Microsoft Security Copilot ja keskustelu Microsoft Defender

Aloittaminen

Jos haluat avata Defender-keskustelukokemuksen mistä tahansa Defender-portaalin kohdasta, valitse Copilot-painike yläreunan siirtymispalkissa. Keskustelupaneeli liukuu auki näytön oikeassa reunassa ja pysyy kontekstissa, kun jatkat työskentelyä. Näyttöön avautuu tervetulonäyttö, jossa on tervehdys ja syötekenttä valmiina ensimmäistä kysymystäsi varten.

Jos haluat sulkea paneelin, valitse otsikosta Sulje tai valitse Copilot-painike uudelleen. Keskustelusi säilytetään, ja voit avata paneelin uudelleen ja jatkaa siitä, mihin jäit.

Sivukontekstin tietoisuus

Defender Chat vastaa sen sivun perusteella, jota parhaillaan tarkastelet Defender-portaalissa, ja voi vastata kysymyksiin kyseisen kontekstin perusteella.

Jos esität kysymyksen, kuten "Ketkä käyttäjät ovat osallisina tässä tapahtumassa?", keskustelu ymmärtää, mihin tapaukseen, hälytykseen, laitteeseen tai entiteettiin viittaat nykyisen sivusi perusteella ilman, että sinun tarvitsee antaa tunnuksia tai nimiä.

Keskustelukeskustelun ominaisuudet

Vuorovaikutteiset keskustelut

Keskustelu muistaa koko keskustelusi kontekstin, joten voit esittää jatkokysymyksiä luonnollisesti. Voit esimerkiksi aloittaa Näytä minulle suuren vakavuusasteen tapaukset viime viikolta ja seurata sitten Kerro minulle lisää ensimmäisestä, ja keskustelu ymmärtää, mitä tarkoitat.

Vaiheittaiset suunnitelmat

Monitasoisten tai monivaiheisten pyyntöjen osalta keskustelu voi ensin esittää ehdotetun suunnitelman, jossa esitetään vaiheet, joihin keskustelu aikoo ryhtyä. Voit hyväksyä tai hylätä suunnitelman, ennen kuin mitään toimintoja tehdään. Näin hallitset erityisesti tutkimuksia, jotka edellyttävät useita tietojen hakuja.

Jos esimerkiksi kysyt Tutki tapausta 12345 ja teet yhteenvedon tärkeimmistä havainnoista, keskustelu voi ehdottaa seuraavaa suunnitelmaa:

1. Tapauksen tietojen noutaminen
2. Liittyvien ilmoitusten noutaminen
3. Kerää todisteita ja vaikutuskohteita
4. Yhteenveto havainnoista

Kun olet hyväksynyt suunnitelman, keskustelu suoritetaan jokaisessa vaiheessa ja sen edistyminen näkyy reaaliaikaisesti.

Kysymysten selventäminen

Jos pyyntösi on moniselitteinen, keskustelu saattaa esittää selventävän kysymyksen ja tarjota pikavalintavaihtoehtoja (enintään neljä ehdotusta), joiden avulla pääset oikeaan vastaukseen nopeammin. Valitse vaihtoehto tai kirjoita oma vastauksesi.

Keskusteluhistoria

Keskustelusi tallennetaan automaattisesti. Voit tehdä seuraavaa chatin vasemmalla puolella olevan Keskustelut-paneelin avulla:

• Jatka edellistä keskustelua
• Aloita uusi istunto
• Poista keskustelu
• Poista kaikki keskustelut

Vastausten käsitteleminen

Vastaukset muotoillaan jäsennettyjen taulukoiden, luettelomerkkien ja osan otsikoiden avulla luettavuuden parantamiseksi. Voit toimia seuraavasti:

• Vastauksen kopioiminen: Kopioi viesti leikepöydälle valitsemalla minkä tahansa viestin kopiointikuvake
• Vie taulukot: Valitse Vie missä tahansa taulukossa, jos haluat viedä sen Exceliin lisäanalyyseja varten
• Lopeta luonti: Keskeytä liian pitkä tai väärään suuntaan menevä vastaus valitsemalla Pysäytä
• Yritä uudelleen: Jos jokin menee vikaan, yritä vastausta uudelleen valitsemalla Yritä uudelleen

