全性和隱私權,請參閱 Copilot 中的隱私權和資料安全性

由於 Copilot 的持續演進,它可能會遺漏一些項目。 檢閱並針對結果 提供意見反應,有助於改善 Copilot 的未來回應。

Copilot for Security 中的外掛程式

Copilot 會使用 預先安裝的 Microsoft 外掛程式,例如 Microsoft Defender 全面偵測回應、Defender 威脅情報和 Microsoft Sentinel 和 Defender 全面偵測回應的自然語言 KQL 外掛程式,以產生相關資訊、為事件提供更多內容,並產生更精確的結果。 請確定 已在 Copilot 中開啟外掛程式,以允許存取相關資料,並從組織中的其他 Microsoft 服務產生要求的內容。

後續步驟

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群