使用 Microsoft Defender 中的 Microsoft 安全性 Copilot 摘要事件
Microsoft Defender 全面偵測回應會套用 Copilot for Security 的功能來摘要事件、提供有影響力的資訊和深入解析來以簡化調查工作。 攻擊調查是事件回應小組成功保護組織免受網路威脅進一步損害的重要步驟。 調查通常很耗時,因為它牽涉到許多步驟。 事件回應小組必須瞭解攻擊如何發生: 排序多個警示、識別涉及的資產和實體,以及評估攻擊的範圍和影響。
事件回應者可以透過 Microsoft Defender 全面偵測回應的關聯功能和 Copilot for Security 的 AI 支援資料處理和內容化,輕鬆取得調查及補救事件的相關內容。 使用事件摘要,回應者可以快速取得重要資訊,以協助調查。
事件摘要功能可透過 Copilot for Security 授權 在 Microsoft Defender 入口網站中取得。 這項功能也可透過 Microsoft Defender 全面偵測回應外掛程式,在 Copilot for Security 獨立體驗中使用。
本指南概述可預期的內容及如何存取 Defender 中的 Copilot 摘要功能,包括提供意見反應的資訊。
摘要事件
最多包含 100 個警示的事件可以摘要成一個事件摘要。 事件摘要,視資料的可用性而定,包含下列項目:
- 攻擊開始的時間和日期。
- 開始攻擊的實體或資產。
- 攻擊如何展開的時程表摘要。
- 涉及攻擊的資產。
- 入侵指標 (IoCs)。
- 涉及的 威脅執行者 的名稱。
若要摘要事件,請執行下列步驟:
開啟事件頁面。 Copilot 會在開啟頁面時自動建立事件摘要。 您可以選取 [取消] 以停止摘要建立,或選取 [重新產生] 以重新開始建立。
事件摘要卡片會在 Copilot 窗格上載入。 檢閱卡片上產生的摘要。
提示
您可以透過按一下結果中的證據,從 Copilot 結果窗格瀏覽至檔案、IP 或 URL 頁面。
選取事件摘要卡片頂端的 其他動作 省略符號 (...) 以複製或重新產生摘要,或在 Copilot for Security 中檢視摘要。 選取 [在 Copilot for Security 中開啟] 會開啟新的 Copilot for Security 獨立入口網站分頁,您可以在此輸入提示並存取其他外掛程式。
檢視摘要,並使用該資訊來引導您對事件的調查和回應。 您可以透過選取在 Copilot 窗格底部找到的意見反應圖示 來提供有關摘要的意見反應。
另請參閱
- 執行指令碼分析
- 分析檔案
- 產生裝置摘要
- 回應威脅時使用引導式回應
- 產生 KQL 查詢
- 建立事件報告
- 開始使用 Microsoft Copilot for Security
- 深入瞭解其他的 Copilot for Security 內嵌體驗
- 深入瞭解 Copilot for Security 中預安裝的外掛程式
- 在 Microsoft Defender 全面偵測回應中調查事件
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。