共用方式為

使用 Microsoft Defender 中的 Microsoft Copilot 的引導式回應來分級和調查事件

  • 適用於: Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Defender 入口網站中的 Microsoft Security Copilot 支援事件應變團隊,立即以引導式回應解決事件。 Defender 中的 Copilot 使用 AI 和機器學習功能將事件內容化,並從先前的調查中學習,以產生適當的回應動作。

本指南概述如何存取引導式回應功能,包括提供關於回應的意見反應的相關資訊。

開始之前的須知事項

如果你是 Security Copilot 的新手,應該透過閱讀以下文章來熟悉它:

回應 Microsoft Defender 入口網站中的事件通常需要熟悉入口網站用來停止攻擊的可用動作。 此外,新的事件回應者對於開始回應事件的位置和方式可能有不同的想法。 Defender 中的 Copilot 的引導式回應功能,可讓各層級的事件回應小組安心且快速地套用回應動作,以輕鬆解決事件。

Security Copilot 與 Microsoft Defender 的整合

Microsoft Defender 入口網站中,已配置 Security Copilot 權限的客戶可獲得導引式回應。

注意事項

Microsoft Security Copilot 提供情境性建議,幫助您更有效應對事件。 如果您的組織有自己的建議指引,管理員可以 上傳這些 指引,讓引導回應反映您組織的具體需求與政策。

Security Copilot 獨立體驗中也可透過 Microsoft Defender 全面偵測回應外掛提供導引式回應。 了解更多關於 Security Copilot 預裝插件的資訊。

重點功能

引導式回應建議下列類別的動作:

  • 分級 - 包含將事件分類為參考、確判為真或誤判為真的建議
  • 內含項目 - 包含包含事件的建議動作
  • 調查 - 包含建議的動作以供進一步調查
  • 補救 - 包含建議的回應動作,以套用至涉及事件的特定實體

每張卡片都包含建議動作的相關資訊,包括需要套用動作的實體,以及建議執行動作的原因。 卡片也會強調由自動調查完成建議的動作之時機,例如 攻擊中斷自動化調查回應

引導式回應卡片可以根據每張卡片的可用狀態來排序。 您可以藉由點擊 [狀態] 並選取您想要檢視的適當狀態,以在檢視引導式回應時選取特定狀態。 預設會顯示所有引導式回應卡片,不論其狀態為何。

顯示 Microsoft Defender 事件頁面 Copilot 面板中回應狀態的截圖。

若要使用引導式回應,請執行下列步驟:

  1. 開啟事件頁面。 Copilot 會在開啟事件頁面時,自動產生引導式回應。 [Copilot] 窗格會出現在事件頁面的右側,其中顯示引導式回應卡片。

    截圖顯示 Microsoft Defender 事件頁面中 Copilot 面板與引導回應。

  2. 套用建議之前,請先檢閱每張卡片。 選取回應卡片頂端的 [其他動作] 省略號 (...),以檢視每個建議可用的選項。 下列提供一些範例。

    截圖顯示 Copilot 側邊面板中引導式回應卡中使用者可用的選項。

    截圖顯示 Microsoft Defender 全面偵測回應 Copilot 面板自動化回應卡中使用者可用的選項。

  3. 若要套用動作,請選取在每個卡片上找到的所需動作。 每張卡片上的引導式回應動作都是針對事件類型和所涉及的特定實體量身訂做。

    這張截圖顯示 Microsoft Defender Copilot 面板中引導回應卡的畫面。

  4. 您可以針對每張回應卡片提供意見反應,以持續增強 Copilot 的未來回應。 要提供回饋,請選擇每張卡片右下角顯示 Defender 卡片中 Copilot 回饋圖示的截圖

注意事項

呈現灰色的動作按鈕表示這些動作受限於您的權限。 如需詳細資訊,請參閱統一角色型存取 (RBAC) 權限 頁面。

Copilot 有助於加快分析師的調查任務。 當事件需要對使用者活動進行進一步調查時,Copilot 會建議分析人員可用來與使用者溝通的文字。 引導式回應卡包含 Teams 中的聯絡人或複製至剪貼簿的操作,將建議文字複製到剪貼簿。 分析師接著可以將文字貼上電子郵件或其他溝通工具。 分析師也可以透過 「檢視使用者 」操作獲得更多關於使用者的背景資訊。

截圖顯示了引導式回應卡中建議的溝通文字。

Copilot 也支援事件應變團隊,讓分析師能獲得更多關於應變行動的背景資訊與更多洞見。 針對補救回應,事件回應小組可以使用選項 (例如 檢視類似的事件檢視類似的電子郵件) 來檢視額外資訊。

當組織內有類似目前事件的其他事件時,[檢視類似的事件] 動作就會變成可供使用。 [類似事件] 索引標籤會列出您可以檢閱的類似事件。 Microsoft Defender 會透過機器學習自動識別組織內的類似事件。 事件回應小組可以使用這些類似事件的資訊來分類事件,並進一步檢閱在這些類似事件中執行的動作。

[檢視類似的電子郵件] 動作是網路釣魚事件專屬的動作,會帶您前往 [進階搜捕] 頁面,其中會自動產生列出組織內類似電子郵件的 KQL 查詢。 與事件相關的自動查詢產生可協助事件回應小組進一步調查與事件相關的其他電子郵件。 您可以檢閱查詢,並根據需要進行修改。

範例引導式回應提示

在 Security Copilot 獨立入口網站中,您可以使用以下提示來產生導引式回應:

  • 產生針對 Defender 事件的引導式回應與建議 {事件ID}。

提示

在 Security Copilot 入口網站產生引導式回應時,Microsoft 建議在提示中加入「Defender」一詞,以確保引導式回應功能能交付結果。

提供意見反應

Microsoft 強烈鼓勵你向 Copilot 提供回饋,因為這對能力的持續改進至關重要。 要提供回饋,請前往 Copilot 側邊底部,選擇 Defender 卡片中 Copilot 回饋圖示截圖

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群

  • Last updated on