Beschreibung von Copilot in Microsoft Defender XDR

  • 10 Minuten

Microsoft Security Copilot ist in das Microsoft Defender-Portal eingebettet, um Sicherheitsteams zu ermöglichen, Vorfälle schnell und effizient zu untersuchen und darauf zu reagieren, Bedrohungen zu suchen und ihre Organisation mit relevanter Bedrohungserkennung zu schützen.

Das kurze Video, das folgt, zeigt einige der in Microsoft Defender integrierten Copilot-Funktionen und wie diese dazu beitragen können, die Produktivität von Sicherheitsanalysten zu steigern.

Hinweis

Die Liste der in Microsoft Defender eingebetteten Copilot Funktionen wächst kontinuierlich. Diese Einheit bietet nur ein Sampling einiger dieser Copilot-Funktionen. Weitere Informationen finden Sie in der Dokumentation zu Microsoft Security Copilot in Microsoft Defender.

Es gibt auch einige Optionen, die allen diesen Funktionen gemeinsam sind, einschließlich der Möglichkeit, Feedback zu geben, auf sofortige Antworten zu reagieren und nahtlos zur eigenständigen Erfahrung zu wechseln.

Wie in der Einführungseinheit beschrieben, ist Copilot in der Lage, die produktspezifischen Funktionen direkt aufzurufen und die Verarbeitungseffizienz zu gewährleisten. Um den Zugriff auf diese Microsoft Security Copilot Features sicherzustellen, muss das Microsoft Defender XDR-Plug-In aktiviert werden, und dies erfolgt über die eigenständige Oberfläche. Weitere Informationen finden Sie unter Beschreiben der Features, die in der eigenständigen Erfahrung von Microsoft Security Copilot zur Verfügung stehen.

Screenshot des Fensters „Plug-Ins verwalten“, in dem das Microsoft Defender XDR-Plug-In hervorgehoben ist.

Zusammenfassung der Vorfälle

Copilot erstellt automatisch eine Zusammenfassung, wenn Sie zur Seite eines Vorfalls navigieren, und bietet eine Übersicht über den Angriff, der wichtige Informationen enthält, einschließlich dessen, was passiert ist, welche Ressourcen beteiligt sind, den Angriffsablauf, Indikatoren für eine Kompromittierung (IOCs) sowie die Namen der beteiligten Bedrohungsakteure. Vorfälle mit bis zu 100 Warnungen können in einer Vorfallzusammenfassung zusammengefasst werden.

Screenshot der eingebetteten Security Copilot-Erfahrung in Microsoft Defender XDR mit einer Vorfallzusammenfassung.

Copilot schlägt außerdem Nachverfolgungsaufforderungen zu verwandten Identitäten, Geräten und IP-Adressen vor, die Ihnen helfen, die beteiligten Ressourcen zu verstehen und zu handeln.

Geführte Antworten

Copilot verwendet KI und maschinelles Lernen, um einen Vorfall zu kontextualisieren und aus früheren Untersuchungen zu lernen, um geeignete Reaktionsaktionen zu generieren. Geführte Antworten empfehlen Aktionen in den folgenden Kategorien:

  • Triage - enthält eine Empfehlung, Vorfälle als informativ, Wahr-Positiv oder Falsch-Positiv zu klassifizieren.
  • Eindämmung: - enthält empfohlene Aktionen zum Eindämmen eines Vorfalls.
  • Untersuchung – umfasst empfohlene Maßnahmen zur weiteren Untersuchung.
  • Korrektur – enthält empfohlene Antwortaktionen, die auf bestimmte Entitäten angewendet werden, die an einem Vorfall beteiligt sind.

Screenshot mit den Informationen, die in einer geführten Antwort enthalten sind.

Jede Karte enthält Informationen zur empfohlenen Aktion, einschließlich der Gründe, warum die Aktion empfohlen wird. Administratoren können auch organization spezifische Antwortrichtlinien hochladen, um die Empfehlungen an ihre Umgebung anzupassen. Geführte Antworten sind für Vorfalltypen wie Phishing, geschäftliche E-Mail-Kompromittierung und Ransomware verfügbar.

Skript- und Befehlszeilenanalyse

Komplexe Angriffe umgehen häufig die Erkennung mithilfe verschleierter Skripts und Befehlszeilen. Mit der Skriptanalysefunktion können Sicherheitsteams Skripts und Code prüfen, ohne externe Tools zu verwenden, schnell zu beurteilen, ob ein Skript bösartig oder gutartig ist.

Screenshot mit der Option zum Analysieren eines PowerShell-Skripts.

Copilot analysiert das Skript und zeigt die Ergebnisse in einer Skriptanalysekarte an, einschließlich einer klarsprachigen Erläuterung der Funktionsweise des Skripts, ob es böswillig ist und welche MITRE ATT& CK-Techniken, die es verwendet. Benutzer können "Code anzeigen" auswählen, um bestimmte Codezeilen im Zusammenhang mit der Analyse anzuzeigen. Sie können auf die Skriptanalyse in der Warnungszeitachse innerhalb eines Vorfalls zugreifen, um einen Zeitachseneintrag aus Skript oder Code zu erhalten.

Screenshot zeigt die Codezeilen im Zusammenhang mit der Skriptanalyse.

Hinweis

Skriptanalysefunktionen werden kontinuierlich weiterentwickelt. Die Analyse von Skripts in anderen Sprachen als PowerShell, Batch und Bash wird bewertet.

Generieren von KQL-Abfragen

Copilot in Microsoft Defender enthält eine Abfrage-Assistent-Funktion in der erweiterten Suche, die Fragen in natürlicher Sprache in sofort ausgeführte KQL-Abfragen konvertiert. Dieses Feature reduziert die Zeit, die es erfordert, eine Suchabfrage von Grund auf neu zu schreiben, sodass Bedrohungssucher und Sicherheitsanalysten sich auf die Suche und Untersuchung von Bedrohungen konzentrieren können.

