Freigeben über

Microsoft Security Copilot in Microsoft Defender Threat Intelligence

  • Artikel

Wichtig

Am 30. Juni 2024 wurde das eigenständige Microsoft Defender Threat Intelligence -Portal (Defender TI) (https://ti.defender.microsoft.com) eingestellt und ist nicht mehr zugänglich. Kunden können Defender TI weiterhin im Microsoft Defender-Portal oder mit Microsoft Security Copilot verwenden. Weitere Informationen

Microsoft Security Copilot ist eine cloudbasierte KI-Plattform, die Copilot-Erfahrung in natürlicher Sprache bietet. Sie kann Sicherheitsexperten in verschiedenen Szenarien unterstützen, z. B. bei der Reaktion auf Vorfälle, bei der Bedrohungssuche und bei der Erfassung von Informationen. Weitere Informationen dazu, was sie tun kann, finden Sie unter Was ist Microsoft Security Copilot?.

Security Copilot Kunden erhalten für jeden ihrer authentifizierten Copilot-Benutzer Zugriff auf Microsoft Defender Threat Intelligence (Defender TI). Um sicherzustellen, dass Sie Zugriff auf Copilot haben, lesen Sie die Security Copilot Kauf- und Lizenzierungsinformationen.

Sobald Sie Zugriff auf Security Copilot haben, können Sie auf die in diesem Artikel beschriebenen hauptfeatures entweder im Security Copilot-Portal oder im Microsoft Defender-Portal zugreifen.

Klare Ideen vor dem Loslegen

Wenn Sie noch nicht mit Security Copilot vertraut sind, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:

Security Copilot Integration in Defender TI

Security Copilot liefert Informationen zu Bedrohungsakteuren, Indikatoren der Kompromittierung (Indicators of Compromise, IOCs), Tools und Sicherheitsrisiken sowie kontextbezogene Threat Intelligence von Defender TI. Sie können die Prompts und Promptbooks verwenden, um Vorfälle zu untersuchen, Ihre Suchabläufe mit Informationen über Bedrohungen anzureichern oder mehr Wissen über die Bedrohungslandschaft in Ihrer Organisation oder weltweit zu gewinnen.

  • Ihre Prompts sollten klar und spezifisch sein. Sie erzielen möglicherweise bessere Ergebnisse, wenn Sie in Ihren Prompts spezifische Namen von Bedrohungsakteuren oder IOCs angeben. Dies kann auch hilfreich sein, wenn Sie Threat Intelligence zu Ihren Prompts hinzufügen, z. B.:

    • Zeige Threat Intelligence-Daten für Aqua Blizzard an.
    • Fasse Threat Intelligence-Daten für „malicious.com“ zusammen.

  • Seien Sie spezifisch, wenn Sie auf einen Vorfall verweisen (z. B. „Vorfall-ID 15324“).

  • Probieren Sie verschiedene Prompts und Varianten aus, um zu sehen, was für Ihren Anwendungsfall am besten geeignet ist. Die Chat-KI-Modelle variieren, so dass Sie Ihre Prompts auf der Grundlage der Ergebnisse, die Sie erhalten, wiederholen und verfeinern können.

  • Copilot speichert Ihre Eingabeaufforderungssitzungen. Um die vorherigen Sitzungen anzuzeigen, wechseln Sie im Security Copilot Startmenü zu Meine Sitzungen.

    Screenshot: Microsoft Security Copilot Menü

    Hinweis

    Eine exemplarische Vorgehensweise zu Copilot, einschließlich der Funktion zum Anheften und Freigeben, finden Sie unter Navigieren Microsoft Security Copilot.

Weitere Informationen zum Erstellen effektiver Prompts

Hauptmerkmale

mit Security Copilot können Sicherheitsteams Threat Intelligence-Informationen sofort verstehen, priorisieren und maßnahmen ergreifen.

Sie können Fragen zu einem Bedrohungsakteur, einer Angriffskampagne oder anderen Bedrohungsdaten stellen, über die Sie mehr wissen möchten. Copilot generiert dann Antworten auf der Grundlage von Bedrohungsanalyseberichten, Intel-Profilen und -artikeln sowie anderen Defender TI-Inhalten.

