Microsoft Security Copilot en chatten in Microsoft Defender

Aan de slag

Als u de Defender-chatervaring overal in de Defender-portal wilt openen, selecteert u de knop Copilot in de bovenste navigatiebalk. Het chatvenster schuift aan de rechterkant van het scherm open en blijft in context terwijl u doorgaat. Er wordt een welkomstscherm weergegeven met een begroeting en een invoerveld dat klaar is voor uw eerste vraag.

Als u het deelvenster wilt sluiten, selecteert u Sluiten in de koptekst of selecteert u opnieuw de knop Copilot. Uw gesprek blijft behouden en u kunt het paneel opnieuw openen en verdergaan waar u was gebleven.

Paginacontextbewustzijn

Defender Chat reageert op basis van de pagina die u momenteel bekijkt in de Defender-portal en kan vragen beantwoorden op basis van die context.

Als u een vraag stelt zoals 'Welke gebruikers zijn betrokken bij dit incident?', begrijpt de chat welk incident, welke waarschuwing, welk apparaat of welke entiteit u verwijst op basis van uw huidige pagina, zonder dat u id's of namen hoeft op te geven.

Mogelijkheden voor chatgesprekken

Interactieve gesprekken

De chat onthoudt de volledige context van uw gesprek, zodat u op natuurlijke wijze vervolgvragen kunt stellen. U kunt bijvoorbeeld beginnen met Incidenten met hoge ernst weergeven van de afgelopen week, en vervolgens verdergaan met Meer informatie over de eerste, waarna de chat begrijpt wat u bedoelt.

Stapsgewijze plannen

Voor complexe aanvragen of aanvragen met meerdere stappen kan de chat eerst een voorgesteld plan presenteren waarin de stappen worden beschreven die worden uitgevoerd. U kunt het plan goedkeuren of afwijzen voordat er acties worden uitgevoerd. Dit houdt u de controle, met name voor onderzoeken waarvoor meerdere gegevenszoekacties zijn vereist.

Bijvoorbeeld: Als u incident onderzoeken 12345 vraagt en de belangrijkste bevindingen samenvat, kan de chat het volgende plan voorstellen:

1. Incidentdetails ophalen
2. Gekoppelde waarschuwingen ophalen
3. Bewijsmateriaal en betrokken entiteiten verzamelen
4. Resultaten samenvatten

Nadat u het plan hebt goedgekeurd, voert de chat elke stap uit en wordt de voortgang ervan in realtime weergegeven.

Vragen verduidelijken

Als uw aanvraag dubbelzinnig is, kan de chat een verduidelijkende vraag stellen en snel selecteren (maximaal vier suggesties) bieden om sneller bij het juiste antwoord te komen. Selecteer een optie of typ uw eigen antwoord.

Gespreksgeschiedenis

Uw gesprekken worden automatisch opgeslagen. Gebruik het deelvenster Gesprekken aan de linkerkant van de chat om het volgende te doen:

• Een eerder gesprek hervatten
• Een nieuwe sessie starten
• Een gesprek verwijderen
• Alle gesprekken wissen

Werken met antwoorden

Antwoorden worden opgemaakt met gestructureerde tabellen, opsommingstekens en sectiekoppen voor leesbaarheid. U kunt:

• Een antwoord kopiëren: selecteer het pictogram Kopiëren op een bericht om het naar het klembord te kopiëren
• Tabellen exporteren: Selecteer Exporteren voor een tabel om deze te exporteren naar Excel voor verdere analyse
• Generatie stoppen: selecteer Stoppen om een antwoord te onderbreken dat te lang duurt of in de verkeerde richting gaat
• Opnieuw proberen: als er iets misgaat, selecteert u Opnieuw proberen om het antwoord opnieuw te proberen

Belangrijkste functies

• Ingesloten chatfunctie voor het inschakelen van gesprekken en het sturen van gesprekken
• Contextbewuste antwoorden op incidenten, waarschuwingen, identiteiten, apparaten, IP-adressen en bewijsmateriaal
• Vervolgvragen ter verduidelijking

Incidenten onderzoeken en erop reageren, zoals een expert

Deze AI-hulpprogramma's stellen beveiligingsteams in staat om aanvalsonderzoeken snel en nauwkeurig aan te pakken. Ze kunnen aanvallen onmiddellijk begrijpen, snel verdachte bestanden en scripts analyseren en onmiddellijk de juiste beperking evalueren en toepassen om aanvallen te stoppen en te beperken.

Incidenten snel samenvatten

Het onderzoeken van incidenten met meerdere waarschuwingen kan een lastige taak zijn. Als u een incident direct wilt begrijpen, kunt u Copilot vragen om een incident voor u samen te vatten. Copilot maakt een overzicht van de aanval. Het overzicht bevat essentiële informatie voor u om te begrijpen wat er is gebeurd bij de aanval, welke assets betrokken zijn en de tijdlijn van de aanval. Copilot maakt automatisch een samenvatting wanneer u een incidentpagina opent. Het helpt u ook bij het begrijpen van de betrokken assets en hoe u kunt handelen door prompts voor te stellen over gerelateerde identiteiten, apparaten, IP-adressen, enzovoort.

Actie ondernemen op incidenten via begeleide reacties

Voor het oplossen van incidenten moeten analisten een aanval begrijpen om te weten welke oplossingen geschikt zijn. Copilot raadt oplossingen aan via begeleide reacties die specifiek zijn voor elk incident.

