Share via

Incidenten sorteren en onderzoeken met begeleide reacties van Microsoft Copilot in Microsoft Defender

  • Artikel

Van toepassing op:

  • Microsoft Defender XDR
  • Microsoft Defender SOC-platform (Unified Security Operations Center)

Microsoft Copilot voor Beveiliging in de Microsoft Defender portal ondersteunt incidentresponsteams bij het onmiddellijk oplossen van incidenten met begeleide antwoorden. Copilot in Defender maakt gebruik van AI- en machine learning-mogelijkheden om een incident te contextualiseren en te leren van eerdere onderzoeken om de juiste reactieacties te genereren.

Reageren op incidenten in de Microsoft Defender portal vereist vaak bekendheid met de beschikbare acties van de portal om aanvallen te stoppen. Daarnaast kunnen nieuwe incident-responders verschillende ideeën hebben over waar en hoe ze op incidenten kunnen reageren. Met de mogelijkheid voor begeleide respons van Copilot in Defender kunnen incidentresponsteams op alle niveaus met vertrouwen en snel reactieacties toepassen om incidenten eenvoudig op te lossen.

Begeleide antwoorden zijn beschikbaar in de Microsoft Defender-portal via de Copilot voor Beveiliging-licentie. Begeleide antwoorden zijn ook beschikbaar in de zelfstandige Copilot voor Beveiliging-ervaring via de Defender XDR-invoegtoepassing.

In deze handleiding wordt beschreven hoe u toegang krijgt tot de mogelijkheid voor begeleide reacties, met inbegrip van informatie over het geven van feedback over de antwoorden.

Begeleide reacties toepassen om incidenten op te lossen

Begeleide antwoorden bevelen acties aan in de volgende categorieën:

  • Triage: bevat een aanbeveling om incidenten te classificeren als informatief, waar-positief of fout-positief
  • Insluiting: heeft aanbevolen acties om een incident te bevatten
  • Onderzoek: bevat aanbevolen acties voor verder onderzoek
  • Herstel: bevat aanbevolen responsacties die van toepassing zijn op specifieke entiteiten die betrokken zijn bij een incident

Elke kaart bevat informatie over de aanbevolen actie, inclusief de entiteit waar de actie moet worden toegepast en waarom de actie wordt aanbevolen. De kaarten benadrukken ook wanneer een aanbevolen actie is uitgevoerd door geautomatiseerd onderzoek, zoals aanvalsonderbreking of geautomatiseerde reactie op onderzoek.

De begeleide antwoordkaarten kunnen worden gesorteerd op basis van de beschikbare status voor elke kaart. U kunt een specifieke status selecteren wanneer u de begeleide antwoorden bekijkt door op Status te klikken en de juiste status te selecteren die u wilt weergeven. Alle begeleide antwoordkaarten, ongeacht de status, worden standaard weergegeven.

Schermopname van de status van antwoorden in het copilot-deelvenster op de pagina Microsoft Defender incident.

Voer de volgende stappen uit om begeleide respons te gebruiken:

  1. Open een incidentpagina. Copilot genereert automatisch begeleide reacties bij het openen van een incidentpagina. Het copilot-deelvenster wordt weergegeven aan de rechterkant van de incidentpagina, met de begeleide antwoordkaarten.

    Schermopname van het copilot-deelvenster met de begeleide antwoorden op de pagina Microsoft Defender incident.

  2. Controleer elke kaart voordat u de aanbevelingen toepast. Selecteer het beletselteken Meer acties (...) boven op een antwoordkaart om de beschikbare opties voor elke aanbeveling weer te geven. Dit zijn enkele voorbeelden.

    Schermopname van de opties die beschikbaar zijn voor gebruikers in een begeleide antwoordkaart in het copilot-zijpaneel.

    Schermopname van de opties die beschikbaar zijn voor gebruikers in een automation-antwoordkaart in het deelvenster Copilot in Microsoft Defender XDR.

  3. Als u een actie wilt toepassen, selecteert u de gewenste actie op elke kaart. De begeleide reactieactie op elke kaart is afgestemd op het type incident en de specifieke betrokken entiteit.

    Schermopname van de begeleide antwoordkaarten in het copilot-deelvenster in Microsoft Defender.

  4. U kunt feedback geven op elke antwoordkaart om toekomstige reacties van Copilot continu te verbeteren. Als u feedback wilt geven, selecteert u het feedbackpictogram Schermopname van het feedbackpictogram voor Copilot in Defender-kaarten rechtsonder aan elke kaart.

Opmerking

Grijs weergegeven actieknoppen betekenen dat deze acties worden beperkt door uw machtiging. Raadpleeg de pagina RBAC-machtigingen (Unified Role-Based Access) voor meer informatie.

Copilot in Defender ondersteunt incidentresponsteams door analisten in staat te stellen meer context te krijgen over reactieacties met aanvullende inzichten. Voor herstelreacties kunnen incidentreactieteams aanvullende informatie bekijken met opties zoals Vergelijkbare incidenten weergeven of Vergelijkbare e-mailberichten weergeven.

De actie Vergelijkbare incidenten weergeven wordt beschikbaar wanneer er andere incidenten binnen de organisatie zijn die vergelijkbaar zijn met het huidige incident. Op het tabblad Vergelijkbare incidenten staan vergelijkbare incidenten die u kunt bekijken. Microsoft Defender identificeert automatisch vergelijkbare incidenten binnen de organisatie via machine learning. Incidentreactieteams kunnen de informatie van deze vergelijkbare incidenten gebruiken om incidenten te classificeren en de acties die in die vergelijkbare incidenten worden uitgevoerd verder te bekijken.

Met de actie Vergelijkbare e-mailberichten weergeven, die specifiek is voor phishing-incidenten, gaat u naar de geavanceerde opsporingspagina waar automatisch een KQL-query wordt gegenereerd om vergelijkbare e-mailberichten binnen de organisatie weer te geven. Deze automatische querygeneratie met betrekking tot een incident helpt incidentreactieteams om andere e-mailberichten te onderzoeken die mogelijk gerelateerd zijn aan het incident. U kunt de query controleren en zo nodig wijzigen.

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.