在 Microsoft Defender 中使用 Microsoft Copilot 的引導式回應來分級和調查事件

適用於：

• Microsoft Defender XDR
• Microsoft Defender整合安全性作業中心 (SOC) 平臺

Microsoft Defender 入口網站中的 Microsoft Copilot for Security 支援事件回應小組使用引導式回應立即解決事件。 Defender 中的 Copilot 會使用 AI 和機器學習功能來將事件內容化，並從先前的調查中學習，以產生適當的回應動作。

在 Microsoft Defender 入口網站中回應事件，通常需要熟悉入口網站用來停止攻擊的可用動作。 此外，新的事件回應者對於開始回應事件的位置和方式可能有不同的想法。 Defender 中 Copilot 的引導式回應功能可讓所有層級的事件回應小組放心且快速地套用回應動作，輕鬆解決事件。

引導式回應可透過 Copilot for Security 授權在 Microsoft Defender 入口網站中取得。 透過 Defender 全面偵測回應 外掛程式的 Copilot for Security 獨立體驗中也提供引導式回應。

本指南概述如何存取引導式回應功能，包括提供回應意見反應的相關信息。

套用引導式回應以解決事件

引導式回應建議下列類別的動作:

• 分級 - 包含將事件分類為參考、確判為真或誤判為真的建議
• 內含項目 - 包含包含事件的建議動作
• 調查 - 包含建議的動作以供進一步調查
• 補救 - 包含建議的回應動作，以套用至涉及事件的特定實體

每張卡片都包含建議動作的相關信息，包括需要套用動作的實體，以及建議執行動作的原因。 卡片也會強調何時透過自動調查來完成建議的動作，例如 攻擊中斷 或 自動化調查回應。

引導式回應卡片可以根據每張卡片的可用狀態來排序。 您可以在檢視引導式回應時選取特定狀態，方法是按兩下 [狀態 ] 並選取您想要檢視的適當狀態。 默認會顯示所有引導式回應卡片，不論狀態為何。

若要使用引導式回應，請執行下列步驟:

1. 開啟事件頁面。 Copilot 會在開啟事件頁面時自動產生引導式回應。 [Copilot] 窗格會出現在事件頁面的右側，其中顯示引導式回應卡片。

   

2. 套用建議之前，請先檢閱每張卡片。 選取回應卡片頂端的 [其他動作] 省略號 (...) ，以檢視每個建議可用的選項。 下列提供一些範例。

   

   

3. 若要套用動作，請選取在每個卡片上找到的所需動作。 每張卡片上的引導式回應動作都是針對事件類型和所涉及的特定實體量身訂做。

   

4. 您可以為每個回應卡提供意見反應，以持續增強 Copilot 的未來回應。 若要提供意見反應，請選取意見反應圖示 每張卡片右下方的 。

注意事項

呈現灰色的動作按鈕表示這些動作受限於您的許可權。 如需詳細資訊，請參閱統一角色型存取 (RBAC) 權限 頁面。

Defender 中的 Copilot 支援事件回應小組，方法是讓分析師利用其他深入解析來取得更多回應動作的內容。 針對補救回應，事件回應小組可以使用選項 (例如 檢視類似的事件 或 檢視類似的電子郵件) 來檢視額外資訊。

當組織內有類似目前事件的其他事件時，[檢視類似的事件] 動作就會變成可供使用。 [類似事件] 索引標籤會列出您可以檢閱的類似事件。 Microsoft Defender 會透過機器學習自動識別組織內的類似事件。 事件回應小組可以使用這些類似事件的資訊來分類事件，並進一步檢閱在這些類似事件中執行的動作。

[檢視類似的電子郵件] 動作是網路釣魚事件專屬的動作，會帶您前往 [進階搜捕] 頁面，其中會自動產生列出組織內類似電子郵件的 KQL 查詢。 與事件相關的自動查詢產生可協助事件回應小組進一步調查與事件相關的其他電子郵件。 您可以檢閱查詢，並根據需要進行修改。

另請參閱

• 摘要事件
• 分析檔案
• 執行指令碼分析
• 建立事件報告
• 產生 KQL 查詢
• 開始使用 Microsoft Copilot for Security
• 瞭解其他 Copilot for Security 內嵌體驗
• 深入瞭解在 Copilot for Security 中預安裝的外掛程式

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。