Microsoft Copilot i Microsoft Defender

  • Artikel
  • Gäller för:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Obs!

Microsoft Defender XDR ger en enhetlig XDR-upplevelse för Microsoft Defender för Endpoint, Microsoft Defender for Identity, Microsoft Defender för Office 365, Microsoft Defender for Cloud Apps och Microsoft Defender för sårbarhetshantering. Läs mer om den här försvarssviten före och efter intrång i Vad är Microsoft Defender XDR?

Den här artikeln innehåller en översikt över användare av Microsoft Copilot i Microsoft Defender, inklusive steg för åtkomst, viktiga funktioner och länkar till information om dessa funktioner.

Ha kunskap innan du börjar

Om du inte har använt Copilot for Security tidigare bör du bekanta dig med det genom att läsa följande artiklar:

Microsoft Copilot integrering i Microsoft Defender

Microsoft Copilot for Security är en plattform som samlar kraften hos AI och mänsklig expertis för att hjälpa säkerhetsteam att reagera snabbare och effektivare på attacker. Copilot for Security är inbäddat i Microsoft Defender-portalen för att ge säkerhetsteam förbättrade funktioner för att undersöka och reagera på incidenter, söka efter hot och skydda organisationen med relevant hotinformation. Copilot i Defender är tillgängligt för användare som har etablerat åtkomst till Copilot for Security.

Nyckelfunktioner

Undersöka och svara på incidenter som en expert

Gör det möjligt för säkerhetsteam att hantera undersökningar av attacker snabbt och enkelt. Copilot hjälper team att förstå attacker direkt, snabbt analysera misstänkta filer och skript och snabbt utvärdera och tillämpa lämpliga åtgärder för att stoppa och begränsa attacker.

Sammanfatta incidenter snabbt

Det kan vara utmanande att undersöka incidenter med flera varningar. Om du vill förstå en incident direkt kan du trycka på Copilot för att sammanfatta en incident åt dig. Copilot skapar en översikt över attacken. Översikten innehåller viktig information som hjälper dig att förstå vad som hände i attacken, vilka tillgångar som är inblandade och tidslinjen för attacken. Copilot skapar automatiskt en sammanfattning när du navigerar till en incidentsida.

Skärmbild av incidentens sammanfattningskort i Copilot-fönstret som visas på incidentsidan i Microsoft Defender.

Vidta åtgärder för incidenter via guidade svar

Att lösa incidenter kräver att analytiker har en förståelse för en attack för att veta vilka lösningar som är lämpliga. Copilot rekommenderar lösningar via guidade svar som är specifika för varje incident.

Skärmbild som visar Copilot-fönstret med de guidade svaren på incidentsidan för Microsoft Defender.

Kör skriptanalys enkelt

De flesta angripare förlitar sig på avancerad skadlig kod när de startar attacker för att undvika identifiering och analys. Dessa skadliga program är vanligtvis dolda och kan vara i form av skript eller kommandorader i PowerShell. Copilot kan snabbt analysera skript, vilket minskar tiden för undersökning.

Skärmbild som visar knappen för skriptanalys i attackberättelsevyn på incident.

Skapa enhetssammanfattningar

Att undersöka enheter som är inblandade i incidenter kan vara ett uppgiftsjobb. För att snabbt utvärdera en enhet kan Copilot sammanfatta en enhets information, inklusive enhetens säkerhetsstatus, ovanliga beteenden, en lista över sårbara program och relevant Microsoft Intune-information.

Skärmbild av enhetssammanfattningen i Copilot i Defender.

Analysera filer snabbt

Copilot hjälper säkerhetsteam att snabbt utvärdera och förstå misstänkta filer med filanalys. Copilot tillhandahåller en filsammanfattning, inklusive identifieringsinformation, relaterade filcertifikat, en lista över API-anrop och strängar som finns i filen.

Skärmbild av filanalysresultaten i Copilot i Defender med alternativet Dölj information markerat.

Undersöka identiteter omedelbart

Utvärdera snabbt en användares risk genom att generera en identitetssammanfattning med Copilot. Identifiera när en identitet är i riskzonen eller misstänkt med sammanhangsberoende information om en användares roll- och rolländringar, inloggningsbeteenden, enheter som är inloggade på och relevant kontaktinformation.

Skärmbild som visar alternativet Sammanfatta i fönstret användarinformation.

Skriva incidentrapporter effektivt

Säkerhetsteam skriver vanligtvis rapporter för att registrera viktig information, bland annat vilka svarsåtgärder som vidtogs och deras resultat, de berörda teammedlemmarna och annan information som underlättar framtida säkerhetsbeslut och inlärning. Ofta kan det vara tidskrävande att dokumentera incidenter. För att en incidentrapport ska vara effektiv måste den innehålla en incidentsammanfattning tillsammans med de åtgärder som vidtagits, inklusive vilka åtgärder som vidtagits av vem och när. Copilot genererar en incidentrapport genom att snabbt konsolidera dessa informationsdelar.

Skärmbild av incidentrapportkortet på incidentsidan som visar kortets övre halva.

