Microsoft Copilot in Microsoft Defender

  • Artikel

Van toepassing op:

  • Microsoft Defender XDR
  • Microsoft Defender SOC-platform (Unified Security Operations Center)

Microsoft Copilot voor Beveiliging brengt de kracht van AI en menselijke expertise samen om beveiligingsteams te helpen sneller en effectiever op aanvallen te reageren. Copilot voor Beveiliging is ingesloten in de Microsoft Defender portal om beveiligingsteams in staat te stellen incidenten efficiënt samen te vatten, scripts en codes te analyseren, bestanden te analyseren, apparaatgegevens samen te vatten, begeleide reacties te gebruiken om incidenten op te lossen, KQL-query's te genereren, incidentrapporten te maken.

Dit artikel biedt een overzicht voor gebruikers van de Copilot in Defender, met inbegrip van de stappen voor toegang, belangrijke mogelijkheden en koppelingen naar de details van deze mogelijkheden.

Toegang tot Copilot in Defender

Zie de Copilot voor Beveiliging aankoop- en licentiegegevens om ervoor te zorgen dat u toegang hebt tot Copilot in Defender. Zodra u toegang hebt tot Copilot voor Beveiliging, worden de belangrijkste mogelijkheden die hieronder worden besproken, toegankelijk in de Microsoft Defender-portal.

Incidenten onderzoeken en erop reageren, zoals een expert

Beveiligingsteams in staat stellen om aanvalsonderzoeken snel en nauwkeurig aan te pakken. Copilot helpt teams om aanvallen onmiddellijk te begrijpen, snel verdachte bestanden en scripts te analyseren en onmiddellijk de juiste beperking te evalueren en toe te passen om aanvallen te stoppen en te beperken.

Incidenten snel samenvatten

Het onderzoeken van incidenten met meerdere waarschuwingen kan een lastige taak zijn. Als u een incident direct wilt begrijpen, tikt u op Copilot om een incident voor u samen te vatten. Copilot maakt een overzicht van de aanval met essentiële informatie zodat u begrijpt wat er is gebeurd bij de aanval, welke assets betrokken zijn en de tijdlijn van de aanval. Copilot maakt automatisch een samenvatting wanneer u naar de pagina van een incident navigeert.

Schermopname van de overzichtskaart van het incident in het copilot-deelvenster, zoals te zien is op de pagina Microsoft Defender incident.

Actie ondernemen op incidenten via begeleide reacties

Voor het oplossen van incidenten moeten analisten inzicht hebben in een aanval om te weten welke oplossingen geschikt zijn. Copilot raadt oplossingen aan via begeleide reacties die specifiek zijn voor elk incident.

Schermopname van het copilot-deelvenster met de begeleide antwoorden op de pagina Microsoft Defender incident.

Eenvoudig scriptanalyse uitvoeren

De meeste aanvallers vertrouwen op geavanceerde malware bij het starten van aanvallen om detectie en analyse te voorkomen. Deze malware wordt meestal verborgen en heeft mogelijk de vorm van scripts of opdrachtregels in PowerShell. Copilot kan scripts snel analyseren, waardoor de tijd voor onderzoek wordt verkort.

Schermopname van de knop Scriptanalyse in de weergave aanvalsverhaal op de incidentpagina.

Apparaatsamenvattingen genereren

Het onderzoeken van apparaten die betrokken zijn bij incidenten kan een taak zijn. Om snel een apparaat te beoordelen, kan Copilot de informatie van een apparaat samenvatten, waaronder de beveiligingspostuur van het apparaat, ongebruikelijk gedrag, een lijst met kwetsbare software en relevante Microsoft Intune informatie.

Schermopname van de apparaatsamenvattingsresultaten in Copilot in Defender.

Bestanden onmiddellijk analyseren

Copilot helpt beveiligingsteams bij het snel beoordelen en begrijpen van verdachte bestanden met bestandsanalyse. Copilot biedt een samenvatting van een bestand, met inbegrip van detectiegegevens, gerelateerde bestandscertificaten, een lijst met API-aanroepen en tekenreeksen die in het bestand zijn gevonden.

Schermopname van de bestandsanalyseresultaten in Copilot in Defender met de optie Details verbergen gemarkeerd.

Efficiënt incidentrapporten schrijven

Beveiligingsteams schrijven meestal rapporten om belangrijke informatie vast te leggen, waaronder welke reactieacties zijn uitgevoerd en de bijbehorende resultaten, de betrokken teamleden en andere informatie om toekomstige beveiligingsbeslissingen en het leren te helpen. Vaak kan het documenteren van incidenten tijdrovend zijn. Incidentenrapporten zijn alleen effectief als ze een overzicht van een incident bevatten, samen met de acties die zijn ondernomen, inclusief welke acties door wie zijn ondernomen en wanneer. Copilot genereert een incidentrapport door deze gegevens snel te consolideren.

