Beskriv Copilot i Microsoft Defender XDR

  • 10 minuter

Microsoft Security Copilot är inbäddat i Microsoft Defender portalen så att säkerhetsteam snabbt och effektivt kan undersöka och svara på incidenter, jaga efter hot och skydda sin organisation med relevant hotinformation.

Den korta videon som följer visar några av de Copilot-funktioner som är inbäddade i Microsoft Defender och hur de kan hjälpa säkerhetsanalytiker att bli mer produktiva.

Kommentar

Listan över Copilot funktioner som är inbäddade i Microsoft Defender växer kontinuerligt. Den här enheten erbjuder bara ett urval av några av dessa Copilot-funktioner. Mer information finns i dokumentationen om Microsoft Security Copilot i Microsoft Defender.

Det finns också några alternativ som är vanliga för alla dessa funktioner, inklusive möjligheten att ge feedback om snabba svar och sömlöst flytta till den fristående upplevelsen.

Som beskrivs i introduktionsenheten kan Copilot i den inbäddade upplevelsen anropa de produktspecifika funktionerna direkt, vilket ger bearbetningseffektivitet. För att säkerställa åtkomst till dessa Microsoft Security Copilot funktioner måste Microsoft Defender XDR plugin-programmet aktiveras och detta görs via den fristående upplevelsen. Mer information finns i Beskriv de funktioner som är tillgängliga i den fristående upplevelsen av Microsoft Security Copilot.

Skärmdump av fönstret Hantera plugin-program som visar plugin-programmet Microsoft Defender XDR.

Sammanfatta incidenter

Copilot skapar automatiskt en sammanfattning när du navigerar till en incident sida, vilket ger en översikt över attacken som innehåller viktig information, inklusive vad som hände, vilka tillgångar som är inblandade, tidslinjen för attacken, indikatorer för kompromisser (IOCs) och namnen på hotaktörer som är inblandade. Incidenter som innehåller upp till 100 aviseringar kan sammanfattas i en incidentsammanfattning.

Skärmdump av Security Copilot Embedded-upplevelsen i Microsoft Defender XDR, som visar en incidentsammanfattning.

Copilot föreslår också uppföljningsmeddelanden om relaterade identiteter, enheter och IP-adresser som hjälper dig att förstå de tillgångar som ingår och hur du agerar.

Guidade svar

Copilot använder AI och maskininlärning för att kontextualisera en incident och lära sig av tidigare undersökningar för att generera lämpliga svarsåtgärder. Guidade svar rekommenderar åtgärder i följande kategorier:

  • Triage – innehåller en rekommendation om att klassificera incidenter som informativa, sant positivt eller falskt positivt.
  • Inneslutning – innehåller rekommenderade åtgärder för att hantera en händelse.
  • Undersökning – innehåller rekommenderade åtgärder för ytterligare undersökning.
  • Reparation – innehåller rekommenderade svarsåtgärder som ska tillämpas på specifika entiteter som är inblandade i en incident.

Skärmbild som visar den information som ingår i ett guidat svar.

Varje kort innehåller information om den rekommenderade åtgärden, inklusive varför åtgärden rekommenderas. Administratörer kan också ladda upp organisationsspecifika svarsriktlinjer för att anpassa rekommendationerna till sin miljö. Guidade svar är tillgängliga för incidenttyper som nätfiske, affärsepostkompromettering och utpressningstrojaner.

Skript- och kommandoradsanalys

Avancerade attacker undviker ofta identifiering med hjälp av fördunklade skript och kommandorader. Med funktionen för skriptanalys kan säkerhetsteam inspektera skript och kod utan att använda externa verktyg, och snabbt utvärdera om ett skript är skadligt eller ofarligt.

Skärmbild som visar alternativet att analysera ett PowerShell-skript.

Copilot analyserar skriptet och visar resultatet i ett skriptanalyskort, inklusive en klarspråkig förklaring av vad skriptet gör, om det är skadligt och vilka MITRE ATT& CK-tekniker som används. Användare kan välja Visa kod för att se specifika kodrader som är relaterade till analysen. Du kan komma åt skriptanalys i aviseringstidslinjen inom en incident för en tidslinjepost som består av skript eller kod.

Skärmbild som visar kodrader som är relaterade till skriptanalysen.

Kommentar

Skriptanalysfunktionerna är kontinuerligt under utveckling. Analys av skript på andra språk än PowerShell, batch och bash utvärderas.

