Поделиться через

Резюмирование инцидента с помощью Microsoft Copilot в Microsoft Defender

  • Применяется к: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR применяет возможности Security Copilot для обобщения инцидентов, предоставления важных сведений и аналитических сведений для упрощения задач исследования. Исследование атак — это важный шаг для групп реагирования на инциденты, позволяющий успешно защитить организацию от дальнейшего ущерба от киберугроз. Исследования часто могут занять много времени, так как они включают в себя многочисленные шаги. Группам реагирования на инциденты необходимо понять, как произошла атака: разобраться в многочисленных оповещениях, определить, какие активы и организации задействованы, а также оценить масштаб и влияние атаки.

В этом руководстве описывается, что следует ожидать и как получить доступ к возможности резюмирования Copilot в Defender, включая сведения о предоставлении отзывов.

Перед началом работы

Если вы не знакомы с Security Copilot, ознакомьтесь со следующими статьями:

Службы реагирования на инциденты могут легко получить правильный контекст для исследования и устранения инцидентов с помощью возможностей корреляции Defender XDR и обработки и контекстуализации данных на основе ИИ Security Copilot. Со сводкой об инциденте, сотрудники служб реагирования могут быстро получить важную аналитику, которая поможет в исследовании.

интеграция Security Copilot в Microsoft Defender

Возможность сводки инцидентов доступна на портале Microsoft Defender для клиентов, которые подготовили доступ к Security Copilot.

Эта возможность также доступна в автономном интерфейсе Security Copilot через подключаемый модуль Microsoft Defender XDR. Узнайте больше о предустановленных подключаемых модулях в Security Copilot.

Основные возможности

Инциденты, содержащие до 100 оповещений, можно объединить в одну сводку по инцидентам. Сводка по инциденту в зависимости от доступности данных включает следующее:

  • Время и дату начала атаки.
  • Объект или актив, с которого началась атака.
  • Сводку временных шкал развертывания атаки.
  • Активы, задействованные в атаке.
  • Индикаторы компрометации (IoC).
  • Имена задействованных субъектов угроз.
  • Предлагаемые Security Copilot подсказки, которые помогут вам сосредоточиться на наиболее важных дальнейших шагах, получить более подробные сведения и упростить исследования.

Чтобы подвести итоги инцидента, выполните приведенные ниже действия.

  1. Откройте страницу инцидента. Copilot автоматически создает сводку по инциденту при открытии страницы. Вы можете остановить создание сводки, нажав Отмена или перезапустить создание, выбрав Создать заново.

  2. Сводная карточка инцидента загружается в области Copilot. Просмотрите созданную сводку на карточке. Просмотрите сводку и используйте информацию для направления исследования и реагирования на инцидент.

    Снимок экрана: карта сводки инцидентов на панели Copilot, как показано на странице инцидента Microsoft Defender.

    Совет

    Вы можете перейти к файлу, IP-адресу или странице URL-адреса из области результатов Copilot, щелкнув свидетельство в результатах.

  3. Выберите Просмотреть запросы , чтобы просмотреть предлагаемые запросы. Предлагаемые подсказки отображают актуальные вопросы о дальнейших действиях, основанные на наиболее важной информации в данном инциденте.

    Выберите рекомендуемый запрос, чтобы получить дополнительные сведения о конкретных ресурсах, участвующих в инциденте, таких как сводки устройств, сводки удостоверений и связанная аналитика угроз.

    Снимок экрана: подсказки Copilot для сводки инцидентов карта.

  4. Выберите многоточие других действий (...) в верхней части сводки по инцидентам карта, чтобы скопировать или повторно создать сводку или просмотреть сводку на портале Security Copilot. При выборе Открыть в Security Copilot открывается новая вкладка автономного портала Security Copilot, где можно вводить запросы и получать доступ к другим подключаемым модулям.

    Снимок экрана: действия, доступные в карта сводки инцидентов.

Управление параметрами сводки инцидентов Copilot (предварительная версия)

По умолчанию Copilot создает сводку по каждому инциденту, открываемого пользователем, но вы можете изменить этот параметр, чтобы отобразить сводку по инцидентам только в определенных экземплярах. Вы можете создать сводки:

  • Всегда (для каждого открытого инцидента)
  • На основе уровня серьезности инцидента
  • Только по запросу

Чтобы изменить параметры сводки по инцидентам Copilot в Microsoft Sentinel, выполните следующие действия.

  1. Перейдите в раздел Системные>>параметрыCopilot в Defender в области навигации Microsoft Sentinel.

    Снимок экрана: страница параметров Copilot в Microsoft Sentinel.

  2. В разделе Параметры выберите Создание сводки по инцидентам.

  3. Выберите Автоматически создать или Создать по запросу в зависимости от ваших предпочтений.

  4. При выборе параметра Автоматическое создание выберите значение Всегда или Серьезность инцидента. Если выбран параметр Серьезность инцидента, выберите минимальный уровень серьезности, для которого copilot автоматически создает сводки по инцидентам.

    Снимок экрана: страница параметров Copilot в Microsoft Sentinel.

  5. Выберите Сохранить.

  • При выборе значения Серьезность инцидента отображается оценка количества инцидентов каждого уровня серьезности, проверяемого в день, а также предполагаемое потребление SCU.

    Снимок экрана, на котором показано приблизительное число инцидентов для каждого уровня серьезности.

  • Copilot сохраняет созданные сводки об инцидентах в течение недели. Если вы выбрали инцидент, сводка которого находится в кэше, и инцидент не изменился значительно, сводка автоматически переиздается без затрат независимо от параметра.

  • Чтобы создать сводку по запросу для инцидента, который не создается автоматически, нажмите кнопку Создать .

    Снимок экрана: кнопка

Пример сводной строки по инцидентам

На автономном портале Security Copilot можно использовать следующий запрос для создания сводок по инцидентам:

  • Предоставьте сводку по инциденту в Defender {идентификатор инцидента}.

Совет

При создании сводки по инцидентам на портале Security Copilot корпорация Майкрософт рекомендует включить слово Defender в ваши запросы, чтобы функция сводки по инцидентам предоставляла результаты.

Предоставление отзывов

Корпорация Майкрософт настоятельно рекомендует предоставить отзыв компании Copilot, так как она имеет решающее значение для постоянного совершенствования возможностей. Вы можете оставить отзыв о сводке, нажав значок обратной связи Снимок экрана: значок обратной связи для карточек Copilot в Defender в нижней части панели Copilot.

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.

  • Last updated on