Screenshot mit der KQL-Abfrage, die aus einer Anforderung in natürlicher Sprache generiert wurde.

Mithilfe der Eingabeaufforderungsleiste können Analysten eine Abfrage zur Bedrohungssuche mit natürlicher Sprache anfordern, z. B. "Alle Geräte, die innerhalb der letzten 10 Minuten angemeldet sind" anfordern. Die generierte Abfrage kann dann automatisch ausgeführt, dem Abfrage-Editor für weitere Optimierungen hinzugefügt oder an anderer Stelle kopiert werden.

Erstellen von Vorfallberichten

Copilot ermöglicht Es Sicherheitsteams, sofort einen umfassenden Vorfallbericht im Portal zu erstellen. Während eine Vorfallzusammenfassung einen Überblick über das Geschehen bietet, konsolidiert ein Vorfallbericht Vorfallinformationen aus verschiedenen Datenquellen, die in Microsoft Sentinel und Microsoft Defender XDR verfügbar sind.

Der Vorfallbericht enthält Zeitstempel für wichtige Verwaltungsaktionen, die beteiligten Analysten, die Vorfallklassifizierung mit Analystenkommentaren, Untersuchungs- und Wartungsaktionen (sowohl manuell als auch automatisiert einschließlich Microsoft Sentinel Playbooks) und Folgeaktionen, die von Analysten angegeben wurden.

Screenshot mit dem generierten Vorfallbericht und dem Dropdownmenü der verfügbaren Optionen, indem Sie die Auslassungspunkte auswählen.

Analysieren von -Dateien

Copilot ermöglicht Sicherheitsteams die schnelle Identifizierung bösartiger und verdächtiger Dateien über KI-gestützte Dateianalysefunktionen. Wenn ein Analyst eine Dateiseite öffnet, kann Copilot eine Zusammenfassung generieren, die Erkennungsinformationen, zugehörige Dateizertifikate, eine Liste der API-Aufrufe und Zeichenfolgen enthält, die in der Datei enthalten sind. Auf Dateien kann über die Registerkarte "Nachweis und Reaktion" eines Vorfalls, das Vorfalldiagramm oder die Suchfunktion zugegriffen werden.

Zusammenfassen von Geräten und Identitäten

Copilot in Defender können Zusammenfassungen für Geräte und Identitäten generieren, damit Sicherheitsteams ihren Sicherheitsstatus während einer Untersuchung schnell bewerten können.

Gerätezusammenfassungen enthalten den Sicherheitsstatus des Geräts mit Informationen zum Status der Schutzfunktionen wie Angriffsflächenreduzierung und Manipulationsschutz, ungewöhnliche Benutzeraktivitäten, eine Liste anfälliger Software, Firewalleinstellungen und relevante Informationen zu Microsoft Intune.

Identity-Zusammenfassungen bieten eine kontextbezogene Übersicht über eine Benutzeridentität, einschließlich Kontoerstellungsdatum, Kritischer Grad, Rollen- und Rollenänderungen, Anmeldeverhalten und Muster, Authentifizierungsmethoden, Risiken aus Microsoft Entra ID und Kontaktinformationen.

Bedrohungserkennung

Copilot ist im Abschnitt "Threat Intelligence" des Microsoft Defender-Portals eingebettet und hilft Sicherheitsteams dabei, fundierte Entscheidungen zu treffen, indem Sie Bedrohungserkennungsdaten konsolidieren und zusammenfassen. Sie können Copilot bitten, die relevanten Bedrohungen, die sich auf Ihre Umgebung auswirken, Bedrohungen basierend auf den Expositionsstufen Ihrer Organisation zu priorisieren oder Bedrohungsakteure zu finden, die möglicherweise auf Ihre Branche abzielen. Copilot verwendet das Plug-In Microsoft Defender Threat Intelligence, um Zusammenfassungen von Bedrohungsanalyseberichten, Intel-Profilen und Offenlegungen von Sicherheitsrisiken – alles in natürlicher Sprache – anzuzeigen.

Gemeinsame Funktionalitäten für die wichtigsten Funktionen

Es gibt einige Optionen, die über die Features von Copilot für Microsoft Defender hinweg gemeinsam sind.

Abgeben von Feedback

Wie bei der eigenständigen Oberfläche bietet die eingebettete Oberfläche Benutzern einen Mechanismus, um Feedback zur Genauigkeit der KI-generierten Antwort zu geben. Für alle KI-generierten Inhalte können Sie die Feedbackaufforderung unten rechts im Inhaltsfenster auswählen und aus den verfügbaren Optionen auswählen.

Screenshot des Feedbacksymbols für von KI generierte Inhalte und die drei Optionen. Die Optionen sind „bestätigt“, „sieht großartig aus“, „weicht vom Ziel ab“, „ungenau“ und „potenziell schädlich, unangemessen“.

Umstellen auf das eigenständige Erlebnis

Ermittler, die im Defender-Portal beginnen, können problemlos auf die eigenständige Erfahrung umsteigen, um eine detailliertere, produktübergreifende Untersuchung zu erhalten, die alle Copilot-Funktionen nutzt, die für ihre Rolle aktiviert sind. Um zur eigenständigen Benutzeroberfläche zu wechseln, wählen Sie die Ellipsen im generierten Inhaltsfenster und dann „In Security Copilot öffnen“ aus.

Screenshot, der die Option zum Öffnen in Security Copilot zeigt, die durch Auswahl des Dreipunkts im KI-generierten Inhaltsfenster verfügbar ist.