Microsoft Security Copilot und Chat in Microsoft Defender

Erste Schritte

Um die Defender-Chaterfahrung von überall im Defender-Portal zu öffnen, wählen Sie in der oberen Navigationsleiste die Schaltfläche Copilot aus. Der Chatbereich wird auf der rechten Seite des Bildschirms geöffnet und bleibt im Kontext, während Sie weiterarbeiten. Es wird ein Begrüßungsbildschirm mit einer Begrüßung und einem Eingabefeld angezeigt, das für Ihre erste Frage bereit ist.

Klicken Sie zum Schließen des Bereichs in der Kopfzeile auf Schließen , oder wählen Sie erneut die Schaltfläche Copilot aus. Ihre Unterhaltung bleibt erhalten, und Sie können den Bereich erneut öffnen und dort weiterziehen, wo Sie aufgehört haben.

Seitenkontexterkennung

Defender Chat antwortet basierend auf der Seite, die Sie derzeit im Defender-Portal anzeigen, und kann Fragen basierend auf diesem Kontext beantworten.

Wenn Sie eine Frage wie "Welche Benutzer sind an diesem Vorfall beteiligt?" stellen, versteht der Chat anhand Ihrer aktuellen Seite, auf welchen Incident, welche Warnung, welches Gerät oder welche Entität Sie verweisen, ohne IDs oder Namen angeben zu müssen.

Chatunterhaltungsfunktionen

Interaktive Unterhaltungen

Der Chat erinnert sich an den vollständigen Kontext Ihrer Unterhaltung, sodass Sie Folgefragen auf natürliche Weise stellen können. Sie können z. B. mit "Ereignisse mit hohem Schweregrad anzeigen" aus der letzten Woche beginnen und dann mit "Weitere Informationen zum ersten" nachverfolgen, und der Chat versteht, was Sie meinen.

Schritt-für-Schritt-Pläne

Bei komplexen oder mehrstufigen Anforderungen kann der Chat zunächst einen vorgeschlagenen Plan präsentieren, in dem die schritte beschrieben werden, die er ergreifen möchte. Sie können den Plan genehmigen oder ablehnen, bevor Maßnahmen ergriffen werden. Dadurch behalten Sie die Kontrolle, insbesondere bei Untersuchungen, die mehrere Datensuchvorgänge erfordern.

Beispiel: Wenn Sie "Incident 12345 untersuchen" fragen und die wichtigsten Ergebnisse zusammenfassen, schlägt der Chat möglicherweise den folgenden Plan vor:

1. Abrufen von Incidentdetails
2. Abrufen zugeordneter Warnungen
3. Sammeln von Beweisen und betroffenen Entitäten
4. Zusammenfassen der Ergebnisse

Nachdem Sie den Plan genehmigt haben, führt der Chat jeden Schritt aus und zeigt seinen Fortschritt in Echtzeit an.

Klärende Fragen

Wenn Ihre Anfrage mehrdeutig ist, stellt der Chat möglicherweise eine klärende Frage und bietet Schnellauswahloptionen (bis zu vier Vorschläge), damit Sie schneller zur richtigen Antwort gelangen. Wählen Sie eine Option aus, oder geben Sie Ihre eigene Antwort ein.

Aufgezeichnete Unterhaltungen

Ihre Unterhaltungen werden automatisch gespeichert. Verwenden Sie den Bereich Unterhaltungen auf der linken Seite des Chats für Folgendes:

• Fortsetzen einer vorherigen Unterhaltung
• Starten einer neuen Sitzung
• Löschen einer Unterhaltung
• Löschen aller Unterhaltungen

Arbeiten mit Antworten

Antworten werden zur Lesbarkeit mit strukturierten Tabellen, Aufzählungszeichen und Abschnittsüberschriften formatiert. Sie haben folgende Möglichkeiten:

• Kopieren einer Antwort: Wählen Sie das Kopiersymbol für eine beliebige Nachricht aus, um sie in die Zwischenablage zu kopieren.
• Exportieren von Tabellen: Wählen Sie Exportieren für eine beliebige Tabelle aus, um sie zur weiteren Analyse nach Excel zu exportieren.
• Generierung beenden: Wählen Sie Beenden aus, um eine Antwort zu unterbrechen, die zu lange dauert oder in die falsche Richtung geht.
• Wiederholen: Wenn ein Fehler auftritt, wählen Sie Wiederholen aus, um die Antwort erneut zu versuchen.

