Een beschrijving van Copilot in Microsoft Defender XDR

  • 10 minuten

Microsoft Security Copilot is ingesloten in de Microsoft Defender-portal om beveiligingsteams in staat te stellen snel en efficiënt incidenten te onderzoeken en erop te reageren, bedreigingen op te sporen en hun organisatie te beschermen met relevante bedreigingsinformatie.

In de korte video die volgt ziet u een aantal copilot-mogelijkheden die zijn ingesloten in Microsoft Defender en hoe ze beveiligingsanalisten kunnen helpen productiever te zijn.

Notitie

De lijst met Copilot mogelijkheden die zijn ingesloten in Microsoft Defender groeit voortdurend. Deze eenheid biedt slechts een steekproef van enkele van deze Copilot-mogelijkheden. Zie de documentatie over Microsoft Security Copilot in Microsoft Defender voor meer informatie.

Er zijn ook enkele opties die gebruikelijk zijn voor al deze functies, waaronder de mogelijkheid om feedback te geven over promptreacties en naadloos over te stappen op de zelfstandige ervaring.

Zoals beschreven in de introductieeenheid, kan Copilot in de ingesloten ervaring de productspecifieke mogelijkheden rechtstreeks aanroepen, wat de verwerkingsefficiëntie biedt. Om de toegang tot deze Microsoft Security Copilot-functies te garanderen, moet de Microsoft Defender XDR-invoegtoepassing zijn ingeschakeld en dit gebeurt via de zelfstandige ervaring. Raadpleeg voor meer informatie Overzicht van de functies die beschikbaar zijn in de zelfstandige versie van Microsoft Security Copilot.

Schermopname van het venster Invoegtoepassingen beheren waarin de Microsoft Defender XDR-invoegtoepassing wordt gemarkeerd.

Incidenten samenvatten

Copilot automatisch een samenvatting maakt wanneer u naar de pagina van een incident navigeert en een overzicht geeft van de aanval die essentiële informatie bevat, waaronder wat er is gebeurd, welke assets betrokken zijn, de tijdlijn van de aanval, indicatoren van inbreuk (IOC's) en de namen van betrokken bedreigingsactoren. Incidenten met maximaal 100 waarschuwingen kunnen worden samengevat in één incidentoverzicht.

Schermopname van de ingesloten beveiligingservaring van Copilot in Microsoft Defender XDR, met een overzicht van incidenten.

Copilot stelt ook vervolgprompts voor over gerelateerde identiteiten, apparaten en IP-adressen, zodat u inzicht krijgt in de betrokken assets en hoe u moet handelen.

Begeleide antwoorden

Copilot ai en machine learning gebruikt om een incident te contextualiseren en te leren van eerdere onderzoeken om passende reactieacties te genereren. Begeleide antwoorden bevelen acties aan in de volgende categorieën:

  • Triage : bevat een aanbeveling voor het classificeren van incidenten als informatief, terecht-positief of fout-positief.
  • Insluiting : bevat aanbevolen acties voor het bevatten van een incident.
  • Onderzoek - bevat aanbevolen acties voor nader onderzoek.
  • Herstel : bevat aanbevolen reactieacties die moeten worden toegepast op specifieke entiteiten die betrokken zijn bij een incident.

Schermopname met de informatie die is opgenomen in een begeleide reactie.

Elke kaart bevat informatie over de aanbevolen actie, waaronder waarom de actie wordt aanbevolen. Beheerders kunnen ook richtlijnen voor organisatiespecifieke reacties uploaden om de aanbevelingen aan te passen aan hun omgeving. Begeleide antwoorden zijn beschikbaar voor incidenttypen, zoals phishing, zakelijke e-mailinbreuk en ransomware.

Script- en opdrachtregelanalyse

Geavanceerde aanvallen ontwijken vaak detectie door gebruik te maken van verborgen scripts en opdrachtregels. Met de mogelijkheid voor scriptanalyse kunnen beveiligingsteams scripts en code inspecteren zonder externe hulpprogramma's te gebruiken, snel beoordelen of een script schadelijk of goedaardig is.

Schermopname met de optie voor het analyseren van een PowerShell-script.

Copilot analyseert het script en geeft de resultaten weer in een scriptanalysekaart, inclusief een eenvoudige uitleg van wat het script doet, of het kwaadaardig is en welke MITRE ATT& CK-technieken die worden gebruikt. Gebruikers kunnen Code weergeven selecteren om specifieke regels code te zien die betrekking hebben op de analyse. U kunt toegang krijgen tot scriptanalyse in de waarschuwingstijdlijn binnen een incident, voor een tijdlijnvermelding die bestaat uit een script of code.

Schermopname met de regels code die betrekking hebben op de scriptanalyse.

Notitie

Scriptanalysefuncties zijn continu in ontwikkeling. Analyse van scripts in andere talen dan PowerShell, batch en bash worden geëvalueerd.

KQL-queries genereren

Copilot in Microsoft Defender bevat een functie voor queryassistenten bij geavanceerde opsporing waarmee vragen in natuurlijke taal worden geconverteerd naar kant-en-klare KQL-query's. Deze functie vermindert de tijd die nodig is om een opsporingsquery helemaal opnieuw te schrijven, waardoor bedreigingsjagers en beveiligingsanalisten zich kunnen richten op opsporing en het onderzoeken van bedreigingen.

