Sammanfatta identitetsinformation med Microsoft Copilot i Microsoft Defender
Säkerhetsteam som undersöker användare kan enkelt förstå identitetsinformation med funktionen för identitetssammanfattning i Microsoft Copilot för säkerhet i Microsoft Defender. Genom generativ AI och utnyttja kraften i Microsoft Defender for Identity skapar Copilot sammanhangsbaserade insikter om en identitet i en organisation, vilket hjälper analytiker att snabbt förstå viktiga data för att påskynda undersökningen.
Med funktionen för identitetssammanfattning kan analytiker omedelbart identifiera misstänkta eller riskfyllda identitetsrelaterade ändringar och åtgärder som kan påverka en organisation negativt. Sammanfattningen innehåller också potentiella felkonfigurationer som påverkar en identitet. Med naturligt språk levererar Copilot tydlig och användbar användarinformation som analytiker kan använda i sina incidentundersökningsaktiviteter. Funktionen fokuserar för närvarande på användare och kommer att inkludera tjänstkonton i nästa iteration.
Den här guiden beskriver vad funktionen för identitetssammanfattning är och hur den fungerar, inklusive hur du kan ge feedback om de resultat som genereras.
Ha kunskap innan du börjar
Om du inte har använt Copilot for Security tidigare bör du bekanta dig med det genom att läsa följande artiklar:
- Vad är Copilot för säkerhet?
- Copilot för säkerhetsupplevelser
- Kom igång med Copilot for Security
- Förstå autentisering i Copilot for Security
- Fråga i Copilot för säkerhet
Copilot för säkerhetsintegrering i Microsoft Defender
Funktionen för identitetssammanfattning är tillgänglig i Microsoft Defender-portalen för kunder som har etablerat åtkomst till Copilot for Security.
Användare som har åtkomst till den fristående Portalen Copilot for Security kan använda den här funktionen via Microsoft Defender XDR plugin-programmet. Läs mer om förinstallerade plugin-program i Copilot for Security.
Nyckelfunktioner
Identitetssammanfattningen innehåller viktig information om en identitet, inklusive:
- Det datum då ett användarkonto skapas och om användarkontot har hög, medel eller låg allvarlighetsgrad
- Ovanliga beteendemönster som rör inloggningsplatser, inloggningsfrekvens eller frekvens för misslyckade inloggningsförsök
- En användares aktuella roll, inklusive avdelning och befattning, och om det finns viktiga rolländringar jämfört med användarens befattning och avdelning för att markera inkonsekvenser
- Data om en användares senaste inloggning till en enhet, oavsett om enheten är kopplad till användaren eller inte, under de senaste 30 dagarna
- Autentiseringsmetoder och program som används
- Risker som är associerade med en användare baserat på Microsoft Entra ID
- Allmän information som en användares yrkestitel och kontaktinformation, avdelning och deras chefs kontaktuppgifter
Du kan komma åt funktionen för identitetssammanfattning på följande sätt:
På en incidentsida väljer du en identitet i incidentdiagrammet och sedan (1) Användarinformation. I fönstret användarinformation väljer du (2) Sammanfatta. Resultaten visas i Copilot-sidopanelen.
Du kan också välja Gå till användarsida längst ned i användarinformationsfönstret för att öppna användarsidan. Copilot genererar automatiskt identitetssammanfattningen och visar sidopanelen när användarsidan öppnas.
Du kan också komma åt funktionen för identitetssammanfattning genom att välja en användare på fliken Tillgångar i en incident. Välj Sammanfatta i användarinformationsfönstret för att generera identitetssammanfattningen.
På en aviseringssida väljer du en användare och sedan Sammanfatta i fönstret med användarinformation för att generera identitetssammanfattningen.
På sidan avancerad jakt kan du komma åt funktionen för identitetssammanfattning genom att välja en användare i resultattabellen och sedan välja länken till användarsidan. Copilot genererar automatiskt identitetssammanfattningen och visar sidopanelen när användarsidan öppnas.
Från huvudmenyn navigerar du till Assets Identities (Tillgångars > identiteter). Välj ett användarnamn i listan och välj sedan Visa användarsida för att öppna användarsidan. Copilot genererar automatiskt identitetssammanfattningen och visar sidopanelen när användarsidan öppnas.
Skriv ett användarnamn i sökrutan i Microsoft Defender-portalen och välj sedan användarnamnet i sökresultatet. I panelen med användarinformation väljer du Sammanfatta för att generera identitetssammanfattningen.
Granska resultatet av identitetssammanfattningen. Du kan kopiera resultaten till Urklipp, återskapa resultaten eller öppna Security Copilot genom att välja ellipsen Fler åtgärder (...) ovanpå kortet för identitetssammanfattning. Du kan utöka din undersökning av identitet med hjälp av prompter och andra plugin-program i Copilot för säkerhetsportalen.
Sammanfattningsprompt för exempelidentitet
I den fristående portalen copilot för säkerhet kan du använda följande prompt för att generera en identitetssammanfattning:
- Visa Defender-sammanfattningen av den här användaren under den senaste {tidsramen}.
Tips
När du undersöker användare i Copilot for Security-portalen rekommenderar Microsoft att du inkluderar ordet Defender i dina uppmaningar för att säkerställa att funktionen för identitetssammanfattning ger resultatet. Du kan ange upp till 120 dagar inom tidsramen för undersökningen, och standardvärdet är 30 dagar när du inte anger något.
Ge feedback
Microsoft uppmuntrar dig starkt att ge feedback till Copilot, eftersom det är avgörande för en funktions kontinuerliga förbättring. Om du vill ge feedback går du till botten av Copilot-sidopanelen och väljer feedbackikonen 
.
Fyll i den dedikerade textrutan för att dela dina tankar, upplevelser och begäranden. Microsoft värdesätter din feedback och tar den på allvar i vårt åtagande att förbättra Copilots prestanda och användarupplevelse.
Se även
- Lär dig mer om andra inbäddade upplevelser i Copilot for Security
- Sekretess och datasäkerhet i Copilot for Security
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.