Jaga som ett proffs

Copilot i Defender hjälper säkerhetsteam att proaktivt söka efter hot i nätverket genom att snabbt skapa lämpliga KQL-frågor.

Generera KQL-frågor från indata på naturligt språk

Säkerhetsteam som använder avancerad jakt för att proaktivt jaga hot i sitt nätverk kan nu använda en fråga assistent som konverterar alla frågor på naturligt språk, i samband med hotjakt, till en färdig KQL-fråga. Frågeassistenten sparar tid för säkerhetsteam genom att generera en KQL-fråga som sedan kan köras automatiskt eller justeras ytterligare enligt analytikerns behov. Läs mer om frågeassistenten i Copilot for Security i avancerad jakt.

Skärmbild av Copilot-fönstret i avancerad jakt.

Skydda din organisation med relevant hotinformation

Ge din säkerhetsorganisation möjlighet att fatta välgrundade beslut med den senaste hotinformationen. Copilot konsoliderar och sammanfattar hotinformation för att hjälpa säkerhetsteam att prioritera och reagera effektivt på hot.

Övervaka hotinformation

Be Copilot sammanfatta relevanta hot som påverkar din miljö, att prioritera att lösa hot baserat på dina exponeringsnivåer eller att hitta hot aktörer som kan riktas mot din bransch. Läs mer om Copilot for Security i hotinformation.

Skärmbild av Copilot i Threat Intelligence i Defender XDR.

Åtkomst till Copilot i Defender

För att säkerställa att du har åtkomst till Copilot i Defender, se Köp- och licensieringsinformation för Copilot for Security. När du har åtkomst till Copilot for Security blir de viktigaste funktionerna tillgängliga i Microsoft Defender-portalen.

Exempelfrågor i Copilot

I Microsoft Defender portalen hittar du exempelfrågor som hjälper dig att navigera och använda vissa Copilot-funktioner. Uppmaningarna är utformade för att hjälpa dig att förstå dessa funktioner och hur du använder dem effektivt. Här är några exempel på frågor som du kan se i portalen:

Avancerade jaktfrågor:

Skärmbild som visar Copilot-prompterna på sidan avancerad jakt.

Hotinformationsprompter:

Skärmbild som visar Copilot-prompterna på hotinformationssidan.

Du kan utöka din undersökning i den fristående Portalen Copilot for Security med hjälp av frågor om naturligt språk. Följande är exempelfrågor som du kan skriva i promptfältet för att sammanfatta en incident med rekommendationer:

  • Skriv Sammanfatta incident {incidentnummer} och avsluta med en uppsättning rekommendationer för att generera incidentsammanfattningen och rekommendationerna.
  • Skriv Vad kan du berätta om indikatorernas rykte i skriptet? Är de skadliga? I så fall, varför? för att analysera skriptet och generera information om skriptet.

Genom att fråga i Copilot kan du navigera och använda funktionerna på ett effektivt sätt. Du kan också använda promptfältet för att generera KQL-frågor, sammanfatta incidenter och analysera filer. Se tips för att skapa effektiva prompter i effektiva frågor. Du kan också använda fördefinierade promptbooks som hjälper dig att komma igång med Copilot. Mer information om promptbooks finns i promptbooks i Copilot.

Ge feedback

Alla Copilot i Defender-funktioner har ett alternativ för att ge feedback. Utför följande steg om du vill ge feedback:

  1. Välj feedbackikonen Skärmbild av feedbackikonen för Copilot i Defender-kort. Längst ned på resultatkortet i Copilot-sidopanelen.
  2. Välj Ser rätt ut om du anser att resultatet är korrekt. Du kan ange mer information i nästa dialogruta.
  3. Välj Behöver förbättras om du bedömer att resultatet saknas eller är ofullständigt. Du kan ange mer information om din utvärdering i nästa dialogruta och skicka den här utvärderingen till Microsoft.
  4. Du kan också rapportera resultatet om det innehåller tvivelaktig eller tvetydig information genom att välja Olämpligt. Ange mer information om resultatet i nästa dialogruta och välj att skicka in det.

Sekretess och datasäkerhet

Copilot utvecklas kontinuerligt med hjälp av data som lagras, bearbetas och delas beroende på de inställningar som definieras av administratören. Microsoft ser till att dina data alltid är skyddade och säkra när du använder Copilot. Mer information om datasäkerhet och sekretess i Copilot finns i Sekretess och datasäkerhet i Copilot.

På grund av den fortsatta utvecklingen kan Copilot missa vissa saker. Att granska och ge feedback om resultaten hjälper till att förbättra Copilots framtida svar.

Plugin-program i Copilot for Security

Copilot använder förinstallerade Microsoft-plugin-program som Microsoft Defender XDR, Defender Threat Intelligence och Natural Language to KQL för Microsoft Sentinel och Defender XDR-plugin-program för att generera relevant information, ge mer sammanhang för incidenter och generera mer exakta resultat. Se till att plugin-program är aktiverade i Copilot för att tillåta åtkomst till relevanta data och generera begärt innehåll från andra Microsoft-tjänster i din organisation.

Nästa steg

Se även

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.