Schermopname van de KQL-query die is gegenereerd op basis van een aanvraag in natuurlijke taal.

Met behulp van de promptbalk kunnen analisten vragen om een query voor het opsporen van bedreigingen met behulp van natuurlijke taal, zoals 'Geef me alle apparaten die zijn aangemeld in de afgelopen 10 minuten'. De gegenereerde query kan vervolgens automatisch worden uitgevoerd, toegevoegd aan de query-editor voor verdere aanpassingen of worden gekopieerd voor gebruik elders.

Incidentrapporten maken

Copilot stelt beveiligingsteams in staat om direct een uitgebreid incidentrapport in de portal te maken. Hoewel een overzicht van incidenten een overzicht biedt van wat er is gebeurd, voegt een incidentrapport incidentgegevens uit verschillende gegevensbronnen samen die beschikbaar zijn in Microsoft Sentinel en Microsoft Defender XDR.

Het incidentrapport bevat tijdstempels voor belangrijke beheeracties, de betrokken analisten, incidentclassificatie met analistenopmerkingen, onderzoek- en herstelacties (zowel handmatig als geautomatiseerd, inclusief Microsoft Sentinel playbooks) en follow-upacties die door analisten worden genoteerd.

Schermopname met het gegenereerde incidentrapport en het vervolgkeuzemenu met beschikbare opties door het beletselteken te selecteren.

Bestanden analyseren

Copilot stelt beveiligingsteams in staat om snel schadelijke en verdachte bestanden te identificeren via door AI gemaakte mogelijkheden voor bestandsanalyse. Wanneer een analist een bestandspagina opent, kan Copilot een samenvatting genereren met detectiegegevens, gerelateerde bestandscertificaten, een lijst met API-aanroepen en tekenreeksen in het bestand. Bestanden kunnen worden geopend via het bewijs- en reactietabblad van een incident, de incidentgrafiek of de zoekfunctie.

Samenvatting van apparaten en identiteiten

Copilot in Defender kan samenvattingen genereren voor apparaten en identiteiten om beveiligingsteams te helpen hun beveiligingspostuur snel te beoordelen tijdens een onderzoek.

Samenvattingen bevatten het beveiligingspostuur van het apparaat met informatie over de status van beveiligingsmogelijkheden, zoals kwetsbaarheid voor aanvallen verminderen en manipulatiebeveiliging, ongebruikelijke gebruikersactiviteit, een lijst met kwetsbare software, firewallinstellingen en relevante Microsoft Intune informatie.

Identiteitsoverzichten bieden een contextueel overzicht van een gebruikersidentiteit, waaronder de aanmaakdatum van het account, het kritieke niveau, de rol en rolwijzigingen, aanmeldingsgedrag en -patronen, authenticatiemethoden, risico's van Microsoft Entra ID, en contactgegevens.

Bedreigingsinformatie

Copilot is ingesloten in de sectie bedreigingsinformatie van de Microsoft Defender-portal, zodat beveiligingsteams weloverwogen beslissingen kunnen nemen door bedreigingsinformatiegegevens te consolideren en samen te vatten. U kunt Copilot vragen om de relevante bedreigingen die van invloed zijn op uw omgeving samen te vatten, bedreigingen te prioriteren op basis van de blootstellingsniveaus van uw organisatie of om bedreigingsactoren te vinden die mogelijk gericht zijn op uw branche. Copilot de Microsoft Defender-bedreigingsinformatie-invoegtoepassing gebruikt om samenvattingen van bedreigingsanalyserapporten, intelprofielen en openbaarmakingen van beveiligingsproblemen weer te geven, allemaal in natuurlijke taal.

Algemene functionaliteit voor belangrijke functies

Er zijn enkele opties die gebruikelijk zijn voor de functies van Copilot voor Microsoft Defender.

Feedback geven

Net als bij de zelfstandige ervaring biedt de ingesloten ervaring gebruikers een mechanisme om feedback te geven over de nauwkeurigheid van het ai-gegenereerde antwoord. Voor alle door AI gegenereerde inhoud kunt u de feedbackprompt rechtsonder in het inhoudsvenster selecteren en een keuze maken uit de beschikbare opties.

Schermopname van het feedbackpictogram voor door AI gegenereerde inhoud en de drie opties. De opties worden bevestigd, het ziet er geweldig uit, buiten het doel, onnauwkeurig en mogelijk schadelijk, ongepast.

Overstappen op de zelfstandige ervaring

Onderzoekers die in de Defender-portal beginnen, kunnen eenvoudig overstappen op de zelfstandige ervaring voor een gedetailleerder, productoverschrijdend onderzoek dat alle Copilot mogelijkheden biedt die zijn ingeschakeld voor hun rol. Als u naar de zelfstandige modus wilt gaan, selecteert u de drie puntjes in het venster met gegenereerde inhoud en kiest u Openen in Security Copilot.

Schermopname met de optie voor openen in Security Copilot, die beschikbaar is door het beletselteken te selecteren in het door AI gegenereerde inhoudsvenster.