Microsoft Defender 中的 Microsoft Copilot
適用於:
- Microsoft Defender XDR
- Microsoft Defender整合安全性作業中心 (SOC) 平臺
Microsoft Copilot for Security 整合 AI 和人類專業知識的能力,以協助安全性小組更快速且更有效率地回應攻擊。 Copilot for Security 內嵌在 Microsoft Defender 入口網站中,可讓安全性小組有效率地摘要事件、分析腳本和程序代碼、分析檔案、摘要裝置資訊、使用引導式回應來解決事件、產生 KQL 查詢、建立事件報告。
本文提供 Defender 中 Copilot 使用者的概觀,包括存取步驟、重要功能,以及這些功能詳細數據的連結。
在 Defender 中存取 Copilot
若要確保您可以在 Defender 中存取 Copilot,請參閱 Copilot for Security 購買和授權資訊。 一旦您能夠存取 Copilot for Security,下列討論的主要功能便可在 Microsoft Defender 入口網站中存取。
調查及回應專家之類的事件
讓安全性小組能夠輕鬆且精確地及時處理攻擊調查。 Copilot 可協助小組立即瞭解攻擊、快速分析可疑的檔案和腳本,並立即評估並套用適當的防護功能來停止和包含攻擊。
快速摘要事件
調查具有多個警示的事件可能是一項令人卻步的工作。 若要立即瞭解事件,您可以點選 Copilot 為您 摘要事件 。 Copilot 會建立攻擊的概觀,其中包含基本資訊,讓您了解攻擊中發生的事件、涉及哪些資產,以及攻擊的時間軸。 當您流覽至事件的頁面時,Copilot 會自動建立摘要。
![[Copilot] 窗格上事件摘要卡片的螢幕快照,如 Microsoft Defender 事件頁面中所示。](/zh-tw/defender/media/copilot-in-defender/incident-summary/copilot-defender-incident-summary.png#lightbox)
透過引導式回應對事件採取動作
解決事件需要分析師了解攻擊,才能知道哪些解決方案是適當的。 Copilot 會透過每個事件特定的 引導式響應 來建議解決方案。
![醒目提示 [Copilot] 窗格的螢幕快照,其中包含 Microsoft Defender 事件頁面中的引導式回應。](/zh-tw/defender/media/copilot-in-defender/guided-response/copilot-defender-guided-response.png#lightbox)
輕鬆執行腳本分析
大多數攻擊者在啟動攻擊時依賴複雜的惡意程式碼,以避免偵測和分析。 這些惡意代碼通常會模糊化,而且可能是PowerShell中的腳本或命令行形式。 Copilot 可以快速 分析腳本,減少調查的時間。
產生裝置摘要
調查涉及事件的裝置可能是一項工作工作。 若要快速評估裝置,Copilot 可以摘要說明裝置的資訊,包括裝置的安全性狀態、任何不尋常的行為、易受攻擊的軟體清單,以及相關的 Microsoft Intune 資訊。
立即分析檔案
Copilot 可協助安全性小組透過 檔案分析快速評估及瞭解可疑檔案。 Copilot 提供檔案的摘要,包括偵測資訊、相關的檔案憑證、API 呼叫清單,以及檔案中找到的字串。
![Defender 中 Copilot 中檔案分析結果的螢幕快照,其中已醒目提示 [隱藏詳細數據] 選項。](/zh-tw/defender/media/copilot-in-defender/file-analysis/copilot-defender-file-analysis-hide.png#lightbox)
有效率地撰寫事件報告
安全性作業小組通常會撰寫報告來記錄重要資訊,包括已採取哪些回應動作和對應的結果、涉及的小組成員等其他資訊,以協助未來的安全性決策和學習。 記錄事件通常很耗時。 若要讓事件報告生效,它必須包含事件的摘要以及採取的動作,包括採取動作的人員和時間。 Copilot 會透過快速合併這些資訊來 產生事件報告 。
像是專業人員一樣搜捕
Defender 中的 Copilot 透過快速建置適當的 KQL 查詢,協助安全性小組主動搜捕其網路中的威脅。
從自然語言輸入產生 KQL 查詢
使用進階搜捕來主動搜捕其網路中威脅的安全性小組,現在可以使用查詢助理,將威脅搜捕內容中任何自然語言的問題轉換為現成可執行的 KQL 查詢。 查詢助理會透過產生接著可以根據分析師的需求自動執行或進一步調整的 KQL 查詢,以節省安全性小組的時間。 深入瞭解進階搜捕中 Copilot for Security 中的查詢 助理。
![進階搜捕中 [Copilot] 窗格的螢幕快照。](/zh-tw/defender/media/advanced-hunting-security-copilot-pane-big.png#lightbox)
使用相關的威脅情報保護您的組織
讓您的安全性組織能夠使用最新的威脅情報做出明智的決策。 Copilot 會合併並摘要威脅情報,以協助安全性小組有效排定優先順序並回應威脅。
監視威脅情報
要求 Copilot 摘要說明影響您環境的相關威脅、根據您的暴露程度排定解決威脅的優先順序,或尋找可能以您的產業為目標的威脅執行者。 深入了解威脅情報中的 Copilot for Security。
![Defender 全面偵測回應 中威脅情報中 [Copilot] 窗格的螢幕快照。](/zh-tw/defender/media/copilot-in-defender/TI/copilot-defender-threat-intel-full.png#lightbox)
Copilot 中的數據安全性和意見反應
Copilot 會根據系統管理員所定義的設定,使用儲存、處理和共用的數據持續演進。 Microsoft 確保使用 Copilot 時,您的數據一律受到保護和安全。 若要深入瞭解 Copilot 中的數據安全性和隱私權,請參閱 Copilot 中的隱私權和數據安全性。
由於其持續演進,Copilot 可能會遺漏一些專案。 檢閱並提供有關結果的意見 反應 ,有助於改善 Copilot 的未來回應。
Defender 功能中的所有 Copilot 都有提供意見反應的選項。 若要提供意見反應, 請執行下列步驟:
- 選取意見反應圖示 位於 Copilot 側邊面板中任何結果卡底端的
。 - 如果根據您的評定結果正確無誤,請選取 [確認,看起來很棒]。 您可以在下一個對話框中提供詳細資訊。
- 如果根據您的評定,詳細資料不正確或不完整,請選取 [偏離目標、不正確]。 您可以在下一個對話方塊中提供評定的詳細資訊,並提交此評定給 Microsoft。
- 如果評定包含可疑或不明確的資訊,您也可以透過選取 [可能有害,不適當] 以報告結果。 請在下一個對話方塊中提供有關結果的詳細資訊,然後選取 [提交]。
Copilot for Security 中的外掛程式
Copilot 會使用預安裝的 Microsoft 外掛程式,例如 Microsoft Defender 全面偵測回應、Defender 威脅情報和自然語言至適用於 Microsoft Sentinel 的 KQL,並 Defender 全面偵測回應 外掛程式來產生相關信息、為事件提供更多內容,以及產生更精確的結果。 請確定 Copilot 中已開啟外掛程式 ,以允許存取相關數據,並從組織中的其他 Microsoft 服務產生要求的內容。
後續步驟
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應