Een incident met Microsoft Copilot in Microsoft Defender samenvatten
Van toepassing op:
- Microsoft Defender XDR
- Microsoft Defender SOC-platform (Unified Security Operations Center)
Microsoft Defender XDR past de mogelijkheden van Copilot voor Beveiliging toe om incidenten samen te vatten, waardoor belangrijke informatie en inzichten worden geleverd om onderzoekstaken te vereenvoudigen. Aanvalsonderzoek is een cruciale stap voor incidentresponsteams om een organisatie met succes te verdedigen tegen verdere schade door een cyberdreiging. Onderzoeken kunnen vaak tijdrovend zijn omdat het om talloze stappen gaat. Incidentresponsteams moeten begrijpen hoe de aanval is gebeurd: verschillende waarschuwingen sorteren, identificeren welke assets en entiteiten betrokken zijn en het bereik en de impact van een aanval beoordelen.
Incident responders kunnen eenvoudig de juiste context krijgen om incidenten te onderzoeken en te herstellen via de correlatiemogelijkheden van Defender XDR en Copilot voor Beveiliging door AI aangedreven gegevensverwerking en contextualisatie. Met een incidentoverzicht kan bij het reageren op incidenten snel belangrijke informatie worden verkregen om te helpen bij het onderzoek.
De mogelijkheid voor het overzicht van incidenten is beschikbaar in de Microsoft Defender-portal via de Copilot voor Beveiliging-licentie. Deze mogelijkheid is ook beschikbaar in de Copilot voor Beveiliging zelfstandige ervaring via de Microsoft Defender XDR-invoegtoepassing.
In deze handleiding wordt beschreven wat u kunt verwachten en hoe u toegang hebt tot de samenvattingsfunctie van Copilot in Defender, inclusief informatie over het geven van feedback.
Een incident samenvatten
Incidenten met maximaal 100 waarschuwingen kunnen worden samengevat in één incidentoverzicht. Een incidentoverzicht, afhankelijk van de beschikbaarheid van de gegevens, bevat het volgende:
- De tijd en datum waarop een aanval is gestart.
- De entiteit of asset waar de aanval is begonnen.
- Een samenvatting van tijdlijnen van hoe de aanval zich ontvouwde.
- De assets die betrokken zijn bij de aanval.
- Indicatoren van inbreuk (IOC's).
- Namen van betrokken bedreigingsactoren.
Voer de volgende stappen uit om een incident samen te vatten:
Open een incidentpagina. Copilot maakt automatisch een overzicht van incidenten bij het openen van de pagina. U kunt het maken van de samenvatting stoppen door Annuleren te selecteren of het maken opnieuw starten door Opnieuw genereren te selecteren.
De overzichtskaart van het incident wordt geladen in het copilot-deelvenster. Bekijk de gegenereerde samenvatting op de kaart.
Tip
U kunt naar een bestand, IP of URL-pagina navigeren vanuit het copilot-resultatenvenster door op het bewijs in de resultaten te klikken.
Selecteer het beletselteken Meer acties (...) boven aan de overzichtskaart van het incident om de samenvatting te kopiëren of opnieuw te genereren, of bekijk de samenvatting in de Copilot voor Beveiliging portal. Als u Openen in Copilot voor Beveiliging selecteert, wordt een nieuw tabblad geopend in de Copilot voor Beveiliging zelfstandige portal, waar u prompts kunt invoeren en andere invoegtoepassingen kunt openen.
Bekijk de samenvatting en gebruik de informatie om uw onderzoek en reactie op het incident te begeleiden. U kunt feedback geven over de samenvatting door het feedbackpictogram te selecteren aan de onderkant van het Copilot-deelvenster.
Zie ook
- Scriptanalyse uitvoeren
- Bestanden analyseren
- Apparaatoverzicht genereren
- Begeleide reacties gebruiken bij het reageren op bedreigingen
- KQL-query's genereren
- Incidentrapporten maken
- Aan de slag met Microsoft Copilot voor Beveiliging
- Meer informatie over andere Copilot voor Beveiliging ingesloten ervaringen
- Meer informatie over vooraf geïnstalleerde invoegtoepassingen in Copilot voor Beveiliging
- Incidenten in Microsoft Defender XDR onderzoeken
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor