共用方式為

在 Microsoft Defender 中使用 Microsoft Copilot 摘要身份資訊

  • 適用於: Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

調查使用者的安全作業團隊可利用Microsoft Security Copilot in Microsoft Defender的身份摘要功能輕鬆理解身份資訊。 透過生成式 AI 並善用 適用於身分識別的 Microsoft Defender 的強大功能,Copilot 能為組織中的身份建立情境洞見,協助分析師快速理解重要資料,加速調查。

透過身份摘要功能,分析師能立即識別可能對組織產生負面影響的可疑或風險身份相關變更與行動。 摘要也包含可能影響身份的錯誤配置。 Copilot 利用自然語言,提供清晰且可操作的使用者資訊,讓分析師能在事件調查活動中運用。 此功能目前主要針對使用者,下一階段將包含服務帳號。

本指南說明身份摘要功能及其運作方式,包括如何對所產生的結果提供回饋。

開始之前的須知事項

如果你是 Security Copilot 的新手,應該透過閱讀以下文章來熟悉它:

透過身份摘要功能,分析師能立即識別可能對組織產生負面影響的可疑或風險身份相關變更與行動。 摘要也包含可能影響身份的錯誤配置。 Copilot 利用自然語言,提供清晰且可操作的使用者資訊,讓分析師能在事件調查活動中運用。 此功能目前主要針對使用者,下一階段將包含服務帳號。

Security Copilot 與 Microsoft Defender 的整合

身份摘要功能可在 Microsoft Defender 入口網站中提供,供已配置 Security Copilot 存取權的客戶使用。

存取 Security Copilot 獨立入口網站的使用者可透過 Microsoft Defender 全面偵測回應 外掛使用此功能。 了解更多關於 Security Copilot 預裝插件的資訊。

重點功能

身份摘要包含關於身份的重要資訊,包括:

  • 使用者帳號建立的日期,以及該帳號是高、中、低關鍵性
  • 任何與簽入地點、簽入頻率或嘗試失敗頻率有關的異常行為模式
  • 使用者目前的角色,包括部門與職位,以及是否與其職稱和部門有顯著職務變動,以凸顯不一致之處
  • 關於使用者過去30天內最後一次登入裝置的資料,無論該裝置是否與該使用者相關聯
  • 認證方法與應用
  • 基於 Microsoft Entra ID 的使用者相關風險
  • 一般資訊,例如使用者的專業職稱與聯絡資訊、部門,以及主管的聯絡資訊

您可以透過以下方式存取身份摘要功能:

  • 在事件頁面中,選擇事件圖表上的一個身份,然後 (1) 選擇 使用者詳細資料。 在使用者資料欄中, (2) 選擇 「摘要」。 結果顯示在副駕駛側面板。

    使用者資料面板中摘要選項的截圖。

  • 或者,您也可以在使用者詳情窗格底部選擇「 前往使用者頁面 」以開啟使用者頁面。 Copilot 會自動產生身份摘要,並在開啟使用者頁面時顯示側邊面板。

  • 你也可以在事件的 資產 標籤中選擇使用者,來存取身份摘要功能。 在使用者詳細資料窗格中選擇 「摘要 」以產生身份摘要。

    顯示資產分頁的截圖,並標示了一個使用者帳號。

  • 在警報頁面中,選擇一位使用者,然後在使用者詳細資料欄選「 摘要 」以產生身份摘要。

  • 在進階搜尋頁面中,您可以透過在結果表中選擇使用者,然後選擇連結到該用戶頁面,來存取身份摘要功能。 Copilot 會自動產生身份摘要,並在開啟使用者頁面時顯示側邊面板。

  • 從主選單中,進入資產>識別。 從列表中選擇一個使用者名稱,然後選擇 「檢視使用者頁面 」以開啟使用者頁面。 Copilot 會自動產生身份摘要,並在開啟使用者頁面時顯示側邊面板。

    截圖中標示身份搜尋中「查看使用者頁面」選項。

  • 在 Microsoft Defender 入口網站的搜尋框輸入使用者名稱,然後從搜尋結果中選擇該使用者名稱。 在使用者資料側面板,選擇「 摘要 」以產生身份摘要。

檢視身份摘要結果。 你可以將結果複製到剪貼簿、重新生成結果,或透過在身份摘要卡上方選擇「更多動作」省略號 (...) 開啟Security Copilot。 你可以在 Security Copilot 入口網站使用提示和其他外掛,延長身份調查範圍。

身份摘要範例提示

在 Security Copilot 獨立入口網站中,您可以使用以下提示來產生身份摘要:

  • 請顯示該使用者在過去 {時間段} 內的 Defender 摘要。

提示

在調查 Security Copilot 入口網站的使用者時,Microsoft 建議在提示中加入「Defender」一詞,以確保身份摘要功能能提供結果。 你可以在調查時間範圍內指定最多120天,如果沒有指定,預設是30天。

提供意見反應

Microsoft 強烈鼓勵你向 Copilot 提供回饋,因為這對能力的持續改進至關重要。 要提供回饋,請前往 Copilot 側邊底部,選擇 Defender 卡片中 Copilot 回饋圖示截圖

截圖顯示回饋文字框,你可以在那裡分享你的回饋。

請填寫專屬文字框,分享你的想法、經驗與請求。 Microsoft 重視您的回饋,並認真對待,致力於提升 Copilot 的效能與使用者體驗。

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群

  • Last updated on