Microsoft Defender 威脅情報中的安全性 Microsoft Copilot
重要事項
在 2024 年 6 月 30 日,Microsoft Defender 威脅情報 (Defender TI) 獨立入口網站 (https://ti.defender.microsoft.com) 已淘汰且無法再存取。 客戶可以在 Microsoft Defender 入口網站 中或搭配 Microsoft Copilot for Security 繼續使用 Defender TI。 深入了解
Microsoft Copilot for Security 是雲端式 AI 平臺,提供自然語言 Copilot 體驗。 它可以協助支援不同案例中的安全性專業人員,例如事件回應、威脅搜捕和情報收集。 如需有關可以執行哪些功能的詳細資訊,請參閱 什麼是 Microsoft Copilot for Security?。
Copilot for Security 客戶可讓每個已驗證的 Copilot 使用者存取 Microsoft Defender 威脅情報 (Defender TI) 。 若要確保您有權存取 Copilot,請參閱 Copilot for Security 購買和授權資訊。
一旦您能夠存取 Copilot for Security,本文中討論的主要功能便可在 Copilot for Security 入口網站或 Microsoft Defender 入口網站中存取。
開始之前的須知事項
如果您不熟悉 Copilot for Security,您應該閱讀下列文章來熟悉它:
- 什麼是 Microsoft Copilot for Security?
- 安全性體驗的 Microsoft Copilot
- 開始使用 Microsoft Copilot for Security
- 瞭解安全性 Microsoft Copilot 中的驗證
- Microsoft Copilot for Security 中的提示功能
Defender TI 中適用於安全性整合的 Copilot
Copilot for Security 提供威脅執行者、入侵指標 (IOC) 、工具和弱點的相關信息,以及來自 Defender TI 的內容相關威脅情報。 您可以使用提示和提示集來調查事件、使用威脅情報資訊擴充您的搜捕流程,或深入瞭解貴組織或全域威脅環境。
您的提示務必清楚且明確。 如果您在提示中包括特定威脅行為者名稱或 IOC,可能可以獲得更好的結果。 如果您將 威脅情報 新增至提示,它也可能會有所幫助,例如:
- 向我顯示 Aqua Blizzard 的威脅情報資料。
- 摘要「malicious.com」的威脅情報資料。
參考事件時請具體說明 (例如「事件識別碼 15324」)。
嘗試不同的提示和變化,以查看最適合您使用案例的方式。 聊天 AI 模型各有不同,因此請根據您收到的結果來逐一查看並精簡您的提示。
Copilot 會儲存您的提示會話。 若要查看先前的會話,請從 [安全性 首頁] 的 [Copilot] 功能表,移至 [我的會話]。
![顯示 [安全性首頁] 功能表 Microsoft Copilot 的螢幕快照,其中已醒目提示 [我的會話]。](/zh-tw/defender/threat-intelligence/media/defender-ti-and-copilot/copilot-my-sessions.png)
注意事項
如需 Copilot 的逐步說明,包括釘選和共用功能,請參閱 瀏覽 Microsoft Copilot for Security。
重點功能
Copilot for Security 可讓安全性小組立即瞭解、排定優先順序,並針對威脅情報資訊採取動作。
您可以詢問威脅行為者、攻擊活動或您想要深入瞭解的任何其他威脅情報,Copilot 便會根據威脅分析報告、Intel 設定檔和文章,以及其他 Defender TI 內容來產生回應。
您也可以選擇 Defender 入口網站中可用的任何內建提示,以執行下列動作:
深入瞭解使用 Defender 中的 Copilot,以取得威脅情報
在 Defender TI 中啟用 Copilot for Security 整合
移至 Microsoft Copilot for Security,並使用認證來登入。
請確定已開啟 Defender TI 外掛程式。 在提示欄中,選取 [來源] 圖示
![[來源] 圖示的螢幕擷取畫面](/zh-tw/defender/threat-intelligence/media/defender-ti-and-copilot/copilot-sources-icon.png)