Eenvoudig scriptanalyse uitvoeren

De meeste aanvallers vertrouwen op geavanceerde malware bij het starten van aanvallen om detectie en analyse te voorkomen. Deze malware wordt meestal verborgen en heeft mogelijk de vorm van scripts of opdrachtregels in PowerShell. Copilot kan snel scripts analyseren, waardoor de tijd voor onderzoek wordt verkort.

Apparaatsamenvattingen genereren

Het onderzoeken van apparaten die betrokken zijn bij incidenten kan ingewikkeld zijn. Om snel een apparaat te beoordelen, kan Copilot de informatie van een apparaat samenvatten, waaronder de beveiligingspostuur van het apparaat, eventuele ongebruikelijke gedragingen, een lijst met kwetsbare software en relevante Microsoft Intune-informatie.

Bestanden onmiddellijk analyseren

Copilot helpt beveiligingsteams bij het snel beoordelen en begrijpen van verdachte bestanden met bestandsanalyse. Copilot biedt een samenvatting van een bestand, met inbegrip van detectiegegevens, gerelateerde bestandscertificaten, een lijst met API-aanroepen en tekenreeksen die in het bestand zijn gevonden.

Identiteiten onmiddellijk onderzoeken

Beoordeel snel het risico van een gebruiker door een identiteitsoverzicht te genereren met Copilot. Identificeer wanneer een identiteit risico loopt of verdacht is met contextuele informatie over de rol en rolwijzigingen van een gebruiker, aanmeldingsgedrag, apparaten die zijn aangemeld en relevante contactgegevens.

Efficiënt incidentrapporten schrijven

Beveiligingsteams schrijven meestal rapporten om belangrijke informatie vast te leggen. Deze rapporten bevatten genomen reactieacties, de resultaten ervan, de betrokken teamleden en andere informatie om toekomstige beveiligingsbeslissingen te helpen. Het documenteren van incidenten kan tijdrovend zijn omdat een effectief incidentrapport het incidentoverzicht, de uitgevoerde acties en wie welke acties heeft ondernomen en wanneer moet bevatten. Copilot genereert een incidentrapport door de samenvatting van het incident, de reactieacties en de betrokkenheid van het team te consolideren.

Opsporen als een professional

Copilot in Defender helpt beveiligingsteams proactief te zoeken naar bedreigingen in hun netwerk door snel de juiste KQL-query's te bouwen.

Beveiligingsteams die geavanceerde opsporing gebruiken, kunnen nu een query gebruiken assistent waarmee vragen in natuurlijke taal worden geconverteerd naar kant-en-klare KQL-query's. De query assistent tijd besparen door een KQL-query te genereren die onmiddellijk kan worden uitgevoerd of kan worden aangepast aan de behoeften van de analist. Meer informatie over Query assistent.

Uw organisatie beschermen met relevante bedreigingsinformatie

Stel uw beveiligingsorganisatie in staat om weloverwogen beslissingen te nemen met behulp van de nieuwste bedreigingsinformatie. Copilot consolideert en vat bedreigingsinformatie samen om beveiligingsteams te helpen bij het prioriteren en effectief reageren op bedreigingen.

Bedreigingsinformatie bewaken

Vraag Copilot om de relevante bedreigingen die van invloed zijn op uw omgeving samen te vatten, om prioriteit te geven aan het oplossen van bedreigingen op basis van uw blootstellingsniveaus of om bedreigingsactoren te vinden die mogelijk gericht zijn op uw branche. Lees meer over Security Copilot in bedreigingsinformatie.

Toegang tot Copilot in Defender

Zie de Security Copilot aankoop- en licentiegegevens om ervoor te zorgen dat u toegang hebt tot Copilot in Defender. Nadat u toegang hebt tot Security Copilot, worden de belangrijkste functies beschikbaar in de Microsoft Defender portal.

Voorbeeldprompts in Copilot

In de Microsoft Defender-portal vindt u voorbeeldprompts om u te helpen bij het navigeren en gebruiken van enkele Copilot-mogelijkheden. De prompts zijn ontworpen om u inzicht te geven in deze mogelijkheden en hoe u deze effectief kunt gebruiken. Hier volgen enkele voorbeelden van prompts die u mogelijk ziet in de portal:

Geavanceerde opsporingsprompts:

Prompts voor bedreigingsinformatie:

U kunt uw onderzoek uitbreiden in de Security Copilot zelfstandige portal met behulp van prompts in natuurlijke taal. Hier volgen voorbeeldprompts die u in de promptbalk kunt typen om u te helpen een incident samen te vatten met aanbevelingen:

• Typ Samenvatten van incident {incidentnummer} en sluit af met een set aanbevelingen om het incidentoverzicht en de aanbevelingen te genereren.
• Typ Wat kunt u me vertellen over de reputatie van de indicatoren in het script? Zijn ze kwaadaardig? Zo ja, waarom? om het script te analyseren en details over het script te genereren.

Vragen in Copilot helpt u te navigeren en de mogelijkheden effectief te gebruiken. U kunt de promptbalk ook gebruiken om KQL-query's te genereren, incidenten samen te vatten en bestanden te analyseren. Zie tips voor effectief vragen. U kunt ook vooraf gemaakte promptbooks gebruiken om aan de slag te gaan met Copilot. Zie Vooraf gemaakte promptbooks gebruiken in Copilot voor meer informatie.