Schermopname van de kaart incidentrapport op de incidentpagina met de bovenste helft van de kaart.

Jagen als een professional

Copilot in Defender helpt beveiligingsteams proactief te zoeken naar bedreigingen in hun netwerk door snel de juiste KQL-query's te bouwen.

KQL-query's genereren op basis van invoer in natuurlijke taal

Beveiligingsteams die geavanceerde opsporing gebruiken om proactief te zoeken naar bedreigingen in hun netwerk, kunnen nu een query gebruiken assistent waarmee elke vraag in natuurlijke taal in de context van het opsporen van bedreigingen wordt geconverteerd naar een kant-en-klare KQL-query. De query assistent beveiligingsteams tijd besparen door een KQL-query te genereren die vervolgens automatisch kan worden uitgevoerd of verder kan worden aangepast aan de behoeften van de analist. Lees meer over de query assistent in Copilot voor Beveiliging in geavanceerde opsporing.

Schermopname van het copilot-deelvenster in geavanceerde opsporing.

Uw organisatie beschermen met relevante bedreigingsinformatie

Stel uw beveiligingsorganisatie in staat om weloverwogen beslissingen te nemen met behulp van de nieuwste bedreigingsinformatie. Copilot consolideert en vat bedreigingsinformatie samen om beveiligingsteams te helpen bij het prioriteren en effectief reageren op bedreigingen.

Bedreigingsinformatie bewaken

Vraag Copilot om de relevante bedreigingen die van invloed zijn op uw omgeving samen te vatten, om prioriteit te geven aan het oplossen van bedreigingen op basis van uw blootstellingsniveaus of om bedreigingsactoren te vinden die mogelijk gericht zijn op uw branche. Lees meer over Copilot voor Beveiliging in bedreigingsinformatie.

Schermopname van het copilot-deelvenster in bedreigingsinformatie in Defender XDR.

Gegevensbeveiliging en feedback in Copilot

Copilot ontwikkelt zich voortdurend met behulp van gegevens die worden opgeslagen, verwerkt en gedeeld , afhankelijk van de instellingen die zijn gedefinieerd door uw beheerder. Microsoft zorgt ervoor dat uw gegevens altijd beveiligd en beveiligd zijn wanneer u Copilot gebruikt. Zie Privacy en gegevensbeveiliging in Copilot voor meer informatie over gegevensbeveiliging en privacy in Copilot.

Door de voortdurende evolutie kan Copilot een aantal dingen missen. Door de resultaten te beoordelen en feedback te geven , kunt u de toekomstige reacties van Copilot verbeteren.

Alle Mogelijkheden van Copilot in Defender hebben een optie voor het geven van feedback. Voer de volgende stappen uit om feedback te geven:

  1. Selecteer het feedbackpictogram Schermopname van het feedbackpictogram voor Copilot in Defender-kaarten aan de onderkant van een resultatenkaart in het copilot-zijpaneel.
  2. Selecteer Bevestigd. Het ziet er goed uit als de resultaten nauwkeurig zijn op basis van uw evaluatie. U kunt meer informatie opgeven in het volgende dialoogvenster.
  3. Selecteer Buiten het doel, onnauwkeurig als een detail onjuist of onvolledig is op basis van uw evaluatie. U kunt meer informatie over uw evaluatie opgeven in het volgende dialoogvenster en deze evaluatie verzenden naar Microsoft.
  4. U kunt de resultaten ook rapporteren als deze twijfelachtige of dubbelzinnige informatie bevat door Potentieel schadelijk, ongepast te selecteren. Geef meer informatie over de resultaten op in het volgende dialoogvenster en selecteer Verzenden.

Invoegtoepassingen in Copilot voor Beveiliging

Copilot maakt gebruik van vooraf geïnstalleerde Microsoft-invoegtoepassingen zoals Microsoft Defender XDR, Defender Threat Intelligence en Natural Language voor KQL voor Microsoft Sentinel en Defender XDR-invoegtoepassingen om relevante informatie te genereren, meer context te bieden voor incidenten en nauwkeurigere resultaten te genereren. Zorg ervoor dat invoegtoepassingen zijn ingeschakeld in Copilot om toegang tot relevante gegevens toe te staan en aangevraagde inhoud van andere Microsoft-services in uw organisatie te genereren.

Volgende stappen

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.