Sie können auch eine der integrierten Eingabeaufforderungen auswählen, die im Defender-Portal verfügbar sind, um die folgenden Aktionen auszuführen:

  • Zusammenfassen der neuesten Bedrohungen für Ihre Organisation
  • Priorisieren, auf welche Bedrohungen Sie sich konzentrieren sollten, basierend auf der höchsten Gefährdungsstufe Ihrer Umgebung gegenüber diesen Bedrohungen
  • Fragen Sie nach den Bedrohungsakteuren, die auf die Kommunikationsinfrastrukturbranche abzielen

Weitere Informationen zur Verwendung von Copilot in Defender zur Bedrohungsaufklärung

Aktivieren der Security Copilot-Integration in Defender TI

  1. Wechseln Sie zu Microsoft Security Copilot, und melden Sie sich mit Ihren Anmeldeinformationen an.

  2. Stellen Sie sicher, dass das Microsoft Threat Intelligence-Plug-In aktiviert ist. Wählen Sie in der Prompt-Leiste das Quellen-Symbol aus. Screenshot des Quellensymbols.

    Screenshot der Eingabeaufforderungsleiste in Microsoft Security Copilot mit hervorgehobenem Symbol

    Vergewissern Sie sich im eingeblendeten Popupfenster Quellen verwalten unter Plug-Ins, dass die Umschaltfläche Microsoft Threat Intelligence aktiviert ist, und schließen Sie dann das Fenster.

    Screenshot des Popupfensters

    Hinweis

    Einige Rollen können die Umschaltfläche für Plug-Ins wie Microsoft Threat Intelligence aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Verwalten von Plug-Ins in Microsoft Security Copilot.

  3. Geben Sie Ihren Prompt in der Promptleiste ein.

Integrierte Systemfeatures

Security Copilot verfügt über integrierte Systemfeatures, die Daten von den verschiedenen aktivierten Plug-Ins abrufen können.

So zeigen Sie die Liste der integrierten Systemfunktionen für Defender TI an:

  1. Wählen Sie in der Prompt-Leiste das Prompts-Symbol aus. Screenshot des Promptsymbols.

    Screenshot der Eingabeaufforderungsleiste in Microsoft Security Copilot mit hervorgehobenem symbol

  2. Wählen Sie Alle Systemfunktionen anzeigen aus. Im Abschnitt Microsoft Threat Intelligence sind alle verfügbaren Funktionen für Defender TI aufgeführt, die Sie verwenden können.

Copilot verfügt auch über die folgenden Promptbooks, die auch Informationen von Defender TI bereitstellen:

  • Überprüfen der Auswirkungen einer externen Bedrohung : Analysiert einen externen oder drittanbieter (d. h. nicht in Defender TI veröffentlichten) Artikel, um verwandte IOCs zu extrahieren, die Intelligenz zusammenzufassen und Huntingabfragen zu generieren, damit Sie die potenziellen Auswirkungen der im Artikel gemeldeten Bedrohung auf Ihre organization bewerten können.
  • Bedrohungsakteurprofil : Generiert einen Bericht, der einen bekannten Bedrohungsakteur profiliert, einschließlich Vorschlägen zum Schutz gegen seine gängigen Tools und Taktiken.
  • Threat Intelligence 360-Bericht basierend auf dem MDTI-Artikel – Analysiert einen Defender TI-Artikel, um verwandte IOCs zu extrahieren, die Informationen zusammenzufassen und Hunting-Abfragen zu generieren, damit Sie die potenziellen Auswirkungen der im Artikel gemeldeten Bedrohung auf Ihre organization bewerten können.
  • Bewertung der Auswirkungen auf Sicherheitsrisiken : Generiert einen Bericht, in dem die Informationen zu einem bekannten Sicherheitsrisiko zusammengefasst werden, einschließlich Der Schritte zur Behebung.

Um diese Prompts anzuzeigen, wählen Sie in der Prompt-Leiste das Symbol Prompts und dann Alle Prompts anzeigen aus.

Beispiel für Defender TI-Eingabeaufforderungen

Sie können viele Prompts verwenden, um Informationen von Defender TI abzurufen. In diesem Abschnitt werden einige Ideen und Beispiele aufgeführt.

Erhalten Sie Threat Intelligence von Bedrohungsartikeln und Bedrohungsakteuren.

Beispielprompts :

  • Fasse die neuesten Erkenntnisse über Bedrohungen zusammen.
  • Zeig mir die neuesten Bedrohungsartikel.
  • Rufe Artikel zu Ransomware in den letzten sechs Monaten ab.

