Резюмирование инцидента с помощью Microsoft Copilot в Microsoft Defender

Microsoft Defender XDR применяет возможности Security Copilot для подведения итогов по инцидентам. Сводка по инцидентам предоставляет важные сведения и аналитические сведения для упрощения задач исследования. Расследования часто требуют много времени и включают в себя многочисленные шаги.

В этом руководстве описывается, как получить доступ к возможности создания сводных данных Copilot в Defender и какие сведения включены в сводку, включая сведения о предоставлении отзывов.

Предварительные условия

Если вы не знакомы с Security Copilot, ознакомьтесь со следующими статьями:

• Что такое Security Copilot?
• Security Copilot интерфейсы
• Начало работы с Security Copilot
• Общие сведения о проверке подлинности в Security Copilot
• Запрос в Security Copilot

Службы реагирования на инциденты могут получить доступ к правильному контексту для исследования и устранения инцидентов с помощью возможностей корреляции Defender XDR и обработки и контекстуализации данных на основе ИИ Security Copilot. С помощью сводки по инцидентам специалисты по реагированию быстро получают важную информацию, чтобы помочь в их расследовании.

интеграция Security Copilot в Microsoft Defender

Возможность сводки инцидентов доступна на портале Microsoft Defender для клиентов с подготовленным доступом к Security Copilot.

Эта возможность также доступна в автономном интерфейсе Security Copilot через подключаемый модуль Microsoft Defender XDR. Узнайте больше о предустановленных подключаемых модулях в Security Copilot.

Содержимое сводки по инцидентам

Инциденты, содержащие до 100 оповещений, можно объединить в одну сводку по инцидентам. Сводка по инцидентам в зависимости от доступности данных содержит следующие сведения:

• Время и дату начала атаки.
• Объект или актив, с которого началась атака.
• Сводку временных шкал развертывания атаки.
• Активы, задействованные в атаке.
• Индикаторы компрометации (IoC).
• Имена задействованных субъектов угроз.
• Предлагаемые Security Copilot подсказки, которые помогут вам сосредоточиться на наиболее важных дальнейших шагах, получить более подробные сведения и упростить исследования.

Обобщение инцидента

1. Откройте страницу инцидента. Copilot автоматически создает сводку по инцидентам в области Задачи . Вы можете остановить создание сводки, нажав Отмена или перезапустить создание, выбрав Создать заново.

2. Сводная карточка инцидента загружается в области Copilot. Просмотрите созданную сводку на карточке. Просмотрите сводку и используйте информацию для направления исследования и реагирования на инцидент.

   

   Совет

   Вы можете перейти к файлу, IP-адресу или странице URL-адреса из области результатов Copilot, щелкнув свидетельство в результатах.

3. Выберите Просмотреть запросы , чтобы просмотреть предлагаемые запросы. Предлагаемые подсказки отображают актуальные вопросы о дальнейших действиях, основанные на наиболее важной информации в данном инциденте.

   Выберите рекомендуемый запрос, чтобы получить дополнительные сведения о конкретных ресурсах, участвующих в инциденте, таких как сводки устройств, сводки удостоверений и связанная аналитика угроз.

   

4. Выберите многоточие других действий (...) в верхней части сводки по инцидентам карта, чтобы скопировать или повторно создать сводку или просмотреть сводку на портале Security Copilot. При выборе Открыть в Security Copilot открывается новая вкладка автономного портала Security Copilot, где можно вводить запросы и получать доступ к другим подключаемым модулям.

   

Управление параметрами сводки инцидентов Copilot (предварительная версия)

По умолчанию Copilot создает сводку по каждому инциденту, открываемого пользователем, но вы можете изменить этот параметр, чтобы отобразить сводку по инцидентам только в определенных экземплярах. Вы можете создать сводки:

• Всегда (для каждого открытого инцидента)
• На основе уровня серьезности инцидента
• Только по запросу

Чтобы изменить параметры сводки по инцидентам Copilot в Microsoft Sentinel, выполните следующие действия.

1. Перейдите в раздел Системные>>параметрыCopilot в Defender в области навигации Microsoft Sentinel.

   

2. В разделе Параметры выберите Создание сводки по инцидентам.

3. Выберите Автоматически создать или Создать по запросу в зависимости от ваших предпочтений.

4. При выборе параметра Автоматическое создание выберите значение Всегда или Серьезность инцидента. Если выбран параметр Серьезность инцидента, выберите минимальный уровень серьезности, для которого copilot автоматически создает сводки по инцидентам.

   

5. Выберите Сохранить.

• При выборе значения Серьезность инцидента отображается оценка количества инцидентов каждого уровня серьезности, проверяемого в день, а также предполагаемое потребление SCU.

  

• Copilot сохраняет созданные сводки об инцидентах в течение недели. Если в выбранном инциденте уже есть сводка в кэше и инцидент существенно не изменился, сводка автоматически переиздается без затрат, независимо от параметра.

• Чтобы создать сводку по запросу для инцидента, который не создается автоматически, нажмите кнопку Создать .

  

Пример сводной строки по инцидентам

На автономном портале Security Copilot можно использовать следующий запрос для создания сводок по инцидентам:

• Предоставьте сводку по инциденту в Defender {идентификатор инцидента}.

Предоставление отзывов

Корпорация Майкрософт настоятельно рекомендует предоставить отзыв компании Copilot, так как она имеет решающее значение для постоянного совершенствования возможностей. Вы можете оставить отзыв о сводке, нажав значок обратной связи в нижней части панели Copilot.

См. также

• Сведения о других встроенных интерфейсах Security Copilot
• Конфиденциальность и безопасность данных в Security Copilot