。![Microsoft Copilot for Security 中提示列的螢幕擷取畫面,其中醒目提示 [來源] 圖示。](media/defender-ti-and-copilot/copilot-prompts-bar-sources.png)
在 [ 管理來源 ] 彈出視窗中,於 [ 外掛程式] 下方確認 [ Microsoft威脅情報 ] 切換已開啟,然後關閉視窗。
![[管理外掛程式] 彈出視窗的螢幕快照,其中已醒目提示 [Microsoft 威脅情報] 外掛程式。](media/defender-ti-and-copilot/copilot-manage-plugins.png)
注意事項
某些角色可以開啟或關閉如 Defender TI 這類外掛程式的切換開關。 如需詳細資訊,請參閱 管理 Microsoft Copilot for Security 中的外掛程式。
在提示列中輸入您的提示。
內建系統功能
Copilot for Security 具有內建系統功能,可從開啟的不同外掛程式取得資料。
若要檢視 Defender TI 的內建系統功能清單:
在提示列中,選取 [提示] 圖示
。![Microsoft Copilot for Security 中提示列的螢幕擷取畫面,其中醒目提示 [提示] 圖示。](media/defender-ti-and-copilot/copilot-prompts-bar-prompts.png)
選取 [查看所有系統功能]。 [Microsoft Defender 威脅情報] 區段會列出您可以使用之 Defender TI 的所有可用功能。
Copilot 也提供下列也會從 Defender TI 傳遞資訊的提示集:
- 威脅行為者設定檔 - 產生分析已知威脅行為者的報告,包括防範其常見工具和策略的建議。
- 弱點影響評估 - 產生摘要已知弱點的情報之報告,包括解決該弱點的方法之步驟。
若要檢視這些提示集,請在提示欄中選取 [提示] 圖示,然後選取 [查看所有提示集]。
範例 Defender TI 提示
您可以使用許多提示,以從 Defender TI 取得資訊。 本節列出一些構想和範例。
威脅情報趨勢的一般資訊
從威脅文章和威脅行為者取得威脅情報。
範例提示 :
- 摘要最近的威脅情報。
- 向我顯示最新的威脅文章。
- 取得過去六個月內與勒索軟體相關的威脅文章。
與威脅情報相關的 IP 位址和主機內容相關資訊
取得與 IP 位址和主機相關聯的資料集相關資訊,例如連結埠、信譽分數、元件、憑證、Cookie、服務和主機配對。
範例提示:
- 向我顯示主機 <主機名稱> 的信譽。
- 取得 IP 位址 <IP 位址> 的解決方案。
威脅行為者對應和基礎結構
取得威脅行為者以及策略、技術和程序 (TTP)、贊助國家、產業和與之相關聯的 IOC 的相關資訊。
範例提示:
- 告訴我更多關於 Silk Typhoon 的資訊。
- 共用與 Silk Typhoon 相關聯的 IOC。
- 共用與 Silk Typhoon 相關聯的 TTP。
- 共用與俄羅斯相關聯的威脅行為者。
CVE 提供的弱點資料
取得常見弱點與暴露風險 (CVE) 的內容相關資訊和威脅情報。
範例提示:
- 共用易受弱點 CVE-2021-44228 影響的技術。
- 摘要弱點 CVE-2021-44228。
- 向我顯示最新的 CVE。
- 向我顯示與 CVE-2021-44228 相關聯的威脅行為者。
- 向我顯示與 CVE-2021-44228 相關聯的威脅文章。
提供意見反應
您對於 Copilot for Security 中 Defender TI 整合的意見反應有助於開發。 若要提供意見反應,請在 Copilot 中選取 [此回應如何? 在每個已完成提示的底部,並選擇下列任何選項:
- 看起來正確 - 根據您的評定,如果結果正確,請選取此按鈕。
- 需要改進 - 根據您的評定,如果結果中的任何詳細資料不正確或不完整,請選取此按鈕。
- 不適當 - 如果結果包含可疑、模棱兩可或可能有害的資訊,請選取此按鈕。
針對每個意見反應按鈕,您可以在顯示的下一個對話方塊中提供詳細資訊。 可能的話,當結果 需要改進 時,寫幾句話,解釋可以執行什麼動作以改善結果。 如果您輸入 Defender TI 的特定提示,且結果不相關,則請包含該資訊。
Copilot for Security 中的隱私權和數據安全性
當您與 Copilot for Security 互動以取得 Defender TI 資料時,Copilot 會從 Defender TI 提取該資料。 系統會處理提示、已檢索的資料,以及提示結果中顯示的輸出,並將之儲存在 Copilot 服務中。 深入瞭解 Microsoft Copilot for Security 中的隱私權和資料安全性