Selektieren und Untersuchen von Vorfällen mit angeleiteten Reaktionen von Microsoft Copilot in Microsoft Defender

Microsoft Security Copilot im Microsoft Defender-Portal unterstützt Teams zur Reaktion auf Vorfälle bei der sofortigen Behebung von Vorfällen mit geführten Antworten. Copilot in Defender nutzen KI und maschinelles Lernen, um einen Vorfall zu kontextualisieren und aus früheren Untersuchungen zu lernen, um angemessene Reaktionsmaßnahmen zu generieren.

In diesem Leitfaden wird beschrieben, wie Sie auf die Funktion für angeleitete Reaktionen zugreifen, einschließlich Info zum Bereitstellen von Feedback zu den Reaktionen.

Was Sie vor Beginn wissen sollten

Wenn Sie noch nicht mit Security Copilot vertraut sind, sollten Sie sich mit den folgenden Artikeln vertraut machen:

Um auf Vorfälle im Microsoft Defender-Portal zu reagieren, ist es häufig erforderlich, mit den verfügbaren Aktionen des Portals vertraut zu sein, um Angriffe zu stoppen. Darüber hinaus haben neue Mitglieder von Teams für die Reaktion auf Vorfälle möglicherweise unterschiedliche Vorstellungen davon, wo und wie sie auf Vorfälle reagieren können. Die Funktion für geführte Reaktionen von Copilot in Defender ermöglicht es Incident-Response-Teams auf allen Ebenen, Reaktionsmaßnahmen sicher und schnell durchzuführen, um Sicherheitsvorfälle mühelos zu beheben.

Security Copilot-Integration in Microsoft Defender

Geführte Antworten sind im Microsoft Defender-Portal für Kunden verfügbar, die Zugriff auf Security Copilot bereitgestellt haben.

Hinweis

Microsoft Security Copilot bietet kontextbezogene Empfehlungen, mit denen Sie effektiver auf Incidents reagieren können. Wenn Ihre organization über eigene empfohlene Richtlinien verfügt, kann Ihr Administrator diese hochladen, sodass die geführte Antwort die spezifischen Anforderungen und Richtlinien für Ihre organization widerspiegelt.

Geführte Antworten sind auch in der Security Copilot eigenständigen Benutzeroberfläche über das Microsoft Defender XDR-Plug-In verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Security Copilot.

Hauptmerkmale

Angeleitete Reaktionen empfehlen Aktionen in den folgenden Kategorien:

  • Triage – enthält eine Empfehlung, Vorfälle als Informationsmeldung, True Positive oder False Positive zu klassifizieren.
  • Eindämmung: Enthält empfohlene Aktionen zum Eindämmen eines Vorfalls.
  • Untersuchung: Enthält empfohlene Maßnahmen zur weiteren Untersuchung
  • Abhilfe: Enthält empfohlene Reaktionsmaßnahmen, die auf bestimmte an einem Vorfall beteiligte Entitäten angewendet werden.

Jede Karte enthält Informationen zur empfohlenen Aktion, einschließlich der Entität, in der die Aktion angewendet werden muss und warum die Aktion empfohlen wird. Die Karten betonen auch, wann eine empfohlene Aktion durch eine automatisierte Untersuchung wie Angriffsunterbrechung oder automatisierte Untersuchungsreaktion durchgeführt wurde.

Die geführten Antwortkarten können nach dem für jede Karte verfügbaren Status sortiert werden. Sie können einen bestimmten Status auswählen, wenn Sie die geführten Antworten anzeigen, indem Sie auf Status klicken und den entsprechenden Status auswählen, den Sie anzeigen möchten. Alle geführten Antwortkarten werden unabhängig vom Status standardmäßig angezeigt.

Screenshot, der den Status der Antworten im Copilot-Bereich auf der Microsoft Defender-Seite für Incidents zeigt.

Führen Sie die folgenden Schritte aus, um geführte Antworten zu verwenden:

  1. Öffnen Sie die Incident-Seite. Copilot generiert beim Öffnen einer Vorfallsseite automatisch angeleitete Antworten. Der Copilot-Bereich erscheint auf der rechten Seite der Vorfallseite und zeigt die Karten für angeleitete Reaktion.

    Screenshot: Bereich

  2. Überprüfen Sie jede Karte, bevor Sie die Empfehlungen anwenden. Wählen Sie oben auf einer Antwortkarte das Symbol mit den Auslassungspunkten für „Weitere Aktionen“ (...) aus, um die für jede Empfehlung verfügbaren Optionen anzuzeigen. Nun folgen einige Beispiele.

    Screenshot, der die Optionen zeigt, die Benutzern in einer Karte für geführte Antworten im Copilot-Seitenbereich zur Verfügung stehen.