Bedrohungsakteurzuordnung und Infrastruktur

Erhalten Sie Informationen zu Bedrohungsteilnehmern und den Taktiken, Techniken und Verfahren (TTPs), gesponserten Zuständen, Branchen und IOCs, die ihnen zugeordnet sind.

Beispiel-Prompts:

  • Erzähl mir mehr über Silk Typhoon.
  • Teile die IOCs, die mit Silk Typhoon verbunden sind.
  • Teile die mit Silk Typhoon verbundenen TTPs.
  • Teile Bedrohungsakteure, die mit Russland in Verbindung gebracht werden.

Sicherheitsrisikodaten nach CVE

Abrufen von Kontextinformationen und Threat Intelligence zu allgemeinen Sicherheitsrisiken (Common Vulnerabilities and Exposures, CVEs), die aus Defender TI-Artikeln, Bedrohungsanalyseberichten und Daten aus Microsoft Defender Vulnerability Management und Microsoft Defender External Attack Surface Management.

Beispiel-Prompts:

  • Teile die Technologien, die für die Sicherheitslücke CVE-2021-44228 anfällig sind.
  • Fasse die Sicherheitslücke CVE-2021-44228 zusammen.
  • Zeige mir die neuesten CVEs an.
  • Zeige mir Bedrohungsakteure, die mit CVE-2021-44228 in Verbindung stehen.
  • Zeige mir die Bedrohungsartikel, die mit CVE-2021-44228 verbunden sind.

Indikatordaten in Bezug auf Threat Intelligence

Erhalten Sie detaillierte Informationen zu einem Indikator (z. B. IP-Adressen, Domänen und Dateihashes), die auf den zahlreichen in Defender TI verfügbaren Datasets basieren, einschließlich Reputationsbewertungen, WHOIS-Informationen, Domain Name System (DNS), Hostpaaren und Zertifikaten.

Beispiel-Prompts:

  • Was können Sie mir über den Domänennamen<> sagen?
  • Anzeigen von Indikatoren im Zusammenhang mit dem< Domänennamen>.
  • Zeigen Sie mir alle Auflösungen für <den Domänennamen> an.
  • Zeigen Sie mir Hostpaare im Zusammenhang mit dem Domänennamen> an<.
  • Zeig mir den Ruf des Hosts <Hostname>.
  • Alle Auflösungen für IP-Adress-IP-Adresse<> anzeigen.
  • Zeigen Sie mir die geöffneten Dienste in der< IP-Adresse an>.

Feedback geben

Ihr Feedback zur Defender TI-Integration in Security Copilot hilft bei der Entwicklung. Um Feedback zu geben, wählen Sie in Copilot die Option Wie ist diese Antwort? aus. Wählen Sie unten in jeder abgeschlossenen Eingabeaufforderung eine der folgenden Optionen aus:

  • Sieht richtig aus: Wählen Sie diese Schaltfläche aus, wenn die Ergebnisse Ihrer Einschätzung nach richtig sind.
  • Verbesserungsbedürftig: Wählen Sie diese Schaltfläche aus, wenn die Ergebnisse Ihrer Einschätzung nach falsch oder unvollständig sind.
  • Unangemessen: Wählen Sie diese Schaltfläche aus, wenn die Ergebnisse fragwürdige, zweideutige oder potenziell schädliche Informationen enthalten.

Für jede Feedbackschaltfläche können Sie im nächsten angezeigten Dialogfeld weitere Informationen angeben. Wann immer möglich und wenn das Ergebnis Verbesserungsbedürftig ist, schreiben Sie ein paar Worte dazu, was getan werden kann, um das Ergebnis zu verbessern. Wenn Sie spezifische Prompts für Defender TI eingegeben haben und die Ergebnisse nicht damit zusammenhängen, dann fügen Sie diese Informationen hinzu.

Datenschutz und Datensicherheit in Security Copilot

Wenn Sie mit Security Copilot interagieren, um Defender TI-Daten abzurufen, ruft Copilot diese Daten aus Defender TI ab. Die Prompts, die abgerufenen Daten und die in den Prompt-Ergebnissen angezeigten Ausgaben werden innerhalb des Copilot-Dienstes verarbeitet und gespeichert. Erfahren Sie mehr über Datenschutz und Datensicherheit in Microsoft Security Copilot

Siehe auch