共用方式為


使用 Microsoft Defender 中的 Microsoft Copilot 的引導式回應來分級和調查事件

Microsoft Defender 入口網站中的 Microsoft Copilot for Security 支援事件回應小組使用引導式回應立即解決事件。 Defender 中的 Copilot 使用 AI 和機器學習功能將事件內容化,並從先前的調查中學習,以產生適當的回應動作。

回應 Microsoft Defender 入口網站中的事件通常需要熟悉入口網站用來停止攻擊的可用動作。 此外,新的事件回應者對於開始回應事件的位置和方式可能有不同的想法。 Defender 中的 Copilot 的引導式回應功能,可讓各層級的事件回應小組安心且快速地套用回應動作,以輕鬆解決事件。

引導式回應可在 Microsoft Defender 入口網站中透過 Copilot for Security 授權 取得。 引導式回應也可透過 Defender 全面偵測回應外掛程式,在 Copilot for Security 獨立體驗中取得。

本指南概述如何存取引導式回應功能,包括提供關於回應的意見反應的相關資訊。

套用引導式回應來解決事件

引導式回應建議下列類別的動作:

  • 分級 - 包含將事件分類為參考、確判為真或誤判為真的建議
  • 內含項目 - 包含包含事件的建議動作
  • 調查 - 包含建議的動作以供進一步調查
  • 補救 - 包含建議的回應動作,以套用至涉及事件的特定實體

每張卡片都包含建議動作的相關資訊,包括需要套用動作的實體,以及建議執行動作的原因。 卡片也會強調由自動調查完成建議的動作之時機,例如 攻擊中斷自動化調查回應

引導式回應卡片可以根據每張卡片的可用狀態來排序。 您可以藉由點擊 [狀態] 並選取您想要檢視的適當狀態,以在檢視引導式回應時選取特定狀態。 預設會顯示所有引導式回應卡片,不論其狀態為何。

此螢幕快照顯示 [Microsoft Defender 事件] 頁面中 [Copilot] 窗格中的響應狀態。

若要使用引導式回應,請執行下列步驟:

  1. 開啟事件頁面。 Copilot 會在開啟事件頁面時,自動產生引導式回應。 [Copilot] 窗格會出現在事件頁面的右側,其中顯示引導式回應卡片。

    顯示 [Copilot] 窗格的螢幕快照,其中包含 [Microsoft Defender 事件] 頁面中的引導式回應。

  2. 套用建議之前,請先檢閱每張卡片。 選取回應卡片頂端的 [其他動作] 省略號 (...),以檢視每個建議可用的選項。 下列提供一些範例。

    螢幕快照,顯示在 Copilot 側邊面板的引導式回應卡片中,可供使用者使用的選項。

    此螢幕快照顯示使用者在 Microsoft Defender 全面偵測回應 中 [Copilot] 窗格的自動化回應卡片中可用的選項。

  3. 若要套用動作,請選取在每個卡片上找到的所需動作。 每張卡片上的引導式回應動作都是針對事件類型和所涉及的特定實體量身訂做。

    螢幕快照,顯示 Microsoft Defender 中 [Copilot] 窗格中的引導式回應卡片。

  4. 您可以針對每張回應卡片提供意見反應,以持續增強 Copilot 的未來回應。 若要提供意見反應,請選取意見反應圖示 螢幕快照,其中顯示每張卡片右下方的Defender卡片中 Copilot 的意見反應圖示

注意事項

呈現灰色的動作按鈕表示這些動作受限於您的權限。 如需詳細資訊,請參閱統一角色型存取 (RBAC) 權限 頁面。

Copilot 可協助加速分析師的調查工作。 當事件需要進一步調查用戶活動時,Copilot 會建議分析師可用來與用戶通訊的文字。 引導式回應卡片包含 Teams 中的連絡人使用者複製到剪貼簿 動作,可將建議的文字複製到剪貼簿。 接著,分析師可以將文字貼到電子郵件或其他通訊工具中。 分析師也可以透過 檢視 用戶動作來取得更多使用者相關內容。

顯示引導式回應卡片中通訊建議文字的螢幕快照。

Copilot 也支援事件回應小組,方法是讓分析師透過其他深入解析來取得更多有關回應動作的內容。 針對補救回應,事件回應小組可以使用選項 (例如 檢視類似的事件檢視類似的電子郵件) 來檢視額外資訊。

當組織內有類似目前事件的其他事件時,[檢視類似的事件] 動作就會變成可供使用。 [類似事件] 索引標籤會列出您可以檢閱的類似事件。 Microsoft Defender 會透過機器學習自動識別組織內的類似事件。 事件回應小組可以使用這些類似事件的資訊來分類事件,並進一步檢閱在這些類似事件中執行的動作。

[檢視類似的電子郵件] 動作是網路釣魚事件專屬的動作,會帶您前往 [進階搜捕] 頁面,其中會自動產生列出組織內類似電子郵件的 KQL 查詢。 與事件相關的自動查詢產生可協助事件回應小組進一步調查與事件相關的其他電子郵件。 您可以檢閱查詢,並根據需要進行修改。

另請參閱

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群