Microsoft Copilot в Microsoft Defender

Примечание.

Microsoft Defender XDR предоставляет унифицированный интерфейс XDR для Microsoft Defender для конечной точки, Microsoft Defender для удостоверений, Microsoft Defender для Office 365, Microsoft Defender for Cloud Apps и Microsoft Defender для управления уязвимостями. Дополнительные сведения об этом наборе защиты до и после нарушения безопасности см. в статье Что такое Microsoft Defender XDR?

В этой статье представлен обзор для пользователей Microsoft Copilot в Microsoft Defender, включая шаги для доступа, ключевые возможности и ссылки на подробные сведения об этих возможностях.

Перед началом работы

Если вы не знакомы с Copilot for Security, ознакомьтесь со следующими статьями:

интеграция Microsoft Copilot в Microsoft Defender

Microsoft Copilot для безопасности — это платформа, объединяющая возможности ИИ и человеческого опыта, чтобы помогать командам по безопасности быстрее и эффективнее реагировать на атаки. Copilot for Security встроен на портал Microsoft Defender, чтобы предоставить группам безопасности расширенные возможности для расследования инцидентов и реагирования на них, поиска угроз и защиты своей организации с помощью соответствующей аналитики угроз. Copilot в Defender доступен пользователям, которые подготовили доступ к Copilot for Security.

Основные возможности

Расследование инцидентов и реагирование на них на профессиональном уровне

Группы безопасности могут своевременно, с легкостью и точностью расследовать атаки. Copilot помогает командам быстро анализировать атаки, подозрительные файлы и сценарии, своевременно оценивать и применять соответствующие меры по устранению рисков, чтобы изолировать и останавливать атаки.

Быстрое создание сводки инцидентов

Исследование инцидентов с несколькими оповещениями может быть сложной задачей. Чтобы сразу разобраться в инциденте, можно создать сводку инцидента с помощью Copilot. Copilot создает обзор атаки. Обзор содержит важную информацию, чтобы понять, что произошло в результате атаки, какие ресурсы участвуют, а также временная шкала атаки. Copilot автоматически создает сводку при переходе на страницу инцидента.

Снимок экрана: сводная карточка инцидента на панели Copilot на странице инцидента в Microsoft Defender.

Принятие мер по инцидентам с помощью интерактивных ответов

Для устранения инцидентов аналитики должны изучить атаку и определить подходящие решения. Copilot предлагает решения с помощью управляемых ответов по каждому конкретному инциденту.

Снимок экрана: область Copilot с интерактивными ответами выделена на странице инцидента в Microsoft Defender.

Удобный анализ сценариев

Большинство злоумышленников при проведении атак полагаются на сложные вредоносные программы, чтобы избежать обнаружения и анализа. Для вредоносных программ обычно используется маскировка, они могут выглядеть как сценарии или командные строки PowerShell. Copilot может быстро анализировать сценарии, благодаря чему ускоряются исследования.

Снимок экрана: представление истории на странице инцидента, выделена кнопка анализа сценариев.

Создание сводок по устройствам

Исследование устройств, замешанных в инцидентах, может быть непростой задачей. Чтобы быстро оценить состояние устройства, Copilot может создать сводку сведений об устройстве, которая будет включать состояние безопасности устройства, необычное поведение, список уязвимых программ и соответствующие сведения Microsoft Intune.

Снимок экрана: результаты создании сводки устройства в Copilot в Defender.

Быстрый анализ файлов

Copilot помогает командам безопасности быстро оценивать и изучать подозрительные файлы с использованием анализа файлов. Copilot предоставляет сводку о файлах. Эта сводка содержит сведения об обнаружении, связанные сертификаты файлов, список вызовов API и строки, обнаруженные в файле.

Снимок экрана: результаты анализа файлов в Copilot в Defender, выделен параметр

Немедленное изучение удостоверений

Быстро оцените риск пользователя, создав сводку удостоверений с помощью Copilot. Определите, когда удостоверение находится под угрозой или подозрительно с контекстной информацией о роли и изменениях роли пользователя, поведением входа, устройствами, в которые выполнен вход, и соответствующими контактными данными.

Снимок экрана: параметр Суммировать в области сведений о пользователе.

Эффективное написание отчетов об инцидентах

Группы операций по обеспечению безопасности обычно пишут отчеты, в которых фиксируется важная информация, в том числе о том, какие ответные действия были предприняты и соответствующие результаты, задействованные члены команды, а также другая информация, которая поможет в будущих решениях по обеспечению безопасности и обучении. Часто документирование инцидентов может занять много времени. Чтобы отчет об инциденте был эффективным, он должен содержать сводку инцидента, а также предпринятые действия, включая действия, предпринятые кем и когда. Copilot создает отчет об инциденте, быстро объединяя эти сведения.

Снимок экрана: карточка отчета об инциденте на странице инцидента; показана верхняя половина карточки.

Охота на угрозы на профессиональном уровне

Copilot в Defender помогает командам безопасности в заблаговременной охоте на угрозы в сети путем быстрого создания соответствующих запросов KQL.

