Sortera och undersöka incidenter med guidade svar från Microsoft Copilot i Microsoft Defender
Gäller för:
- Microsoft Defender XDR
- Microsoft Defender SOC-plattform (Unified Security Operations Center)
Microsoft Copilot for Security i Microsoft Defender-portalen stöder incidenthanteringsteam för att omedelbart lösa incidenter med guidade svar. Copilot i Defender använder AI- och maskininlärningsfunktioner för att kontextualisera en incident och lära sig av tidigare undersökningar för att generera lämpliga svarsåtgärder.
Att svara på incidenter i Microsoft Defender-portalen kräver ofta kunskap om portalens tillgängliga åtgärder för att stoppa attacker. Dessutom kan nya incidenthanteringspersonal ha olika idéer om var och hur de ska börja svara på incidenter. Copilots interaktiva svarskapacitet i Defender gör det möjligt för incidenthanteringsteam på alla nivåer att på ett säkert och snabbt sätt tillämpa svarsåtgärder för att enkelt lösa incidenter.
Guidade svar är tillgängliga i Microsoft Defender-portalen via Copilot for Security-licensen. Guidade svar är också tillgängliga i Copilot for Security fristående upplevelse via Defender XDR plugin-programmet.
Den här guiden beskriver hur du kommer åt funktionen för guidade svar, inklusive information om hur du ger feedback om svaren.
Använda guidade svar för att lösa incidenter
Guidade svar rekommenderar åtgärder i följande kategorier:
- Sortering – innehåller en rekommendation för att klassificera incidenter som information, sant positiva eller falskt positiva
- Inneslutning – innehåller rekommenderade åtgärder för att begränsa en incident
- Undersökning – innehåller rekommenderade åtgärder för vidare undersökning
- Åtgärd – innehåller rekommenderade svarsåtgärder som ska tillämpas på specifika entiteter som är inblandade i en incident
Varje kort innehåller information om den rekommenderade åtgärden, inklusive den entitet där åtgärden måste tillämpas och varför åtgärden rekommenderas. Korten betonar också när en rekommenderad åtgärd utfördes av automatiserad undersökning som attackavbrott eller automatiserat undersökningssvar.
De guidade svarskorten kan sorteras baserat på den tillgängliga statusen för varje kort. Du kan välja en specifik status när du visar de guidade svaren genom att klicka på Status och välja lämplig status som du vill visa. Alla guidade svarskort oavsett status visas som standard.
Utför följande steg för att använda guidade svar:
Öppna en incidentsida. Copilot genererar automatiskt guidade svar när en incidentsida öppnas. Copilot-fönstret visas till höger på incidentsidan och visar de guidade svarskorten.
Granska varje kort innan du tillämpar rekommendationerna. Välj ellipsen Fler åtgärder (...) ovanpå ett svarskort för att visa de alternativ som är tillgängliga för varje rekommendation. Här är några exempel.
Om du vill tillämpa en åtgärd väljer du önskad åtgärd på varje kort. Den guidade svarsåtgärden på varje kort är anpassad efter typen av incident och den specifika entitet som berörs.
Du kan ge feedback till varje svarskort för att kontinuerligt förbättra framtida svar från Copilot. Om du vill ge feedback väljer du feedbackikonen som finns längst ned till höger på varje kort.
Obs!
Nedtonade åtgärdsknappar innebär att dessa åtgärder begränsas av din behörighet. Mer information finns på sidan Behörigheter för enhetlig rollbaserad åtkomst (Role-based Access – RBAC).
Copilot i Defender stöder incidenthanteringsteam genom att göra det möjligt för analytiker att få mer kontext om svarsåtgärder med ytterligare insikter. För åtgärdssvar kan team för incidentsvar visa ytterligare information med alternativ som Visa liknande incidenter eller Visa liknande e-postmeddelanden.
Åtgärden Visa liknande incidenter blir tillgänglig när det finns andra incidenter i organisationen som liknar den aktuella incidenten. På fliken Liknande incidenter visas liknande incidenter som du kan granska. Microsoft Defender identifierar automatiskt liknande incidenter i organisationen via maskininlärning. Team för incidentsvar kan använda informationen från dessa liknande incidenter för att klassificera dem och ytterligare granska de åtgärder som utförs i dessa liknande incidenter.
Åtgärden Visa liknande e-postmeddelanden är specifik för nätfiskeincidenter och tar dig till sidan avancerad jakt där en KQL-fråga för att visa liknande e-postmeddelanden i organisationen genereras automatiskt. Den här automatiska frågegenereringen som är relaterad till en incident hjälper team för incidentsvar att undersöka andra e-postmeddelanden som kan vara relaterade till incidenten. Du kan granska frågan och ändra den efter behov.
Se även
- Sammanfatta en incident
- Analysera filer
- Köra skriptanalys
- Skapa en incidentrapport
- Generera KQL-frågor
- Kom igång med Microsoft Copilot for Security
- Lär dig mer om andra Copilot for Security inbäddade upplevelser
- Läs mer om förinstallerade plugin-program i Copilot for Security
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för