使用 Microsoft Defender 中的 Microsoft Copilot 的引導式回應來分級和調查事件
Microsoft Defender 入口網站中的 Microsoft Copilot for Security 支援事件回應小組使用引導式回應立即解決事件。 Defender 中的 Copilot 使用 AI 和機器學習功能將事件內容化,並從先前的調查中學習,以產生適當的回應動作。
本指南概述如何存取引導式回應功能,包括提供關於回應的意見反應的相關資訊。
開始之前的須知事項
如果您不熟悉 Copilot for Security,您應該閱讀下列文章來熟悉它:
- 什麼是 Copilot for Security?
- Copilot for Security 體驗
- 開始使用 Copilot for Security
- 瞭解 Copilot for Security 中的驗證
- 在 Copilot for Security 中提示
回應 Microsoft Defender 入口網站中的事件通常需要熟悉入口網站用來停止攻擊的可用動作。 此外,新的事件回應者對於開始回應事件的位置和方式可能有不同的想法。 Defender 中的 Copilot 的引導式回應功能,可讓各層級的事件回應小組安心且快速地套用回應動作,以輕鬆解決事件。
Microsoft Defender 中安全性整合的 Copilot
已布建安全性 Copilot 存取權的客戶可在 Microsoft Defender 入口網站中取得引導式回應。
透過 Microsoft Defender 全面偵測回應 外掛程式,在適用於安全性的 Copilot 獨立體驗中也提供引導式回應。 深入瞭解 Copilot for Security 中預先安裝的外掛程式。
重點功能
引導式回應建議下列類別的動作:
- 分級 - 包含將事件分類為參考、確判為真或誤判為真的建議
- 內含項目 - 包含包含事件的建議動作
- 調查 - 包含建議的動作以供進一步調查
- 補救 - 包含建議的回應動作,以套用至涉及事件的特定實體
每張卡片都包含建議動作的相關資訊,包括需要套用動作的實體,以及建議執行動作的原因。 卡片也會強調由自動調查完成建議的動作之時機,例如 攻擊中斷 或 自動化調查回應。
引導式回應卡片可以根據每張卡片的可用狀態來排序。 您可以藉由點擊 [狀態] 並選取您想要檢視的適當狀態,以在檢視引導式回應時選取特定狀態。 預設會顯示所有引導式回應卡片,不論其狀態為何。
![顯示 [Microsoft Defender 事件] 頁面中 [Copilot] 窗格中回應狀態的螢幕快照。](/zh-tw/defender/media/copilot-in-defender/guided-response/copilot-defender-guided-response-status.png#lightbox)
若要使用引導式回應,請執行下列步驟:
開啟事件頁面。 Copilot 會在開啟事件頁面時,自動產生引導式回應。 [Copilot] 窗格會出現在事件頁面的右側,其中顯示引導式回應卡片。
![顯示 [Copilot] 窗格的螢幕快照,其中包含 [Microsoft Defender 事件] 頁面中的引導式回應。](/zh-tw/defender/media/copilot-in-defender/guided-response/copilot-defender-guided-response-small.png)
套用建議之前,請先檢閱每張卡片。 選取回應卡片頂端的 [其他動作] 省略號 (...),以檢視每個建議可用的選項。 下列提供一些範例。
![螢幕快照,顯示使用者在 Microsoft Defender 全面偵測回應 中 [Copilot] 窗格的自動化回應卡片中可用的選項。](/zh-tw/defender/media/copilot-in-defender/guided-response/copilot-defender-guided-response-more-actions2.png)
若要套用動作,請選取在每個卡片上找到的所需動作。 每張卡片上的引導式回應動作都是針對事件類型和所涉及的特定實體量身訂做。
![螢幕快照,顯示 Microsoft Defender 中 [Copilot] 窗格中的引導式回應卡片。](/zh-tw/defender/media/copilot-in-defender/guided-response/copilot-defender-guided-response-actions-small.png)
您可以針對每張回應卡片提供意見反應,以持續增強 Copilot 的未來回應。 若要提供意見反應,請選取意見反應圖示
。
![顯示 [Copilot] 窗格的螢幕快照,其中包含 [Microsoft Defender 事件] 頁面中的引導式回應。](/zh-tw/defender/media/copilot-in-defender/guided-response/copilot-defender-guided-response.png#lightbox)
![螢幕快照,顯示 Microsoft Defender 中 [Copilot] 窗格中的引導式回應卡片。](/zh-tw/defender/media/copilot-in-defender/guided-response/copilot-defender-guided-response-actions.png#lightbox)
注意事項
呈現灰色的動作按鈕表示這些動作受限於您的權限。 如需詳細資訊,請參閱統一角色型存取 (RBAC) 權限 頁面。
Copilot 可協助加速分析師的調查工作。 當事件需要進一步調查用戶活動時,Copilot 會建議分析師可用來與用戶通訊的文字。 引導式回應卡片包含 Teams 中的連絡人使用者 或 複製到剪貼簿 動作,可將建議的文字複製到剪貼簿。 接著,分析師可以將文字貼到電子郵件或其他通訊工具中。 分析師也可以透過 檢視 用戶動作來取得更多使用者相關內容。
Copilot 也支援事件回應小組,方法是讓分析師透過其他深入解析來取得更多有關回應動作的內容。 針對補救回應,事件回應小組可以使用選項 (例如 檢視類似的事件 或 檢視類似的電子郵件) 來檢視額外資訊。
當組織內有類似目前事件的其他事件時,[檢視類似的事件] 動作就會變成可供使用。 [類似事件] 索引標籤會列出您可以檢閱的類似事件。 Microsoft Defender 會透過機器學習自動識別組織內的類似事件。 事件回應小組可以使用這些類似事件的資訊來分類事件,並進一步檢閱在這些類似事件中執行的動作。
[檢視類似的電子郵件] 動作是網路釣魚事件專屬的動作,會帶您前往 [進階搜捕] 頁面,其中會自動產生列出組織內類似電子郵件的 KQL 查詢。 與事件相關的自動查詢產生可協助事件回應小組進一步調查與事件相關的其他電子郵件。 您可以檢閱查詢,並根據需要進行修改。
範例引導式回應提示
在 Copilot for Security 獨立入口網站中,您可以使用下列提示來產生引導式回應:
- 產生 Defender 事件 {事件標識符} 的引導式響應和建議。
提示
在 Copilot for Security 入口網站中產生引導式回應時,Microsoft建議在提示中包含 Defender 一詞,以確保引導式回應功能會提供結果。
提供意見反應
Microsoft強烈鼓勵您提供意見反應給 Copilot,因為這對功能的持續改進非常重要。 若要提供意見反應,請流覽至 Copilot 側邊面板底部,然後選取意見反應圖示 
。
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。