Anpassa incidenthantering för din organisation

  • Gäller för: Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Security Copilot i Microsoft Defender-portalen innehåller guidade svar som hjälper svarsteamet att lösa incidenter. Copilot i Defender använder AI och maskininlärning för att kontextualisera en incident och lära sig av tidigare undersökningar för att generera lämpliga svarsåtgärder.

Den här guiden beskriver hur du laddar upp organisationens specifika riktlinjer för att Microsoft Security Copilot för att förbättra de guidade svarsrekommendationerna.

Förhandskrav

  • Du måste minst vara säkerhetsadministratör för att kunna ladda upp, godkänna eller ta bort filer. Säkerhetsoperatörer kan granska guideböckerna men inte hantera dem.
  • Dina organisationsspecifika riktlinjer bör ha ett format som stöds (PDF, DOCX, TXT) och får inte överskrida den maximala filstorleksgränsen på 3 MB.

Steg för att anpassa Copilots guidade svar med hjälp av din organisations guidebok

Ladda upp din guidebok från Copilot-inställningarna. Du kan komma dit på ett av två sätt:

  • I Microsoft Defender-portalen väljer duSysteminställningar>>Copilot iAnpassade Guideböcker för Defender>.

    Skärmbild av att lägga till anpassade guideböcker från inställningar.

  • I fönstret Copilot-uppgifter i en incident går du till Skapa uppgifter från din egen guidebok och väljer Öppna Copilot-inställningar.

    Skärmbild av att öppna Copilot-inställningar från åtgärdsfönstret.

Följ sedan dessa steg:

  1. Välj Lägg till ny guidebok.

  2. Välj Ladda upp fil.

  3. Bläddra till filplatsen, välj filen och välj sedan Generera.

  4. När filen har laddats upp går du till fliken Väntande granskning .

    Skärmbild av den väntande granskningsfliken för uppladdade guideböcker.

  5. Fliken Väntande granskning visar de nya rekommendationerna baserat på den uppladdade guideboken. Granska filen för att se till att den uppfyller organisationens standarder. Välj guideboksnamnet och granska de föreslagna genererade aktiviteterna.

  6. Om guideboken uppfyller dina standarder väljer du Godkänn och aktivera för att göra den tillgänglig för användning i guidade svar. Om den inte uppfyller dina standarder väljer du Ta bort för att ta bort den.

    Skärmbild av knappen Godkänn och aktivera för uppladdade guideböcker.

  7. Kontrollera att guideboken visas som aktiv på fliken Guideböcker . Om du vill inaktivera den senare väljer du guideboken och väljer Inaktivera.

    Skärmbild av fliken aktiva guideböcker.

Copilot prioriterar organisationens anpassade guideböcker framför de standardböcker som tillhandahålls av Microsoft. Om flera guideböcker är relevanta använder Copilot den som bäst matchar incidentkontexten.

Skärmbild av föreslagna svar baserat på anpassade guideböcker.

Du har möjlighet att ge feedback om effektiviteten hos de guidade svar som genereras från din organisations guideböcker. Den här feedbacken hjälper till att förbättra framtida rekommendationer.

Skärmbild av feedbackfönstret för guidade svar.

Metodtips för att skapa effektiva guideböcker

Exempel på Microsofts egna spelböcker för incidenthantering finns i Spelböcker för incidenthantering.

Tänk på att guideboken bara kan läsa text när du skapar organisationens guideböcker. Undvik att använda bilder, grafer eller komplex formatering som kan hindra textextrahering.

  • Last updated on