Tärkeimmät ominaisuudet

• Upotettu keskusteluominaisuus keskustelun ja ohjauksen mahdollistamiseksi
• Kontekstin huomioon ottavat vastaukset eri tapahtumissa, hälytyksissä, käyttäjällisyyksissä, laitteissa, INTERNET-laitteissa ja todisteissa
• Jatkokysymykset selvennystä varten

Tutki tapauksia ja vastaa niihin kuten asiantuntija

Näiden tekoälytyökalujen avulla suojaustiimit voivat käsitellä hyökkäystutkimuksia nopeasti helposti ja tarkasti. He voivat ymmärtää hyökkäykset välittömästi, analysoida epäilyttäviä tiedostoja ja komentosarjoja nopeasti ja arvioida ja soveltaa asianmukaista lievennystä hyökkäysten pysäyttämiseksi ja hillitsemiseksi.

Tapausten nopeat yhteenvedot

Useita ilmoituksia sisältävien tapausten tutkiminen voi olla työläs tehtävä. Jos haluat ymmärtää tapauksen välittömästi, voit pyytää Copilotia tekemään yhteenvedon tapahtumasta puolestasi. Copilot luo yleiskatsauksen hyökkäyksestä. Yleiskatsaus sisältää olennaisia tietoja, joiden avulla voit ymmärtää, mitä hyökkäyksessä tapahtui, mitä resursseja siihen liittyy, sekä hyökkäyksen aikajanan. Copilot luo yhteenvedon automaattisesti, kun avaat tapaussivun. Se auttaa myös ymmärtämään siihen liittyviä resursseja ja toimintaa ehdottamalla kehotteita liittyvistä käyttäjätiteeteistä, laitteista, IPS:istä ja niin edelleen.

Tapausten käsittely ohjatuilla vastauksilla

Tapausten ratkaiseminen edellyttää, että analyytikot ymmärtävät hyökkäyksen tietääkseen, mitkä ratkaisut ovat sopivia. Copilot suosittelee ratkaisuja kuhunkin tapaukseen liittyvien ohjattujen vastausten kautta.

Suorita komentosarja-analyysi helposti

Useimmat hyökkääjät käyttävät kehittyneitä haittaohjelmia käynnistäessään hyökkäyksiä tunnistuksen ja analyysin välttämiseksi. Tämä haittaohjelma on yleensä poistettu, ja se voi olla komentosarjojen tai komentorivien muodossa PowerShellissä. Copilot voi analysoida komentosarjoja nopeasti, mikä lyhentää tutkimiseen kuluvaa aikaa.

Luo laiteyhteenvedot

Välikohtauksiin liittyvien laitteiden tutkiminen voi olla monimutkaista. Laitteen nopeaa arviointia varten Copilot voi tehdä yhteenvedon laitteen tiedoista, kuten laitteen suojaustaso, epätavalliset käyttäytymistavat, luettelo haavoittuvasta ohjelmistosta ja olennaiset Microsoft Intune -tiedot.

Analysoi tiedostot nopeasti

Copilotin avulla tietoturvatiimit voivat nopeasti arvioida ja ymmärtää epäilyttäviä tiedostoja tiedostoanalyysin avulla. Copilot tarjoaa tiedoston yhteenvedon, mukaan lukien tunnistustiedot, liittyvät tiedostovarmenteet, luettelon ohjelmointirajapintakutsuista ja tiedostosta löytyneet merkkijonot.

Tutki tunnistetiedot välittömästi

Arvioi käyttäjän riski nopeasti luomalla käyttäjätietojen yhteenveto Copilotilla. Tunnista, milloin käyttäjätieto on vaarassa tai epäilyttävä, tilannekohtaisilla tiedoilla käyttäjän roolista ja roolin muutoksista, kirjautumiskäyttäytymisestä, sisäänkirjautumislaitteista ja asiaankuuluvista yhteystietoista.

