Dela via

Sortera och undersöka incidenter med guidade svar från Microsoft Copilot i Microsoft Defender

  • Artikel

Gäller för:

  • Microsoft Defender XDR
  • Microsoft Defender SOC-plattform (Unified Security Operations Center)

Microsoft Copilot for Security i Microsoft Defender-portalen stöder incidenthanteringsteam för att omedelbart lösa incidenter med guidade svar. Copilot i Defender använder AI- och maskininlärningsfunktioner för att kontextualisera en incident och lära sig av tidigare undersökningar för att generera lämpliga svarsåtgärder.

Att svara på incidenter i Microsoft Defender-portalen kräver ofta kunskap om portalens tillgängliga åtgärder för att stoppa attacker. Dessutom kan nya incidenthanteringspersonal ha olika idéer om var och hur de ska börja svara på incidenter. Copilots interaktiva svarskapacitet i Defender gör det möjligt för incidenthanteringsteam på alla nivåer att på ett säkert och snabbt sätt tillämpa svarsåtgärder för att enkelt lösa incidenter.

Guidade svar är tillgängliga i Microsoft Defender-portalen via Copilot for Security-licensen. Guidade svar är också tillgängliga i Copilot for Security fristående upplevelse via Defender XDR plugin-programmet.

Den här guiden beskriver hur du kommer åt funktionen för guidade svar, inklusive information om hur du ger feedback om svaren.

Använda guidade svar för att lösa incidenter

Guidade svar rekommenderar åtgärder i följande kategorier:

  • Sortering – innehåller en rekommendation för att klassificera incidenter som information, sant positiva eller falskt positiva
  • Inneslutning – innehåller rekommenderade åtgärder för att begränsa en incident
  • Undersökning – innehåller rekommenderade åtgärder för vidare undersökning
  • Åtgärd – innehåller rekommenderade svarsåtgärder som ska tillämpas på specifika entiteter som är inblandade i en incident

Varje kort innehåller information om den rekommenderade åtgärden, inklusive den entitet där åtgärden måste tillämpas och varför åtgärden rekommenderas. Korten betonar också när en rekommenderad åtgärd utfördes av automatiserad undersökning som attackavbrott eller automatiserat undersökningssvar.

De guidade svarskorten kan sorteras baserat på den tillgängliga statusen för varje kort. Du kan välja en specifik status när du visar de guidade svaren genom att klicka på Status och välja lämplig status som du vill visa. Alla guidade svarskort oavsett status visas som standard.

Skärmbild som visar status för svar i Copilot-fönstret på sidan Microsoft Defender incident.

Utför följande steg för att använda guidade svar:

  1. Öppna en incidentsida. Copilot genererar automatiskt guidade svar när en incidentsida öppnas. Copilot-fönstret visas till höger på incidentsidan och visar de guidade svarskorten.

    Skärmbild som visar Copilot-fönstret med de guidade svaren på sidan Microsoft Defender incident.

  2. Granska varje kort innan du tillämpar rekommendationerna. Välj ellipsen Fler åtgärder (...) ovanpå ett svarskort för att visa de alternativ som är tillgängliga för varje rekommendation. Här är några exempel.

    Skärmbild som visar de alternativ som är tillgängliga för användare i ett guidat svarskort på Copilot-sidopanelen.

    Skärmbild som visar de alternativ som är tillgängliga för användare i ett automationssvarskort i Copilot-fönstret i Microsoft Defender XDR.

  3. Om du vill tillämpa en åtgärd väljer du önskad åtgärd på varje kort. Den guidade svarsåtgärden på varje kort är anpassad efter typen av incident och den specifika entitet som berörs.

    Skärmbild av de guidade svarskorten i Copilot-fönstret i Microsoft Defender.

  4. Du kan ge feedback till varje svarskort för att kontinuerligt förbättra framtida svar från Copilot. Om du vill ge feedback väljer du feedbackikonen Skärmbild av feedbackikonen för Copilot i Defender-kort som finns längst ned till höger på varje kort.

Obs!

Nedtonade åtgärdsknappar innebär att dessa åtgärder begränsas av din behörighet. Mer information finns på sidan Behörigheter för enhetlig rollbaserad åtkomst (Role-based Access – RBAC).

Copilot i Defender stöder incidenthanteringsteam genom att göra det möjligt för analytiker att få mer kontext om svarsåtgärder med ytterligare insikter. För åtgärdssvar kan team för incidentsvar visa ytterligare information med alternativ som Visa liknande incidenter eller Visa liknande e-postmeddelanden.

Åtgärden Visa liknande incidenter blir tillgänglig när det finns andra incidenter i organisationen som liknar den aktuella incidenten. På fliken Liknande incidenter visas liknande incidenter som du kan granska. Microsoft Defender identifierar automatiskt liknande incidenter i organisationen via maskininlärning. Team för incidentsvar kan använda informationen från dessa liknande incidenter för att klassificera dem och ytterligare granska de åtgärder som utförs i dessa liknande incidenter.

Åtgärden Visa liknande e-postmeddelanden är specifik för nätfiskeincidenter och tar dig till sidan avancerad jakt där en KQL-fråga för att visa liknande e-postmeddelanden i organisationen genereras automatiskt. Den här automatiska frågegenereringen som är relaterad till en incident hjälper team för incidentsvar att undersöka andra e-postmeddelanden som kan vara relaterade till incidenten. Du kan granska frågan och ändra den efter behov.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.