使用 Microsoft Defender 中的 Microsoft 安全性 Copilot 摘要事件

• 適用於:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender 全面偵測回應會套用 Copilot for Security 的功能來摘要事件、提供有影響力的資訊和深入解析來以簡化調查工作。 攻擊調查是事件回應小組成功保護組織免受網路威脅進一步損害的重要步驟。 調查通常很耗時，因為它牽涉到許多步驟。 事件回應小組必須瞭解攻擊如何發生: 排序多個警示、識別涉及的資產和實體，以及評估攻擊的範圍和影響。

本指南概述可預期的內容及如何存取 Defender 中的 Copilot 摘要功能，包括提供意見反應的資訊。

開始之前的須知事項

如果您不熟悉 Copilot for Security，您應該閱讀下列文章來熟悉它：

• 什麼是 Copilot for Security？
• Copilot for Security 體驗
• 開始使用 Copilot for Security
• 瞭解 Copilot for Security 中的驗證
• 在 Copilot for Security 中提示

事件回應者可以透過 Microsoft Defender 全面偵測回應的關聯功能和 Copilot for Security 的 AI 支援資料處理和內容化，輕鬆取得調查及補救事件的相關內容。 使用事件摘要，回應者可以快速取得重要資訊，以協助調查。

Microsoft Defender 中適用於安全性整合的 Copilot

事件摘要功能可在 Microsoft Defender 入口網站中供已布建安全性 Copilot 存取權的客戶使用。

這項功能也可透過 Microsoft Defender 全面偵測回應外掛程式，在 Copilot for Security 獨立體驗中使用。 深入瞭解 Copilot for Security 中預先安裝的外掛程式。

重點功能

最多包含 100 個警示的事件可以摘要成一個事件摘要。 事件摘要，視資料的可用性而定，包含下列項目:

• 攻擊開始的時間和日期。
• 開始攻擊的實體或資產。
• 攻擊如何展開的時程表摘要。
• 涉及攻擊的資產。
• 入侵指標 (IoCs)。
• 涉及的 威脅執行者 的名稱。

若要摘要事件，請執行下列步驟:

1. 開啟事件頁面。 Copilot 會在開啟頁面時自動建立事件摘要。 您可以選取 [取消] 以停止摘要建立，或選取 [重新產生] 以重新開始建立。

2. 事件摘要卡片會在 Copilot 窗格上載入。 檢閱卡片上產生的摘要。

   

   提示

   您可以透過按一下結果中的證據，從 Copilot 結果窗格瀏覽至檔案、IP 或 URL 頁面。

3. 選取事件摘要卡片頂端的 其他動作 省略符號 (...) 以複製或重新產生摘要，或在 Copilot for Security 中檢視摘要。 選取 [在 Copilot for Security 中開啟] 會開啟新的 Copilot for Security 獨立入口網站分頁，您可以在此輸入提示並存取其他外掛程式。

   

4. 檢視摘要，並使用該資訊來引導您對事件的調查和回應。

範例事件摘要提示

在 Copilot for Security 獨立入口網站中，您可以使用下列提示來產生事件摘要：

• 提供 Defender 事件 {事件標識符} 的摘要。

提示

在 Copilot for Security 入口網站中產生事件摘要時，Microsoft建議在提示中包含 Defender 一詞，以確保事件摘要功能會傳遞結果。

提供意見反應

Microsoft強烈鼓勵您提供意見反應給 Copilot，因為這對功能的持續改進非常重要。 您可以透過選取在 Copilot 窗格底部找到的意見反應圖示 來提供有關摘要的意見反應。

另請參閱

• 深入瞭解其他的 Copilot for Security 內嵌體驗
• Copilot for Security 中的隱私權和數據安全性

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。