Microsoft Security Copilot Dynamic Threat Detection Agent (Vorschau)

Microsoft Security Copilot in Microsoft Defender umfasst den Dynamic Threat Detection Agent, einen immer aktivierten adaptiven Back-End-Dienst, der versteckte Bedrohungen in Defender- und Microsoft Sentinel-Umgebungen aufdeckt. Dieser Artikel bietet eine Übersicht über den Agent, einschließlich der Schritte zur Verwendung bei der Untersuchung von Incidents und Warnungen.

Übersicht

Sicherheitsteams sind häufig mit dem Risiko falsch negativer Ergebnisse konfrontiert– Bedrohungen, die von herkömmlichen regelbasierten Erkennungssystemen nicht erkannt werden. Der Agent für die dynamische Bedrohungserkennung verwendet KI, um Lücken zu identifizieren und falsch negative Ergebnisse aufzudecken, indem Warnungen, Ereignisse, Anomalien und Threat Intelligence korreliert werden. Wenn der Agent eine Lücke identifiziert, generiert er eine dynamische Warnung mit dem vollständigen Kontext in den Warnungsdetails, einschließlich Erklärungen in natürlicher Sprache, zugeordneten MITRE ATT&CK-Techniken und maßgeschneiderten Korrekturschritten.

Der Agent für die dynamische Bedrohungserkennung ist immer aktiviert, arbeitet nahtlos im Defender-Back-End und erfordert kein Setup oder Onboarding. Diese Features und Funktionen ermöglichen Es Organisationen, Bedrohungen mit höherer Geschwindigkeit, Genauigkeit und Zuverlässigkeit zu erkennen und darauf zu reagieren.

Hauptvorteile

• Ermitteln, was herkömmliche Erkennungsregeln verpassen: Die adaptive KI-gesteuerte Erkennung des Agents untersucht kontinuierlich defender- und Microsoft Sentinel Signale, um falsch negative Und blinde Flecken aufzudecken.
• Reduzieren von Rauschen und Erhöhen der Zuverlässigkeit : Der Agent minimiert soc -Geräusche (Security Operations Center) und steigert das Vertrauen der Analysten mit seiner vom Kunden validierten Genauigkeit und bietet einen klaren Risikokontext und konkrete nächste Schritte in den Warnungsdetails.
• Always On und Zero-Touch : Da der Agent im Defender-Back-End ausgeführt wird, generiert er automatisch Warnungen in Ihren vorhandenen Defender-Workflows, ohne dass eine Optimierung oder ein Onboarding erforderlich ist.
• Umfassende Integration im Gesamten Microsoft-Sicherheitsökosystem: Der Agent arbeitet mit Security Copilot, Defender und Microsoft Sentinel und korreliert native und Drittanbietersignale, um verpasste Verhaltensweisen zu zeigen und einen umfassenderen Kontext in Ihren SOC-Workflows bereitzustellen.

Zugriff erhalten

Benutzer mit Zugriff auf Security Copilot können den Dynamic Threat Detection Agent verwenden.

Verwenden des Agents für die dynamische Bedrohungserkennung

Wie die anderen verfügbaren Tools und Methoden im Defender-Portal für Untersuchung und Reaktion hilft der Bedrohungserkennungs-Agent bei der Selektierung, Untersuchung und Lösung von Vorfällen.

Der Agent für die dynamische Bedrohungserkennung wird automatisch im Hintergrund ausgeführt. Wenn eine Warnung generiert wird, wird die Warnung in Ihren Incidents und Warnungswarteschlangen mit Security Copilot als Erkennungsquelle angezeigt.

Um weitere Details zur Warnung anzuzeigen, wählen Sie den Warnungstitel aus. Der Agent für die dynamische Bedrohungserkennung bietet eine Zusammenfassung und empfohlene Aktionen auf der Warnungsseite.

Nächste Schritte

Setzen Sie ihre Untersuchung bei Bedarf für In-Process-Vorfälle fort.

Siehe auch

• Untersuchen von Warnungen in Microsoft Defender XDR
• Übersicht über Vorfälle
• Verwalten von Vorfällen
• Untersuchen von Vorfällen