Создание запросов KQL на основе входных данных на естественном языке

Команды безопасности, которые используют расширенную охоту для упреждающего поиска угроз в своей сети, теперь могут использовать запрос помощник, который преобразует любой вопрос на естественном языке в контексте охоты на угрозы в готовый к выполнению запрос KQL. Помощник по запросам экономит время сотрудников службы безопасности, генерируя запрос KQL, который затем можно автоматически запустить или дополнительно настроить в соответствии с потребностями аналитика. Дополнительные сведения о помощнике по запросам см. в статье Copilot для безопасности в решении "Расширенная охота".

Снимок экрана: панель Copilot в решении

Защита организации с помощью аналитики угроз

Аналитика современных угроз поможет организациям безопасности принимать взвешенные решения. Copilot объединяет аналитику угроз и создает сводки, чтобы помочь командам безопасности определить приоритет угроз и эффективно реагировать на них.

Мониторинг аналитики угроз

Попросите Copilot создать сводку угроз, влияющих на вашу среду, чтобы определить приоритет устранения угроз на основе уровня подверженности риску или чтобы найти злоумышленников, которые атаковали вашу отрасль. Дополнительные сведения о Copilot для безопасности в аналитике угроз.

Снимок экрана: панель Copilot в аналитике угроз в решении Defender XDR.

Доступ к Copilot в Defender

Чтобы убедиться в наличии доступа к Copilot в Defender, ознакомьтесь со статьей Сведения о приобретении и лицензировании Copilot для безопасности. После получения доступа к Copilot for Security ключевые функции становятся доступны на портале Microsoft Defender.

Примеры запросов в Copilot

На портале Microsoft Defender вы можете найти примеры запросов, которые помогут вам ориентироваться и использовать некоторые возможности Copilot. Подсказки предназначены для того, чтобы помочь вам понять эти возможности и как их эффективно использовать. Ниже приведены некоторые примеры запросов, которые могут отображаться на портале:

Дополнительные запросы на поиск:

Снимок экрана: выделены запросы Copilot на странице расширенной охоты.

Запросы аналитики угроз:

Снимок экрана: выделены запросы Copilot на странице аналитики угроз.

Вы можете расширить исследование на автономном портале Copilot for Security с помощью запросов на естественном языке. Ниже приведены примеры запросов, которые можно ввести на панели запросов, чтобы свести итоги инцидента с рекомендациями.

  • Введите Сводка инцидента {номер инцидента} и завершите набором рекомендаций по созданию сводки и рекомендаций по инцидентам.
  • Введите Что вы можете рассказать мне о репутации индикаторов в скрипте? Являются ли они вредоносными? Если да, то почему? для анализа скрипта и создания сведений о нем.

Запрос в Copilot помогает эффективно перемещаться и использовать возможности. Вы также можете использовать панель командной строки для создания запросов KQL, суммирования инцидентов и анализа файлов. См. советы по созданию эффективных запросов в эффективном запросе. Вы также можете использовать готовые сборники подсказок, чтобы приступить к работе с Copilot. Дополнительные сведения о модулях командной строки см. в статье Сборники подсказок в Copilot.

Предоставление отзывов

Во всех функциях Copilot в Defender предусмотрена возможность оставить отзыв. Чтобы предоставить отзыв, выполните следующие действия.

  1. Щелкните значок обратной связи Снимок экрана: значок отзыва для Copilot в карточках Defender. В нижней части всех результатов карта на боковой панели Copilot.
  2. Выберите Выглядит правильно , если вы считаете результаты точными. В следующем окне можно предоставить дополнительные сведения.
  3. Выберите Требуется улучшение , если результат был оценен как недостаточный или неполный. Вы можете предоставить дополнительную информацию о своей оценке в следующем диалоговом окне и отправить ее в корпорацию Майкрософт.
  4. Вы также можете сообщить о результатах, если они содержат сомнительные или неоднозначные сведения, выбрав Недопустимые. Предоставьте дополнительную информацию о результатах в следующем диалоговом окне и выберите "Отправить".

Конфиденциальность и безопасность данных

Copilot постоянно совершенствуется с использованием данных, которые хранятся, обрабатываются и распространяются в соответствии с параметрами, настроенными вашим администратором. Корпорация Майкрософт гарантирует, что при использовании Copilot ваши данные всегда надежно защищены. Для получения дополнительных сведений о безопасности и конфиденциальности в Copilot см. статью Конфиденциальность и безопасность данных в Copilot.

В силу непрерывного развития Copilot может не всегда действовать правильно. Проверяйте результаты работы Copilot и отправляйте отзывы, чтобы улучшить работу Copilot в будущем.

Подключаемые модули в Copilot для безопасности

Copilot использует предустановленные подключаемые модули Майкрософт, такие как Microsoft Defender XDR и Аналитика угроз Defender, а также преобразование естественного языка в KQL для подключаемых модулей Microsoft Sentinel и Defender XDR, чтобы создавать релевантные сведения, предоставлять больше контекста для инцидентов и получать более точные результаты. Убедитесь, что в Copilot включены подключаемые модули, дающие возможность получить доступ к нужным данным для создания запрошенного содержимого из других служб Майкрософт в вашей организации.

Дальнейшие действия

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.