Microsoft Defender 中的 Microsoft Copilot

  • 项目
  • 适用于:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

注意

Microsoft Defender XDR为Microsoft Defender for Endpoint(Microsoft Defender for Identity)提供统一的 XDR 体验漏洞管理的Microsoft Defender for Office 365、Microsoft Defender for Cloud Apps和Microsoft Defender。 在什么是Microsoft Defender XDR中详细了解此漏洞前和入侵后防御套件?

Microsoft 安全 Copilot 汇集了 AI 和人类专业知识的强大功能,可帮助安全团队更快、更有效地应对攻击。 Copilot for Security 嵌入Microsoft Defender门户中,使安全团队能够有效地汇总事件、分析脚本和代码、分析文件、汇总设备信息、使用引导响应解决事件、生成 KQL 查询以及创建事件报告。

本文为 Defender 中的 Copilot 用户提供概览,包括访问步骤、关键功能以及这些功能详细信息的链接。

访问 Defender 中的 Copilot

若要确保你有权访问 Defender 中的 Copilot,请参阅安全 Copilot 购买和许可信息。 有权访问安全 Copilot 后,可在 Microsoft Defender 门户中访问下面讨论的关键功能。

像专家一样调查和响应事件

使安全团队能够轻松精确及时地处理攻击调查。 Copilot 可帮助团队立即了解攻击、快速分析可疑文件和脚本,并及时评估并应用适当的缓解措施来停止和抑制攻击。

快速汇总事件

调查具有多个警报的事件可能是一项令人生畏的任务。 若要立即了解事件,可以点击 Copilot 让它为你汇总事件。 Copilot 创建攻击概述。 概述包含重要信息,供你了解攻击中发生的事件、涉及的资产以及攻击时间线。 导航到事件页面时 Copilot 将自动创建摘要。

该屏幕截图显示了 Microsoft Defender 事件页中看到的“Copilot”窗格上的“事件摘要”卡。

通过引导响应对事件采取措施

解决事件需要分析人员了解攻击,从而知晓合适的解决方案。 Copilot 通过特定于每个事件的引导式响应来推荐解决方案。

屏幕截图,其中突出显示了“Microsoft Defender 事件”页中的引导式响应的 Copilot 窗格。

轻松运行脚本分析

大多数攻击者在发起攻击时依赖复杂的恶意软件来避免检测和分析。 这些恶意软件通常经过模糊处理,可能采用 PowerShell 中的脚本或命令行的形式。 Copilot 可以快速分析脚本,从而缩短调查时间。

突出显示事件页中攻击情景视图中的脚本分析按钮的屏幕截图。

生成设备摘要

调查事件中涉及的设备可能是一项艰巨的任务。 为了快速评估设备,Copilot 可以汇总设备的信息,包括设备的安全状况、任何异常行为、易受攻击的软件列表以及相关的 Microsoft Intune 信息。

Defender 中 Copilot 中的设备摘要结果的屏幕截图。

及时分析文件

Copilot 通过文件分析帮助安全团队快速评估和了解可疑文件。 Copilot 提供文件的摘要,包括检测信息、相关文件证书、API 调用列表以及在文件中找到的字符串。

Defender 中的 Copilot 中文件分析结果的屏幕截图,其中突出显示了“隐藏详细信息”选项。

立即调查标识

使用 Copilot 生成 标识摘要 ,快速评估用户的风险。 使用有关用户角色和角色更改、登录行为、登录设备和相关联系信息的上下文信息确定标识何时面临风险或可疑。

显示用户详细信息窗格中的“汇总”选项的屏幕截图。

高效编写事件报告

安全运营团队通常会编写报告来记录重要信息,包括采取了哪些响应操作和相应结果、涉及的团队成员,以及其他有助于未来安全决策和学习的信息。 通常,记录事件可能很耗时。 若要使事件报告生效,它必须包含事件的摘要以及执行的操作,包括谁以及何时采取了哪些操作。 Copilot 通过快速整合这些信息片段来生成事件报告

事件页中事件报告卡的屏幕截图,其中显示了卡片的上半部分。

像专业人士一样搜寻

Defender 中的 Copilot 通过快速构建适当的 KQL 查询,帮助安全团队主动在网络中搜寻威胁。

从自然语言输入生成 KQL 查询

使用高级搜寻在网络中主动搜寻威胁的安全团队现在可以使用查询助手,将威胁搜寻上下文中的任何自然语言问题转换为随时可运行的 KQL 查询。 查询助手通过生成 KQL 查询来节省安全团队的时间,该查询随后可以根据分析师需求自动运行或进一步调整。 在高级搜寻中的安全 Copilot 中了解有关查询助手的详细信息。

高级搜寻中的 Copilot 窗格的屏幕截图。

使用相关威胁情报保护组织

使你的安全组织能够使用最新的威胁情报做出明智的决策。 Copilot 能够整合并汇总威胁情报,帮助安全团队确定威胁的优先级并有效地响应它们。

监视威胁情报

要求 Copilot 汇总影响你环境的相关威胁、根据暴露级别确定解决威胁的优先级,或查找可能针对你的行业的威胁行动者。 详细了解威胁情报中的安全 Copilot

Defender XDR 中威胁情报中“Copilot”窗格的屏幕截图。

Copilot 中的数据安全和反馈

Copilot 使用存储处理共享数据不断改进,具体取决于你的管理员定义的设置。 Microsoft 可确保使用 Copilot 时数据始终受到保护且安全。 若要详细了解 Copilot 中的数据安全和隐私,请参阅 Copilot 中的隐私和数据安全

由于其持续改进,Copilot 可能会错过一些内容。 查看并提供有关结果的反馈,这有助于改进 Copilot 的未来响应。

所有 Defender 中的 Copilot 功能都有提供反馈的选项。 若要提供反馈,请执行以下步骤:

  1. 选择反馈图标 Defender 卡片中 Copilot 反馈图标的屏幕截图。位于 Copilot 侧面板卡任何结果的底部。
  2. 如果认为结果准确,请选择“ 正确显示 ”。 你可以在下一个对话框中提供详细信息。
  3. 如果将结果评估为缺失或不完整,请选择“ 需要改进 ”。 可以在下一个对话框中提供有关评估的详细信息,并将此评估提交给 Microsoft。
  4. 如果结果包含可疑或模棱两可的信息,还可以选择“ 不适当”来报告结果。 在下一个对话框中提供有关结果的详细信息,然后选择“提交”。

安全 Copilot 中的插件

Copilot 使用预安装的 Microsoft 插件(如 Microsoft Defender XDR、Defender 威胁智能、适用于 Microsoft Sentinel 的自然语言到 KQL、Defender XDR 插件)生成相关信息、为事件提供更多上下文,并生成更准确的结果。 确保在 Copilot 中启用插件以允许访问相关数据,并从组织中的其他 Microsoft 服务生成请求的内容。

后续步骤

另请参阅

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区