Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel wendet die Funktionen von Security Copilot im Azure-Portal an, um angereicherte Zusammenfassungen von Vorfällen zu erstellen und einen umfassenden Überblick über Sicherheitsvorfälle zu bieten, indem Informationen aus mehreren Warnungen konsolidiert werden. Diese Funktion verbessert die Effizienz der Reaktion auf Vorfälle, indem sie eine klare Zusammenfassung bietet, die Ihren Sicherheitsteams hilft, den Umfang und die Auswirkungen eines Vorfalls schnell zu verstehen. Es bietet einen strukturierten Überblick, einschließlich Zeitplänen, beteiligten Assets und Indikatoren für eine Kompromittierung sowie Anreicherungen wie Benutzerrisiko, Geräterisiko und Watchlist-Matching. Diese Zusammenfassungen schlagen einen Untersuchungspfad vor, mit dem Ihre Analysten den Umfang und die Auswirkungen eines Angriffs bewerten können. Weitere Informationen finden Sie unter Navigieren, Selektieren und Verwalten von Microsoft Sentinel-Vorfällen im Azure-Portal.
Wenn Sie Microsoft Sentinel in das Defender-Portal integriert haben, können Sie direkt zu demselben Vorfall im Defender-Portal wechseln und dort die geführten Untersuchungsverfahren befolgen. Weitere Informationen finden Sie unter Selektieren und Untersuchen von Vorfällen mit geführten Antworten von Security Copilot in Microsoft Defender.
In diesem Leitfaden wird beschrieben, was Sie erwartet und wie Sie auf die Zusammenfassungsfunktion von Copilot in Microsoft Sentinel zugreifen können, einschließlich Informationen zum Bereitstellen von Feedback.
Von Bedeutung
Die Copilot-Funktion für die Zusammenfassung von Vorfällen für Microsoft Sentinel befindet sich derzeit in der VORSCHAU. Die ergänzenden Bedingungen für Azure Preview enthalten zusätzliche rechtliche Bestimmungen, die für Azure-Features gelten, die sich in der Betaversion, Vorschau oder noch nicht in der allgemeinen Verfügbarkeit befinden.
Wichtige Informationen, bevor Sie beginnen
Wenn Sie Security Copilot noch nicht kennen, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:
- Was ist Microsoft Security Copilot?
- Microsoft Security Copilot-Erfahrungen
- Erste Schritte mit Microsoft Security Copilot
- Verstehen der Authentifizierung in Microsoft Security Copilot
- Eingabeaufforderungen in Microsoft Security Copilot
Integration von Security Copilot mit Microsoft Sentinel
Die Funktion zur Zusammenfassung von Vorfällen ist in Microsoft Sentinel im Azure-Portal für Kunden verfügbar, die Zugriff auf Security Copilot bereitgestellt haben.
Diese Funktion ist auch im Defender-Portal und in der eigenständigen Security Copilot-Oberfläche über die Microsoft Sentinel-Plug-Ins verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Security Copilot.
Wichtigste Funktionen
Vorfälle mit bis zu 100 Warnungen können in einer Vorfallzusammenfassung zusammengefasst werden. Eine Vorfallzusammenfassung umfasst je nach Verfügbarkeit der Daten Folgendes:
- Die Uhrzeit und das Datum, zu dem ein Angriff gestartet wurde.
- Die Entität oder Ressource, in der der Angriff begonnen hat.
- Eine Zusammenfassung der Zeitachsen, wie sich der Angriff entwickelt hat.
- Die an dem Angriff beteiligten Ressourcen.
- Anzeichen für Kompromittierung (IoCs).
- Namen der beteiligten Bedrohungsakteure.
- Risiko und Kritikalität der Nutzer.
- Geräterisiko und Kritikalität.
- Watchlist-Matches.
Copilot generiert automatisch eine Zusammenfassung des Vorfalls, wenn Sie die Seite des Vorfalls öffnen. Die Zusammenfassung des Vorfalls wird oben im Detailbereich der Vorfallseite vor der Beschreibung angezeigt.
Wählen Sie Mehr anzeigen aus, um die Zusammenfassung zu erweitern und den vollständigen Inhalt anzuzeigen.
Tipp
Sie können im Copilot-Ergebnisbereich zu einer Datei-, IP- oder URL-Seite navigieren, indem Sie in den Ergebnissen auf den Beweis klicken.
Überprüfen Sie die Zusammenfassung, und verwenden Sie die Informationen, um Ihre Untersuchung und Reaktion auf den Vorfall zu steuern.