Generera KQL-frågor

Copilot i Microsoft Defender innehåller en frågeassistentfunktion i avancerad jakt som konverterar frågor på naturligt språk till KQL-frågor som är redo att köras. Den här funktionen minskar den tid det tar att skriva en jaktfråga från grunden, vilket gör det möjligt för hotjägare och säkerhetsanalytiker att fokusera på jakt och undersöka hot.

Skärmbild som visar KQL-frågan som genererats från en begäran om naturligt språk.

Med hjälp av promptfältet kan analytiker be om en hotjaktfråga med naturligt språk, till exempel "Ge mig alla enheter som loggat in under de senaste 10 minuterna". Den genererade frågan kan sedan köras automatiskt, läggas till i frågeredigeraren för ytterligare justeringar eller kopieras för användning någon annanstans.

Skapa incidentrapporter

Copilot gör det möjligt för säkerhetsteam att omedelbart skapa en omfattande incidentrapport i portalen. En incidentsammanfattning ger en översikt över vad som hände, men en incidentrapport konsoliderar incidentinformation från olika datakällor som är tillgängliga i Microsoft Sentinel och Microsoft Defender XDR.

Incidentrapporten innehåller tidsstämplar för viktiga hanteringsåtgärder, berörda analytiker, incidentklassificering med analytikerkommenterar, undersöknings- och reparationsåtgärder (både manuella och automatiserade inklusive Microsoft Sentinel spelböcker) och uppföljningsåtgärder som analytikerna har noterat.

Skärmbild som visar den genererade incidentrapporten och den nedrullningsbara menyn med tillgängliga alternativ genom att välja ellipserna.

Analysera filer

Copilot gör det möjligt för säkerhetsteam att snabbt identifiera skadliga och misstänkta filer via AI-baserade filanalysfunktioner. När en analytiker öppnar en filsida kan Copilot generera en sammanfattning som innehåller identifieringsinformation, relaterade filcertifikat, en lista över API-anrop och strängar som finns i filen. Filer kan nås från en incidents bevis- och svarsflik, incidentdiagrammet eller sökfunktionen.

Sammanfatta enheter och identiteter

Copilot i Defender kan generera sammanfattningar för enheter och identiteter för att hjälpa säkerhetsteam att snabbt utvärdera sin säkerhetsstatus under en undersökning.

Enhetssammanfattningar inkludera enhetens säkerhetsstatus med information om status för skyddsfunktioner som minskning av attackytan och manipuleringsskydd, eventuell ovanlig användaraktivitet, en lista över sårbara program, brandväggsinställningar och relevant Microsoft Intune information.

Identitetssammanfattningar ge en kontextbaserad översikt över en användaridentitet, inklusive datum för kontoskapande, kritiskhetsnivå, roll- och rolländringar, inloggningsbeteenden och mönster, autentiseringsmetoder, risker från Microsoft Entra ID och kontaktinformation.

Hotunderrättelser

Copilot är inbäddat i avsnittet hotinformation i Microsoft Defender-portalen, vilket hjälper säkerhetsteam att fatta välgrundade beslut genom att konsolidera och sammanfatta hotinformationsdata. Du kan be Copilot sammanfatta relevanta hot som påverkar din miljö, prioritera hot baserat på organisationens exponeringsnivåer eller hitta hotaktörer som kan rikta in sig på din bransch. Copilot använder plugin-programmet Microsoft Defender Hotinformation för att visa sammanfattningar av hotanalysrapporter, intelprofiler och sårbarhetsupplysningar – allt på naturligt språk.

Gemensamma funktioner för nyckelfunktioner

Det finns några alternativ som är vanliga för funktionerna i Copilot för Microsoft Defender.

Att ge återkoppling

Precis som med den fristående upplevelsen ger den inbäddade upplevelsen användarna en mekanism för att ge feedback om noggrannheten i det AI-genererade svaret. För ai-genererat innehåll kan du välja feedbackprompten längst ned till höger i innehållsfönstret och välja bland de tillgängliga alternativen.

Skärmdump av feedbackikonen för AI-genererat innehåll och de tre alternativen. Alternativen bekräftas, det ser bra ut, utanför målet, felaktigt och potentiellt skadligt, olämpligt.

Flytta till den fristående upplevelsen

Utredare som börjar i Defender-portalen kan enkelt övergå till den fristående upplevelsen för en mer detaljerad undersökning över flera produkter som ger alla Copilot funktioner som är aktiverade för deras roll. Om du vill flytta till den fristående upplevelsen väljer du ellipserna i det genererade innehållsfönstret och väljer sedan Öppna i Security Copilot.

Skärmbild som visar alternativet att öppna i Security Copilot, som är tillgängligt genom att välja ellipserna i fönstret AI-genererat innehåll.