Microsoft Security Copilot og chat i Microsoft Defender

Komme i gang

Hvis du vil åpne Defender-chatteopplevelsen fra hvor som helst i Defender-portalen, velger du Copilot-knappen i det øverste navigasjonsfeltet. Lysbildene i chattepanelet åpnes på høyre side av skjermen og forblir i kontekst mens du fortsetter å arbeide. En velkomstskjerm vises med en hilsen og et inndatafelt som er klart for det første spørsmålet.

Hvis du vil lukke panelet, velger du Lukk i toppteksten eller velger Copilot-knappen på nytt. Samtalen bevares, og du kan åpne panelet på nytt og fortsette der du slapp.

Bevissthet om sidekontekst

Defender Chat svarer basert på siden du viser i Defender-portalen, og kan svare på spørsmål basert på denne konteksten.

Hvis du stiller et spørsmål, for eksempel «Hvilke brukere er involvert i denne hendelsen?», forstår chatten hvilken hendelse, varsel, enhet eller enhet du refererer til, basert på gjeldende side uten å måtte oppgi ID-er eller navn.

Funksjoner for chatsamtale

Interaktive samtaler

Chatten husker hele konteksten i samtalen, slik at du kan stille oppfølgingsspørsmål naturlig. Du kan for eksempel starte med Vis meg hendelser med høy alvorlighetsgrad fra den siste uken, og deretter følge opp med Fortell meg mer om den første, og chatten forstår hva du mener.

Trinnvise planer

For komplekse eller flertrinns forespørsler kan chatten først presentere en foreslått plan som beskriver trinnene den har tenkt å utføre. Du kan godkjenne eller avvise planen før noen handlinger utføres. Dette holder deg i kontroll, spesielt for undersøkelser som krever flere dataoppslag.

For eksempel: Hvis du spør Undersøk hendelse 12345 og oppsummerer de viktigste funnene, kan chatten foreslå følgende plan:

1. Hent hendelsesdetaljer
2. Hente tilknyttede varsler
3. Samle inn bevis og berørte enheter
4. Oppsummer funn

Når du har godkjent planen, utfører chatten hvert trinn og viser fremdriften i sanntid.

Klargjør spørsmål

Hvis forespørselen er tvetydig, kan chatten stille et tydelig spørsmål og tilby hurtigvalgalternativer (opptil fire forslag) for å hjelpe deg med å komme raskere til riktig svar. Velg et alternativ, eller skriv inn ditt eget svar.

Samtalelogg

Samtalene lagres automatisk. Bruk samtalepanelet på venstre side av chatten til å:

• Gjenoppta en tidligere samtale
• Start en ny økt
• Slette en samtale
• Fjern alle samtaler

Arbeide med svar

Svarene er formatert med strukturerte tabeller, punktmerking og inndelingsoverskrifter for lesbarhet. Du kan:

• Kopiere et svar: Velg kopier-ikonet på en melding for å kopiere det til utklippstavlen
• Eksporter tabeller: Velg Eksporter på en tabell for å eksportere den til Excel for videre analyse
• Stopp generering: Velg Stopp for å avbryte et svar som tar for lang tid eller overskrift i feil retning
• Prøv på nytt: Hvis noe går galt, velger du Prøv på nytt for å prøve svaret på nytt

Nøkkelfunksjoner

• Innebygd chatfunksjonalitet som muliggjør samtale og styring
• Kontekstavhengige svar på tvers av hendelser, varsler, identiteter, enheter, IP-er og bevis
• Oppfølgingsspørsmål for avklaring

Undersøk og svar på hendelser som en ekspert

Disse AI-verktøyene gjør det mulig for sikkerhetsteam å håndtere angrepsundersøkelser i tide med enkel og presisjon. De kan forstå angrep umiddelbart, raskt analysere mistenkelige filer og skript, og umiddelbart vurdere og anvende passende begrensninger for å stoppe og inneholde angrep.

Oppsummer hendelser raskt

Det kan være en skremmende oppgave å undersøke hendelser med flere varsler. For umiddelbart å forstå en hendelse, kan du be Copilot om å oppsummere en hendelse for deg. Copilot skaper en oversikt over angrepet. Oversikten inneholder viktig informasjon for å forstå hva som skjedde i angrepet, hvilke ressurser som er involvert, og tidslinjen for angrepet. Copilot oppretter automatisk et sammendrag når du åpner en hendelsesside. Det hjelper deg også med å forstå ressursene som er involvert, og hvordan du kan handle ved å foreslå ledetekster om relaterte identiteter, enheter, IP-er og så videre.

Utfør tiltak mot hendelser gjennom veiledede svar

Å løse hendelser krever at analytikere forstår et angrep for å vite hvilke løsninger som er hensiktsmessige. Copilot anbefaler løsninger gjennom veiledede svar som er spesifikke for hver hendelse.

