Поделиться через

Microsoft Security Copilot в Аналитика угроз Microsoft Defender

  • Статья

Важно!

30 июня 2024 г. автономный портал Аналитика угроз Microsoft Defender (Defender TI) (https://ti.defender.microsoft.com) был прекращен и больше недоступен. Клиенты могут продолжать использовать Defender TI на портале Microsoft Defender или с помощью Microsoft Security Copilot. Подробнее

Microsoft Security Copilot — это облачная платформа ИИ, которая обеспечивает взаимодействие с использованием естественного языка. Она может помочь специалистам по безопасности в различных сценариях, таких как реагирование на инциденты, поиск угроз и сбор разведывательной информации. Дополнительные сведения о возможностях см. в статье Что такое Microsoft Security Copilot?.

Security Copilot клиенты получают доступ к Аналитика угроз Microsoft Defender каждому из прошедших проверку подлинности пользователей Copilot (Defender TI). Чтобы убедиться, что у вас есть доступ к Copilot, ознакомьтесь с Security Copilot сведениями о покупке и лицензировании.

Получив доступ к Security Copilot, основные функции, рассмотренные в этой статье, становятся доступными на портале Security Copilot или на портале Microsoft Defender.

Перед началом работы

Если вы не знакомы с Security Copilot, ознакомьтесь с ним, прочитав следующие статьи:

интеграция Security Copilot в Defender TI

Security Copilot предоставляет сведения об субъектах угроз, индикаторах компрометации (IOCs), средствах и уязвимостях, а также контекстной аналитике угроз из Defender TI. Вы можете использовать запросы и книги запросов для изучения инцидентов, обогащения потоков охоты на угрозы с помощью информации об угрозах или получения дополнительных знаний о вашей организации или о глобальном ландшафте угроз.

  • Будьте ясны и конкретны в своих подсказках. Вы можете получить лучшие результаты, если включите в запросы определенные имена или IOC злоумышленников. Также может помочь добавление аналитики угроз в запрос, например:

    • Покажи данные аналитики угроз для Aqua Blizzard.
    • Создай сводку данных аналитики угроз для "malicious.com".

  • Будьте конкретными при упоминании инцидента (например, "инцидент с идентификатором 15324").

  • Поэкспериментируйте с различными подсказками и вариантами, чтобы увидеть, что лучше всего подходит для вашего случая использования. Модели искусственного интеллекта в чате различаются, поэтому повторяйте и уточняйте подсказки на основе полученных результатов.

  • Copilot сохраняет сеансы запроса. Чтобы просмотреть предыдущие сеансы, в меню Security Copilot Главная перейдите в раздел Мои сеансы.

    Снимок экрана: меню Microsoft Security Copilot

    Примечание.

    Пошаговое руководство по Copilot, включая функцию закрепления и совместного использования, см. в статье Навигация Microsoft Security Copilot.

Дополнительные сведения о создании эффективных запросов

Основные возможности

Security Copilot позволяет командам по безопасности понимать, определять приоритеты и немедленно принимать меры в отношении информации аналитики угроз.

Вы можете спросить о злоумышленнике, кампании атак или любой другой аналитике угроз, о которой вы хотите узнать больше, и Copilot создает ответы на основе отчетов аналитики угроз, профилей и статей Intel, а также другого содержимого Defender TI.

Вы также можете выбрать любой из встроенных запросов, доступных на портале Defender, чтобы выполнить следующие действия:

  • Резюмировать последние угрозы, связанные с вашей организацией
  • Определить приоритеты, на каких угрозах следует сосредоточиться, в зависимости от максимального уровня уязвимости вашей среды для этих угроз
  • Спросите об субъектах угроз, нацеленных на индустрию инфраструктуры связи

Дополнительные сведения об использовании Copilot в Defender для аналитики угроз

Включение интеграции Security Copilot в Defender TI

  1. Перейдите в Microsoft Security Copilot и войдите в систему, используя свои учетные данные.

  2. Включите подключаемый модуль аналитики безопасности Defender. На панели запросов выберите значок ИсточникиСнимок экрана: значок «Источники».

    Снимок экрана: панель запросов в Microsoft Security Copilot с выделенным значком

    Во всплывающем окне Управление источниками в разделе Подключаемые модули убедитесь, что переключатель Microsoft Threat Intelligence включен, а затем закройте окно.

    Снимок экрана: всплывающее окно

    Примечание.

    Некоторые роли могут включать или отключать переключатель для подключаемых модулей, таких как Defender TI. Дополнительные сведения см. в статье Управление подключаемыми модулями в Microsoft Security Copilot.

  3. Введите запрос на панели запросов.

Встроенные функции системы

Security Copilot имеет встроенные системные функции, которые могут получать данные из различных включенных подключаемых модулей.

Чтобы просмотреть список встроенных системных возможностей для Defender TI, выполните следующие действия:

  1. На панели запросов выберите значок ЗапросыСнимок экрана: значок

    Снимок экрана: панель запросов в Microsoft Security Copilot с выделенным значком Запросы.

