Microsoft Defender 中的 Microsoft Copilot

  • 项目

适用于:

  • Microsoft Defender XDR
  • Microsoft Defender统一的安全运营中心 (SOC) 平台

Microsoft 安全 Copilot将 AI 和人类专业知识的强大功能汇集在一起,帮助安全团队更快、更有效地应对攻击。 安全 Copilot嵌入Microsoft Defender门户中,使安全团队能够有效地汇总事件、分析脚本和代码、分析文件、汇总设备信息、使用引导响应解决事件、生成 KQL 查询、创建事件报告。

本文为 Defender 中的 Copilot 用户提供概述,包括访问步骤、关键功能以及这些功能详细信息的链接。

在 Defender 中访问 Copilot

若要确保你有权访问 Defender 中的 Copilot,请参阅安全 Copilot购买和许可信息。 有权访问安全 Copilot后,可在Microsoft Defender门户中访问下面讨论的主要功能。

像专家一样调查和响应事件

使安全团队能够轻松准确地及时处理攻击调查。 Copilot 可帮助团队立即了解攻击,快速分析可疑文件和脚本,并及时评估并应用适当的缓解措施来阻止和遏制攻击。

快速汇总事件

调查具有多个警报的事件可能是一项令人生畏的任务。 若要立即了解事件,可以点击 Copilot 来 汇总事件 。 Copilot 创建攻击概述,其中包含基本信息,以便了解攻击中发生的事件、涉及的资产以及攻击时间线。 当你导航到事件的页面时,Copilot 会自动创建摘要。

Copilot 窗格上事件摘要卡的屏幕截图,如Microsoft Defender事件页所示。

通过引导响应对事件采取措施

解决事件需要分析师了解攻击,才能知道哪些解决方案合适。 Copilot 通过特定于每个事件的 引导响应 来推荐解决方案。

突出显示 Copilot 窗格的屏幕截图,其中包含“Microsoft Defender事件”页中的引导响应。

轻松运行脚本分析

大多数攻击者在发起攻击时依赖复杂的恶意软件来避免检测和分析。 这些恶意软件通常经过模糊处理,并且可能采用 PowerShell 中的脚本或命令行形式。 Copilot 可以快速 分析脚本,从而减少调查时间。

屏幕截图突出显示了事件页中攻击情景视图中的脚本分析按钮。

生成设备摘要

调查事件中涉及的设备可能是一项任务任务。 为了快速评估设备,Copilot 可以汇总设备的信息,包括设备的安全状况、任何异常行为、易受攻击的软件列表以及相关的Microsoft Intune信息。

Defender 中 Copilot 中的设备摘要结果的屏幕截图。

及时分析文件

Copilot 通过 文件分析帮助安全团队快速评估和了解可疑文件。 Copilot 提供文件的摘要,包括检测信息、相关文件证书、API 调用列表,以及该文件中找到的字符串。

Defender 中 Copilot 中的文件分析结果的屏幕截图,其中突出显示了“隐藏详细信息”选项。

高效编写事件报告

安全运营团队通常会编写报告来记录重要信息,包括采取了哪些响应操作和相应结果、涉及的团队成员,以及其他有助于未来安全决策和学习的信息。 通常,记录事件可能很耗时。 若要使事件报告有效,它必须包含事件的摘要以及执行的操作,包括由谁和何时执行操作。 Copilot 通过快速合并这些信息来 生成事件报告

事件页面中事件报告卡的屏幕截图,其中显示了卡的上半部分。

像专业人士一样搜寻

Defender 中的 Copilot 可帮助安全团队通过快速构建适当的 KQL 查询来主动搜寻网络中的威胁。

从自然语言输入生成 KQL 查询

使用高级搜寻在网络中主动搜寻威胁的安全团队现在可以使用查询助手将威胁搜寻上下文中的任何自然语言问题转换为随时可运行的 KQL 查询。 查询助手通过生成 KQL 查询来节省安全团队的时间,该查询随后可以根据分析师需求自动运行或进一步调整。 在高级搜寻安全 Copilot中详细了解查询助手。

高级搜寻中的 Copilot 窗格的屏幕截图。

使用相关的威胁情报保护组织

使安全组织能够使用最新的威胁情报做出明智的决策。 Copilot 合并并汇总了威胁情报,以帮助安全团队有效地确定威胁的优先级并做出响应。

监视威胁情报

要求 Copilot 汇总影响环境的相关威胁,根据暴露级别确定解决威胁的优先级,或查找可能针对行业的威胁参与者。 详细了解威胁情报中的安全 Copilot

Defender XDR威胁情报中 Copilot 窗格的屏幕截图。

Copilot 中的数据安全和反馈

根据管理员定义的设置,Copilot 会使用存储处理共享的数据不断改进。 Microsoft 确保在使用 Copilot 时,数据始终受到保护和安全。 若要详细了解 Copilot 中的数据安全和隐私,请参阅 Copilot 中的隐私和数据安全

由于其不断发展,科皮洛可能会错过一些事情。 查看和提供有关结果的 反馈 有助于改进 Copilot 的未来响应。

Defender 中的所有 Copilot 功能都可以选择提供反馈。 若要提供反馈,请执行以下步骤:

  1. 选择反馈图标“Copilot”侧面板中所有结果卡底部的 Defender 卡中 Copilot 反馈图标的屏幕截图。
  2. 如果根据评估,结果准确,则选择“已确认,看起来很棒”。 可以在下一个对话框中提供详细信息。
  3. 如果任何详细信息不正确或不完整,请根据评估选择“偏离目标、不准确”。 可以在下一个对话框中提供有关评估的详细信息,并将此评估提交给 Microsoft。
  4. 如果结果包含可疑或不明确的信息,还可以通过选择“可能有害,不适当”来报告结果。 在下一个对话框中提供有关结果的详细信息,然后选择“提交”。

安全 Copilot 中的插件

Copilot 使用预安装的 Microsoft 插件(如 Microsoft Defender XDR、Defender 威胁情报和自然语言)对 KQL for Microsoft Sentinel 和 Defender XDR 插件来生成相关信息、为事件提供更多上下文并生成更准确的结果。 确保在 Copilot 中打开插件 ,以允许访问相关数据并从组织中的其他 Microsoft 服务生成请求的内容。

后续步骤

另请参阅

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区