Kjør skriptanalyse på en enkel måte

De fleste angripere er avhengige av sofistikert skadelig programvare når de starter angrep for å unngå gjenkjenning og analyse. Denne skadelige programvaren er vanligvis obfuscated og kan være i form av skript eller kommandolinjer i PowerShell. Copilot kan raskt analysere skript, noe som reduserer tiden det tar å undersøke.

Generer enhetssammendrag

Det kan være komplisert å undersøke enheter som er involvert i hendelser. For raskt å vurdere en enhet kan Copilot oppsummere en enhets informasjon, inkludert enhetens sikkerhetsstilling, eventuell uvanlig atferd, en liste over sårbar programvare og relevant Microsoft Intune-informasjon.

Analyser filer raskt

Copilot hjelper sikkerhetsteam med å raskt vurdere og forstå mistenkelige filer med filanalyse. Copilot gir et sammendrag av en fil, inkludert gjenkjenningsinformasjon, relaterte filsertifikater, en liste over API-kall og strenger som finnes i filen.

Undersøke identiteter umiddelbart

Vurder raskt en brukers risiko ved å generere et identitetssammendrag med Copilot. Identifiser når en identitet er utsatt eller mistenkelig med kontekstualisert informasjon om en brukers rolle og rolleendringer, påloggingsatferd, enheter som er logget på, og relevant kontaktinformasjon.

Skriv hendelsesrapporter effektivt

Sikkerhetsoperasjonsteam skriver vanligvis rapporter for å registrere viktig informasjon. Disse rapportene inkluderer responshandlinger som er utført, deres resultater, gruppemedlemmene og annen informasjon for å hjelpe fremtidige sikkerhetsbeslutninger. Dokumentering av hendelser kan være tidkrevende fordi en effektiv hendelsesrapport må inneholde hendelsessammendraget, handlingene som er utført, og hvem som tok hvilke handlinger og når. Copilot genererer en hendelsesrapport ved å konsolidere hendelsessammendraget, responshandlingene og teaminvolveringen.

Jakt som en proff

Copilot i Defender hjelper sikkerhetsteam med proaktiv jakt etter trusler i nettverket ved raskt å bygge passende KQL-spørringer.

Sikkerhetsteam som bruker avansert jakt, kan nå bruke en spørringsassistent som konverterer spørsmål på naturlig språk til klar til å kjøre KQL-spørringer. Spørringsassistenten sparer tid ved å generere en KQL-spørring som kan kjøres umiddelbart eller tilpasses analytikerens behov. Les mer om Spørringsassistent.

Beskytt organisasjonen med relevant trusselinformasjon

Gi sikkerhetsorganisasjonen din muligheten til å ta veloverveide beslutninger med den nyeste trusselinformasjonen. Copilot konsoliderer og oppsummerer trusselintelligens for å hjelpe sikkerhetsteam med å prioritere og reagere effektivt på trusler.

Overvåk trusselinformasjon

Be Copilot om å oppsummere de relevante truslene som påvirker miljøet ditt, prioritere å løse trusler basert på eksponeringsnivåene dine, eller finne trusselaktører som kan være rettet mot bransjen din. Les mer om Security Copilot i trusselintelligens.

Få tilgang til Copilot i Defender

Hvis du vil sikre at du har tilgang til Copilot i Defender, kan du se Security Copilot kjøps- og lisensieringsinformasjon. Når du har tilgang til Security Copilot, blir nøkkelfunksjonene tilgjengelige i Microsoft Defender-portalen.

Eksempelmeldinger i Copilot

I Microsoft Defender-portalen kan du finne eksempelmeldinger for å hjelpe deg med å navigere og bruke noen Copilot-funksjoner. Ledetekstene er utformet for å hjelpe deg med å forstå disse funksjonene og hvordan du bruker dem effektivt. Her er noen eksempler på ledetekster du kan se i portalen:

Avanserte jaktmeldinger:

Ledetekster om trusselintelligens:

Du kan utvide undersøkelsen i Security Copilot frittstående portal ved hjelp av spørsmål om naturlig språk. Følgende er eksempelmeldinger som du kan skrive inn i ledetekstlinjen for å hjelpe deg med å oppsummere en hendelse med anbefalinger:

• Skriv inn Summarize-hendelsen {incident number} og avslutt med et sett med anbefalinger for å generere hendelsessammendraget og anbefalingene.
• Skriv inn Hva kan du fortelle meg om omdømmet til indikatorene i skriptet? Er de ondsinnede? I så fall, hvorfor? for å analysere skriptet og generere detaljer om skriptet.

Spørsmål i Copilot hjelper deg med å navigere og bruke funksjonene effektivt. Du kan også bruke ledetekstlinjen til å generere KQL-spørringer, oppsummere hendelser og analysere filer. Se tips for effektiv ledende spørsmål. Du kan også bruke forhåndsbygde promptbooks for å komme i gang med Copilot. Hvis du vil ha mer informasjon, kan du se bruke forhåndsbygde promptbooks i Copilot.