Sammanfatta en incident med Microsoft Copilot i Microsoft Defender
Gäller för:
- Microsoft Defender XDR
- Microsoft Defender SOC-plattform (Unified Security Operations Center)
Microsoft Defender XDR använder funktionerna i Copilot for Security för att sammanfatta incidenter, vilket ger effektfull information och insikter för att förenkla undersökningsuppgifterna. Attackundersökning är ett viktigt steg för incidenthanteringsteam att framgångsrikt skydda en organisation mot ytterligare skador från ett cyberhot. Undersökningar kan ofta vara tidskrävande eftersom det omfattar flera steg. Incidenthanteringsteam måste förstå hur attacken inträffade: sortera igenom flera aviseringar, identifiera vilka tillgångar och entiteter som är inblandade och utvärdera omfattningen och effekten av en attack.
Incidenthantering kan enkelt få rätt kontext för att undersöka och åtgärda incidenter via Defender XDR korrelationsfunktioner och Copilot for Security AI-baserad databehandling och kontextualisering. Med en incidentsammanfattning kan svarare snabbt få viktig information för att hjälpa till i sin undersökning.
Funktionen för incidentsammanfattning är tillgänglig i Microsoft Defender-portalen via Copilot for Security-licensen. Den här funktionen är också tillgänglig i Copilot for Security fristående upplevelse via Microsoft Defender XDR plugin-programmet.
Den här guiden beskriver vad du kan förvänta dig och hur du kommer åt copilots sammanfattande kapacitet i Defender, inklusive information om hur du ger feedback.
Sammanfatta en incident
Incidenter som innehåller upp till 100 aviseringar kan sammanfattas i en incidentsammanfattning. En incidentsammanfattning, beroende på tillgängligheten för data, innehåller följande:
- Tid och datum då en attack startade.
- Entiteten eller tillgången där attacken startade.
- En sammanfattning av tidslinjer för hur attacken utvecklades.
- De tillgångar som är inblandade i attacken.
- Indikatorer för kompromettering (IoCs).
- Namn på inblandade hotaktörer.
Utför följande steg för att sammanfatta en incident:
Öppna en incidentsida. Copilot skapar automatiskt en incidentsammanfattning när sidan öppnas. Du kan stoppa skapandet av sammanfattningen genom att välja Avbryt eller starta om skapandet genom att välja Återskapa.
Kortet incidentsammanfattning läses in i Copilot-fönstret. Granska den genererade sammanfattningen på kortet.
Tips
Du kan navigera till en fil,IP- eller URL-sida i resultatfönstret för Copilot genom att klicka på bevisen i resultaten.
Välj ellipsen Fler åtgärder (...) överst på incidentsammanfattningskortet för att kopiera eller återskapa sammanfattningen, eller visa sammanfattningen i Copilot for Security-portalen. Om du väljer Öppna i Copilot for Security öppnas en ny flik i den Copilot for Security fristående portalen där du kan ange frågor och komma åt andra plugin-program.
Granska sammanfattningen och använd informationen för att vägleda din undersökning och ditt svar på incidenten. Du kan ge feedback om sammanfattningen genom att välja feedbackikonen
som finns längst ned i Copilot-fönstret.
Se även
- Köra skriptanalys
- Analysera filer
- Skapa enhetssammanfattning
- Använda guidade svar när du svarar på hot
- Generera KQL-frågor
- Skapa incidentrapporter
- Kom igång med Microsoft Copilot for Security
- Lär dig mer om andra Copilot for Security inbäddade upplevelser
- Läs mer om förinstallerade plugin-program i Copilot for Security
- Undersöka incidenter i Microsoft Defender XDR
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för