Microsoft Defender 中的 Microsoft Copilot
適用於:
- Microsoft Defender XDR
- Microsoft DEFENDER 整合安全性作業中心 (SOC) 平臺
Microsoft Copilot for Security 將 AI 和人類專業知識的能力結合在一起,以協助安全性小組更快速且更有效率地響應攻擊。 適用於安全性的 Copilot 內嵌在 Microsoft Defender 入口網站中,可讓安全性小組有效率地摘要事件、分析腳本和程式代碼、分析檔案、摘要裝置資訊、使用引導式回應來解決事件、產生 KQL 查詢,以及建立事件報告。
本文提供 Defender 中 Copilot 使用者的概觀,包括存取步驟、重要功能,以及這些功能詳細數據的連結。
在 Defender 中存取 Copilot
若要確保您可以在 Defender 中存取 Copilot,請參閱 適用於安全性的 Copilot 購買和授權資訊。 一旦您能夠存取 Copilot for Security,下列討論的主要功能便可在 Microsoft Defender 入口網站中存取。
調查及回應專家之類的事件
讓安全性小組能夠輕鬆且精確地及時處理攻擊調查。 Copilot 可協助小組立即瞭解攻擊、快速分析可疑的檔案和腳本,並立即評估並套用適當的防護功能來停止和包含攻擊。
快速摘要事件
調查具有多個警示的事件可能是一項令人卻步的工作。 若要立即瞭解事件,您可以點選 Copilot 為您 摘要事件 。 Copilot 會建立攻擊的概觀。 概觀包含基本資訊,可讓您了解攻擊中所發生的狀況、涉及哪些資產,以及攻擊的時間軸。 當您流覽至事件的頁面時,Copilot 會自動建立摘要。
透過引導式回應對事件採取動作
解決事件需要分析師了解攻擊,才能知道哪些解決方案是適當的。 Copilot 會透過每個事件特定的 引導式響應 來建議解決方案。
輕鬆執行腳本分析
大多數攻擊者在啟動攻擊時依賴複雜的惡意程式碼,以避免偵測和分析。 這些惡意代碼通常會模糊化,而且可能是PowerShell中的腳本或命令行形式。 Copilot 可以快速 分析腳本,減少調查的時間。
產生裝置摘要
調查涉及事件的裝置可能是一項工作工作。 若要快速評估裝置,Copilot 可以 摘要說明裝置的資訊,包括裝置的安全性狀態、任何不尋常的行為、易受攻擊的軟體清單,以及相關Microsoft Intune 資訊。
立即分析檔案
Copilot 可協助安全性小組透過 檔案分析快速評估及瞭解可疑檔案。 Copilot 提供檔案的摘要,包括偵測資訊、相關的檔案憑證、API 呼叫清單,以及檔案中找到的字串。
有效率地撰寫事件報告
安全性作業小組通常會撰寫報告來記錄重要資訊,包括已採取哪些回應動作和對應的結果、涉及的小組成員等其他資訊,以協助未來的安全性決策和學習。 記錄事件通常很耗時。 若要讓事件報告生效,它必須包含事件摘要以及所採取的動作,包括由誰和何時採取的動作。 Copilot 會透過快速合併這些資訊來 產生事件報告 。
像是專業人員一樣搜捕
Defender 中的 Copilot 透過快速建置適當的 KQL 查詢,協助安全性小組主動搜捕其網路中的威脅。
從自然語言輸入產生 KQL 查詢
使用進階搜捕主動搜捕其網路中威脅的安全性小組,現在可以使用查詢助理,將威脅搜捕內容中的任何自然語言問題轉換成現成可執行的 KQL 查詢。 查詢助理會透過產生接著可以根據分析師的需求自動執行或進一步調整的 KQL 查詢,以節省安全性小組的時間。 在進階搜捕中深入瞭解 Copilot for Security 中的查詢助理。
使用相關的威脅情報保護您的組織
讓您的安全性組織能夠使用最新的威脅情報做出明智的決策。 Copilot 會合併並摘要威脅情報,以協助安全性小組有效排定優先順序並回應威脅。
監視威脅情報
要求 Copilot 摘要說明影響您環境的相關威脅、根據您的暴露程度排定解決威脅的優先順序,或尋找可能以您的產業為目標的威脅執行者。 深入了解 威脅情報中適用於安全性的 Copilot。
Copilot 中的數據安全性和意見反應
Copilot 會根據系統管理員所定義的設定,使用儲存、處理和共用的數據持續演進。 Microsoft確保使用 Copilot 時,您的數據一律受到保護和安全。 若要深入瞭解 Copilot 中的數據安全性和隱私權,請參閱 Copilot 中的隱私權和數據安全性。
由於其持續演進,Copilot 可能會遺漏一些專案。 檢閱並提供有關結果的意見 反應 ,有助於改善 Copilot 的未來回應。
Defender 功能中的所有 Copilot 都有提供意見反應的選項。 若要提供意見反應, 請執行下列步驟:
- 選取意見反應圖示 位於 Copilot 側邊面板中任何結果卡片底部。
- 如果根據您的評定結果正確無誤,請選取 [確認,看起來很棒]。 您可以在下一個對話框中提供詳細資訊。
- 如果根據您的評定,詳細資料不正確或不完整,請選取 [偏離目標、不正確]。 您可以在下一個對話方塊中提供評定的詳細資訊,並提交此評定給 Microsoft。
- 如果評定包含可疑或不明確的資訊,您也可以透過選取 [可能有害,不適當] 以報告結果。 請在下一個對話方塊中提供有關結果的詳細資訊,然後選取 [提交]。
Copilot for Security 中的外掛程式
Copilot 會針對 Microsoft Sentinel 和 Defender XDR 外掛程式使用預安裝的Microsoft外掛程式 ,例如 Microsoft Defender XDR、Defender 威脅情報和自然語言至 KQL,以產生相關信息、提供更多事件內容,以及產生更精確的結果。 請確定 Copilot 中已開啟外掛程式 ,以允許存取相關數據,並從組織中的其他Microsoft服務產生要求的內容。
後續步驟
另請參閱
提示
想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft Defender XDR 技術社群。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應