Tapahtumaraporttien kirjoittaminen tehokkaasti

Suojaustoimintaryhmät kirjoittavat yleensä raportteja tärkeiden tietojen tallentamiseksi. Nämä raportit sisältävät vastaustoimet, niiden tulokset, mukana olevat tiimin jäsenet ja muita tietoja tulevien turvallisuuspäätösten tueksi. Tapausten dokumentointi voi olla aikaa vievää, koska tehokkaan tapahtumaraportin on sisällettävä tapahtuman yhteenveto, toteutetut toimet ja se, kuka teki mitäkin ja milloin. Copilot luo tapausraportin yhdistämällä tapahtuman yhteenvedon, vastaustoimet ja ryhmän osallistumisen.

Etsi ammattilaisen tavoin

Defenderin Copilot auttaa tietoturvatiimejä etsimään verkkonsa uhkia ennakoivasti luomalla nopeasti sopivia KQL-kyselyitä.

Kehittyneen metsästyksen suojausryhmät voivat nyt käyttää kyselyavustajaa, joka muuntaa luonnollisen kielen kysymykset suoritettaviksi KQL-kyselyiksi. Kyselyavustaja säästää aikaa luomalla KQL-kyselyn, joka voidaan suorittaa heti tai muokata analyytikon tarpeiden mukaan. Lue lisää kyselyavustajasta.

Suojaa organisaatiosi asianmukaisilla uhkatietämystoiminnoilla

Anna tietoturvaorganisaatiollesi mahdollisuus tehdä tietoon perustuvia päätöksiä uusimpien uhkatietojen avulla. Copilot kokoaa yhteen uhkatiedot ja tekee niistä yhteenvedon, jotta tietoturvatiimit voivat priorisoida uhkia ja reagoida niihin tehokkaasti.

Valvo uhkatietoja

Pyydä Copilotia tekemään yhteenveto ympäristöön vaikuttavista olennaisista uhista, priorisoimaan uhkien ratkaiseminen altistustasojen perusteella tai etsimään uhkia, jotka saattavat kohdistua toimialaasi. Lue lisää uhkien Security Copilot.

Käytä Copilotia Defenderissä

Jos haluat varmistaa, että sinulla on käyttöoikeus Defender copilotiin, katso Security Copilot osto- ja käyttöoikeustiedot. Kun sinulla on Security Copilot käyttöoikeus, tärkeimmät ominaisuudet tulevat saataville Microsoft Defender-portaaliin.

Esimerkkikehotteet Copilotissa

Microsoft Defender portaalissa on esimerkkikehotteita, joiden avulla voit siirtyä copilot-ominaisuuksiin ja käyttää sitä. Kehotteet on suunniteltu auttamaan sinua ymmärtämään näitä ominaisuuksia ja käyttämään niitä tehokkaasti. Seuraavassa on joitakin esimerkkejä kehotteista, joita saatat nähdä portaalissa:

Kehittyneet metsästyskehotteet:

Uhkien tiedustelukehotteet:

Voit laajentaa tutkimuksiasi erillisessä Security Copilot portaalissa luonnollisen kielen kehotteiden avulla. Seuraavassa on esimerkkikehotteita, joiden avulla voit kirjoittaa kehotepalkkiin, jossa on suosituksia sisältävä tapaus:

• Kirjoita Yhteenvetotapauksesta {tapausnumero} ja tee lopuksi suosituksia tapauksen yhteenvedon ja suositusten luomiseksi.
• Kirjoita Mitä voit kertoa komentosarjan ilmaisimien maineesta? Ovatko ne pahantahtoisia? Jos on, miksi? jos haluat analysoida komentosarjaa ja luoda tietoja komentosarjasta.

Näet Copilotissa kehotteen, jonka avulla voit siirtyä ja käyttää ominaisuuksia tehokkaasti. Kehotepalkin avulla voit myös luoda KQL-kyselyitä, tehdä yhteenvedon tapauksista ja analysoida tiedostoja. Katso vihjeitä tehokkaasta kehotuksesta. Voit myös käyttää valmiita kehotekirjoja Copilotin käytön aloittamiseen. Lisätietoja on artikkelissa Valmiiden kehotekirjojen käyttäminen Copilotissa.