Hauptmerkmale

• Eingebettete Chatfunktion, die Unterhaltung und Steuerung ermöglicht
• Kontextbezogene Antworten für Incidents, Warnungen, Identitäten, Geräte, IP-Adressen und Beweise
• Anschlussfragen zur Klärung

Untersuchen und reagieren Sie auf Vorfälle wie ein Experte

Diese KI-Tools ermöglichen es Sicherheitsteams, Angriffsuntersuchungen zeitnah und einfach und präzise anzugehen. Sie können Angriffe sofort verstehen, verdächtige Dateien und Skripts schnell analysieren und sofort bewerten und geeignete Maßnahmen anwenden, um Angriffe zu stoppen und einzudämmen.

Schnelles Zusammenfassen von Incidents

Das Untersuchen von Vorfällen mit mehreren Warnungen kann eine entmutigende Aufgabe sein. Um einen Vorfall sofort zu verstehen, können Sie Copilot bitten, einen Vorfall für Sie zusammenzufassen . Copilot erstellt einen Überblick über den Angriff. Die Übersicht enthält wichtige Informationen, um zu verstehen, was beim Angriff passiert ist, welche Ressourcen beteiligt sind und welche Zeitleiste der Angriff. Copilot erstellt automatisch eine Zusammenfassung, wenn Sie eine Incidentseite öffnen. Es hilft Ihnen auch, die beteiligten Ressourcen und die Vorgehensweise zu verstehen, indem Sie Aufforderungen zu verwandten Identitäten, Geräten, IP-Adressen usw. vorschlagen.

Ergreifen von Maßnahmen bei Vorfällen durch geführte Reaktionen

Um Incidents zu beheben, müssen Analysten einen Angriff verstehen, um zu wissen, welche Lösungen geeignet sind. Copilot empfiehlt Lösungen durch geführte Antworten , die für jeden Vorfall spezifisch sind.

Einfaches Ausführen der Skriptanalyse

Die meisten Angreifer verlassen sich beim Starten von Angriffen auf hochentwickelte Malware, um einer Erkennung und Analyse zu entgehen. Diese Schadsoftware wird in der Regel verschleiert und kann in Form von Skripts oder Befehlszeilen in PowerShell vorliegen. Copilot kann Skripts schnell analysieren und so die Zeit für die Untersuchung verkürzen.

Generieren von Gerätezusammenfassungen

Die Untersuchung von Geräten, die an Vorfällen beteiligt sind, kann kompliziert sein. Um ein Gerät schnell zu bewerten, kann Copilot die Informationen eines Geräts zusammenfassen, einschließlich des Sicherheitsstatus des Geräts, ungewöhnlichen Verhaltensweisen, einer Liste anfälliger Software und relevanter Microsoft Intune-Informationen.

Sofortiges Analysieren von Dateien

Copilot unterstützt Sicherheitsteams dabei, verdächtige Dateien mithilfe der Dateianalyse schnell zu bewerten und zu verstehen. Copilot stellt die Zusammenfassung einer Datei bereit, einschließlich Erkennungsinformationen, zugehörige Dateizertifikate, eine Liste von API-Aufrufen und Zeichenfolgen, die in der Datei gefunden wurden.

Identitäten sofort untersuchen

Bewerten Sie schnell das Risiko eines Benutzers, indem Sie eine Identitätszusammenfassung mit Copilot erstellen. Identifizieren Sie, wenn eine Identität gefährdet oder verdächtig ist, mit kontextbezogenen Informationen über die Rolle und Rollenänderungen eines Benutzers, Anmeldeverhalten, bei angemeldeten Geräten und relevanten Kontaktinformationen.