    Screenshot: Optionen, die Benutzern in einer Automatisierungsantwort Karte im Bereich

  3. Um eine Aktion anzuwenden, wählen Sie die gewünschte Aktion auf jeder Karte aus. Die geführte Reaktionsaktion auf jeder Karte ist auf den Typ des Incidents und die jeweilige involvierte Entität zugeschnitten.

    Screenshot, der die Karten für geführte Antworten im Copilot-Bereich in Microsoft Defender zeigt.

  4. Sie können Feedback zu jeder Reaktionskarte bereitstellen, um zukünftige Antworten von Copilot kontinuierlich zu verbessern. Um Feedback zu geben, wählen Sie das Feedbacksymbol Screenshot, das das Feedbacksymbol für Copilot in Defender-Karten zeigt, das sich unten rechts in jedem Karte befindet.

Hinweis

Ausgegraute Aktionsschaltflächen bedeuten, dass diese Aktionen aufgrund Ihrer Berechtigungen eingeschränkt sind. Weitere Informationen finden Sie auf der Seite mit den Berechtigungen für einheitliche rollenbasierte Zugriffsberechtigungen (Unified Role-Based Access, RBAC).

Copilot hilft dabei, die Untersuchungsaufgaben von Analysten zu beschleunigen. Wenn ein Incident eine weitere Untersuchung einer Benutzeraktivität erfordert, schlägt Copilot Text vor, den Analysten für die Kommunikation mit einem Benutzer verwenden können. Die Karte für geführte Antworten enthält die Aktion Benutzer in Teams kontaktieren oder In die Zwischenablage kopieren, mit der der vorgeschlagene Text in die Zwischenablage kopiert wird. Analysten können den Text dann in eine E-Mail oder ein anderes Kommunikationstool einfügen. Der Analyst kann auch durch die Aktion Benutzer anzeigen mehr Kontext zum Benutzer gewinnen.

Screenshot, der den vorgeschlagenen Text für die Kommunikation in einer geführten Antwort Karte zeigt.

Copilot unterstützt auch Teams zur Reaktion auf Vorfälle, indem es Analysten ermöglicht, mehr Kontext zu Reaktionsaktionen mit zusätzlichen Erkenntnissen zu erhalten. Für Abhilfemaßnahmen können Teams für die Reaktion auf Vorfälle zusätzliche Informationen mit Optionen wie Ähnliche Vorfälle anzeigen oder Ähnliche E-Mails anzeigen anzeigen.

Die Aktion Ähnliche Vorfälle anzeigen wird verfügbar, wenn innerhalb der Organisation andere Vorfälle vorhanden sind, die dem aktuellen Vorfall ähneln. Auf der Registerkarte Ähnliche Vorfälle werden ähnliche Vorfälle aufgelistet, die Sie überprüfen können. Microsoft Defender erkennt ähnliche Vorfälle innerhalb der Organisation automatisch durch maschinelles Lernen. Teams für die Reaktion auf Vorfälle können die Informationen aus diesen ähnlichen Vorfällen verwenden, um Vorfälle zu klassifizieren und die Aktionen in diesen ähnlichen Vorfällen weiter zu überprüfen.

Die Aktion Ähnliche E-Mails anzeigen, die speziell für Phishing-Vorfälle gilt, führt Sie zur Seite Erweiterte Bedrohungssuche, auf der automatisch eine KQL-Abfrage zum Auflisten ähnlicher E-Mails innerhalb der Organisation generiert wird. Diese automatische Abfragegenerierung im Zusammenhang mit einem Vorfall hilft Teams bei der weiteren Untersuchung anderer E-Mails, die sich auf den Vorfall beziehen können. Sie können die Abfrage überprüfen und nach Bedarf ändern.

Beispiel-Prompt für angeleitete Antworten

Im Security Copilot eigenständigen Portal können Sie die folgende Eingabeaufforderung verwenden, um geführte Antworten zu generieren:

  • Generieren Sie angeleitete Reaktionen und Empfehlungen für den Defender-Vorfall {incident ID}.

Tipp

Beim Generieren von geführten Antworten im Security Copilot-Portal empfiehlt Microsoft, das Wort Defender in Ihre Eingabeaufforderungen einzugeben, um sicherzustellen, dass die Funktion für geführte Antworten die Ergebnisse liefert.

Feedback geben

Microsoft empfiehlt Ihnen dringend, Copilot Feedback zu geben, da dies für die kontinuierliche Verbesserung einer Funktion von entscheidender Bedeutung ist. Um Feedback zu geben, navigieren Sie zum unteren Rand des Copilot-Seitenbereichs, und wählen Sie das Feedbacksymbol Screenshot des Feedbacksymbols für Copilot in Defender-Karten aus.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.