  2. Выберите Просмотреть все возможности системы . В разделе Аналитика угроз (Майкрософт ) перечислены все доступные возможности для Defender TI, которые можно использовать.

Copilot также имеет следующие сборники запросов, которые также предоставляют сведения из Defender TI:

  • Проверка влияния статьи о внешних угрозах . Анализирует внешнюю или стороннюю (т. е. не опубликованную в Defender TI) статью, чтобы извлечь связанные ioCs, обобщить аналитику и создать запросы охоты, чтобы вы могли оценить потенциальное влияние угрозы, о котором сообщается в этой статье вашей организации.
  • Профиль субъекта угроз . Создает отчет, профилируя известный субъект угроз, включая предложения по защите от его общих инструментов и тактик.
  • Отчет аналитики угроз 360 на основе статьи MDTI . Анализирует статью Defender TI для извлечения связанных операций ввода-вывода, суммирования аналитики и создания запросов охоты, чтобы вы могли оценить потенциальное влияние угрозы, о котором сообщается в этой статье вашей организации.
  • Оценка влияния уязвимости — создает отчет, содержащий сводку аналитики для известной уязвимости, включая шаги по ее устранению.

Чтобы просмотреть эти сборники запросов, на панели запросов щелкните значок Запросы, а затем выберите Просмотреть все книги запросов.

Примеры запросов ti Defender

Для получения сведений из Defender TI можно использовать множество запросов. В этом разделе перечислены некоторые идеи и примеры.

Получите аналитику угроз из статей об угрозах и злоумышленниках.

Примеры запросов :

  • Резюмируй последнюю аналитику угроз.
  • Покажи мне последние статьи об угрозах.
  • Предоставь статьи об угрозах, связанные с программами-шантажистами за последние шесть месяцев.

Сопоставь злоумышленника и инфраструктуру

Получите информацию об субъектах угроз, а также о тактиках, методах и процедурах (TTP), спонсируемых государствах, отраслях и связанных с ними IOC.

Примеры запросов :

  • Расскажи мне больше о Silk Typhoon.
  • Поделитесь информацией о IOC, связанных с Silk Typhoon.
  • Поделитесь информацией о TTP, связанных с Silk Typhoon.
  • Найдите злоумышленников, связанных с Россией.

Данные об уязвимостях по CVE

Получите контекстную информацию и аналитику угроз о распространенных уязвимостях и уязвимостях (CVEs), которые являются производными от статей по ti Defender, отчетов аналитики угроз и данных из Управление уязвимостями Microsoft Defender и Microsoft Defender управления поверхностью атак на конечные точки.

Примеры запросов :

  • Поделитесь технологиями, которые подвержены уязвимости CVE-2021-44228.
  • Резюмируй уязвимость CVE-2021-44228.
  • Покажите мне последние CVE.
  • Найдите злоумышленников, связанных с CVE-2021-44228.
  • Найдите статьи о злоумышленниках, связанных с CVE-2021-44228.

Данные индикаторов в связи с аналитикой угроз

Получите подробные сведения о индикаторе (например, IP-адреса, домены и хэши файлов) на основе многочисленных наборов данных , доступных в TI Defender, включая оценки репутации, сведения WHOIS, систему доменных имен (DNS), пары узлов и сертификаты.

Примеры запросов :

  • Что вы можете рассказать мне о доменном имени> домена<?
  • Показать индикаторы,< связанные с доменным именем>.
  • Показать все разрешения для< доменного имени>.
  • Показать пары узлов, связанные с <доменным именем>.
  • Покажи репутацию <имени узла>.
  • Показать все разрешения IP-адреса<>.
  • Покажите мне открытые службы в <IP-адресе>.

Предоставление отзывов

Ваш отзыв об интеграции Defender TI в Security Copilot помогает в разработке. Чтобы оставить отзыв, в Copilot выберите Как это ответ? В нижней части каждого завершенного запроса выберите любой из следующих параметров:

  • Выглядит правильно. Нажмите эту кнопку, если результаты соответствуют вашей оценке.
  • Требуется улучшение. Нажмите эту кнопку, если какие-либо сведения в результатах являются неправильными или неполными в зависимости от оценки.
  • Неуместно. Нажмите эту кнопку, если результаты содержат сомнительные, неоднозначные или потенциально опасные сведения.

Для каждой кнопки обратной связи можно указать дополнительные сведения в следующем появившемся диалоговом окне. По возможности и если результат Требуется улучшение, напишите несколько слов, объясняющих, что можно сделать, чтобы улучшить результат. Если вы ввели запросы, специфичные для Defender TI, и результаты не связаны с Defender TI, включите эту информацию.

Конфиденциальность и безопасность данных в Security Copilot

При взаимодействии с Security Copilot для получения данных DEFENDER TI Copilot извлекает эти данные из Defender TI. Запросы, полученные данные и выходные данные, отображаемые в результатах запросов, обрабатываются и сохраняются в службе Copilot. Дополнительные сведения о конфиденциальности и безопасности данных в Microsoft Security Copilot

См. также