Effizientes Schreiben von Incidentberichten

Sicherheitsteams schreiben in der Regel Berichte, um wichtige Informationen aufzuzeichnen. Diese Berichte enthalten ausgeführte Reaktionsaktionen, deren Ergebnisse, die beteiligten Teammitglieder und andere Informationen zur Unterstützung zukünftiger Sicherheitsentscheidungen. Das Dokumentieren von Vorfällen kann zeitaufwändig sein, da ein effektiver Vorfallsbericht die Vorfallzusammenfassung, die ausgeführten Aktionen und die Personen enthalten muss, die wann welche Aktionen ergriffen haben. Copilot generiert einen Incidentbericht , indem er die Vorfallzusammenfassung, die Reaktionsaktionen und die Teambeteiligung konsolidiert.

Jagen wie ein Profi

Copilot in Defender unterstützt Sicherheitsteams bei der proaktiven Suche nach Bedrohungen in ihrem Netzwerk, indem schnell geeignete KQL-Abfragen erstellt werden.

Sicherheitsteams, die die erweiterte Suche verwenden, können jetzt eine Abfrage Assistent verwenden, die Fragen in natürlicher Sprache in sofort ausgeführte KQL-Abfragen konvertiert. Die Abfrage Assistent spart Zeit, indem eine KQL-Abfrage generiert wird, die sofort ausgeführt oder an die Anforderungen des Analysten angepasst werden kann. Weitere Informationen finden Sie unter Query Assistent.

Schützen Sie Ihre Organisation mit relevanter Threat Intelligence

Ermöglichen Sie Ihrer Sicherheitsorganisation, fundierte Entscheidungen mit den neuesten Funktionen zur Threat Intelligence zu treffen. Copilot konsolidiert und fasst Threat Intelligence zusammen, um Sicherheitsteams dabei zu unterstützen, Bedrohungen effektiv zu priorisieren und darauf zu reagieren.

Überwachen von Threat Intelligence

Bitten Sie Copilot, die relevanten Bedrohungen, die sich auf Ihre Umgebung auswirken, zusammenzufassen, um die Beseitigung von Bedrohungen basierend auf Ihren Gefährdungsstufen zu priorisieren oder Bedrohungsakteure zu finden, die möglicherweise auf Ihre Branche abzielen. Erfahren Sie mehr über Security Copilot in Threat Intelligence.

Zugriff auf Copilot in Defender

Um sicherzustellen, dass Sie Zugriff auf Copilot in Defender haben, lesen Sie die Security Copilot Kauf- und Lizenzierungsinformationen. Nachdem Sie Zugriff auf Security Copilot haben, werden die wichtigsten Features im Microsoft Defender-Portal verfügbar.

Beispieleingabeaufforderungen in Copilot

Im Microsoft Defender-Portal finden Sie Beispieleingabeaufforderungen, mit denen Sie navigieren und einige Copilot-Funktionen verwenden können. Die Eingabeaufforderungen sollen Ihnen helfen, diese Funktionen zu verstehen und sie effektiv zu nutzen. Im Folgenden finden Sie einige Beispiele für Eingabeaufforderungen, die möglicherweise im Portal angezeigt werden:

Aufforderungen zur erweiterten Suche:

Threat Intelligence-Eingabeaufforderungen:

Sie können Ihre Untersuchung im Security Copilot eigenständigen Portal mithilfe von Eingabeaufforderungen in natürlicher Sprache erweitern. Im Folgenden finden Sie Beispieleingabeaufforderungen, die Sie in die Eingabeaufforderungsleiste eingeben können, um einen Incident mit Empfehlungen zusammenzufassen:

• Geben Sie Incident {Incident number} zusammenfassen ein, und schließen Sie mit einer Reihe von Empfehlungen ab, um die Incidentzusammenfassung und die Empfehlungen zu generieren.
• Geben Sie Was können Sie mir über den Ruf der Indikatoren im Skript sagen? Sind sie schädlich? Wenn ja, warum? , um das Skript zu analysieren und Details zum Skript zu generieren.

Die Eingabeaufforderung in Copilot hilft Ihnen, die Funktionen effektiv zu navigieren und zu nutzen. Sie können auch die Eingabeaufforderungsleiste verwenden, um KQL-Abfragen zu generieren, Incidents zusammenzufassen und Dateien zu analysieren. Weitere Informationen finden Sie unter Tipps für effektive Eingabeaufforderungen. Sie können auch vordefinierte Promptbooks verwenden, um mit Copilot zu beginnen. Weitere Informationen finden Sie unter Verwenden vordefinierter Promptbooks in Copilot.