Настройка реагирования на инциденты для организации

  • Применяется к: Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Security Copilot на портале Microsoft Defender предоставляет интерактивные ответы для поддержки группы реагирования в разрешении инцидентов. Copilot в Defender использует ИИ и машинное обучение для контекстуализации инцидента и изучения предыдущих исследований для создания соответствующих действий реагирования.

В этом руководстве описывается, как передать конкретные рекомендации организации в Microsoft Security Copilot для улучшения рекомендаций по интерактивному реагированию.

Предварительные условия

  • Для отправки, утверждения или удаления файлов необходимо быть по крайней мере администратором безопасности. Операторы безопасности могут просматривать руководства, но не управлять ими.
  • Рекомендации для конкретной организации должны иметь поддерживаемый формат (PDF, DOCX, TXT) и не должны превышать максимальный размер файла в 3 МБ.

Действия по настройке интерактивного ответа Copilot с помощью руководства вашей организации

Отправьте свое руководство из параметров Copilot. Вы можете добраться туда одним из двух способов:

  • На портале Microsoft Defender выберитеПараметры>системы>Copilot в разделеНастраиваемые путеводителя Defender>.

    Снимок экрана: добавление пользовательских путеводителя из параметров.

  • В области Задач Copilot внутри инцидента перейдите в раздел Создание задач из собственного руководства и выберите Открыть параметры Copilot.

    Снимок экрана: открытие параметров Copilot в области задач.

Затем выполните следующие действия.

  1. Выберите Добавить новый путеводитель.

  2. Выберите Отправить файл.

  3. Перейдите к расположению файла, выберите файл и нажмите кнопку Создать.

  4. После отправки файла перейдите на вкладку Ожидание проверки .

    Снимок экрана: вкладка

  5. На вкладке Ожидающая проверка отображаются новые рекомендации на основе загруженного руководства. Проверьте файл, чтобы убедиться, что он соответствует стандартам вашей организации. Выберите имя руководства и просмотрите предлагаемые созданные задачи.

  6. Если руководство соответствует вашим стандартам, выберите Утвердить и активировать , чтобы сделать его доступным для использования в интерактивных ответах. Если он не соответствует вашим стандартам, выберите Удалить , чтобы удалить его.

    Снимок экрана: кнопка

  7. Убедитесь, что на вкладке Guidebooks (Путеводителя ) отображается активное руководство. Чтобы отключить его позже, выберите руководство и нажмите кнопку Деактивировать.

    Снимок экрана: вкладка

Copilot будет отдавать приоритет пользовательским руководствам вашей организации, а не по умолчанию, предоставляемым корпорацией Майкрософт. Если имеется несколько руководств, Copilot будет использовать тот, который лучше всего соответствует контексту инцидента.

Снимок экрана: рекомендуемые ответы на основе пользовательских путеводителях.

У вас есть возможность оставить отзыв об эффективности интерактивных ответов, созданных из руководств вашей организации. Эта обратная связь помогает улучшить будущие рекомендации.

Снимок экрана: окно обратной связи для интерактивных ответов.

Рекомендации по созданию эффективных руководств

Примеры собственных сборников схем реагирования на инциденты корпорации Майкрософт см. в разделе Сборники схем реагирования на инциденты.

При создании путеводителя вашей организации следует помнить, что они могут читать только текст. Избегайте использования изображений, графов или сложного форматирования, которое может препятствовать извлечению текста.

  • Last updated on