Freigeben über

Anpassen von Incidentantworten für Ihre organization

  • Gilt für:: Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Security Copilot im Microsoft Defender-Portal bietet geführte Antworten, um das Reaktionsteam bei der Lösung von Incidents zu unterstützen. Copilot in Defender verwendet KI und maschinelles Lernen, um einen Incident zu kontextualisieren und aus früheren Untersuchungen zu lernen, um geeignete Reaktionsaktionen zu generieren.

In diesem Leitfaden wird beschrieben, wie Sie die spezifischen Richtlinien Ihrer organization in Microsoft Security Copilot hochladen, um die Empfehlungen für die geführte Antwort zu verbessern.

Voraussetzungen

  • Sie müssen mindestens ein Sicherheitsadministrator sein, um Dateien hochladen, genehmigen oder löschen zu können. Sicherheitsoperatoren können die Leitbücher überprüfen, aber nicht verwalten.
  • Ihre organization-spezifischen Richtlinien sollten in einem unterstützten Format (PDF, DOCX, TXT) vorliegen und die maximale Dateigröße von 3 MB nicht überschreiten.

Schritte zum Anpassen der geführten Antwort von Copilot mithilfe des Leitfadens Ihres organization

Laden Sie Ihr Guidebook aus den Copilot-Einstellungen hoch. Sie können auf zwei Arten dorthin gelangen:

  • Wählen Sie im Microsoft Defender-Portal inbenutzerdefinierten Defender-Guidebooks>Die Option Systemeinstellungen>>Copilotaus.

    Screenshot: Hinzufügen von benutzerdefinierten Guidebooks aus den Einstellungen

  • Wechseln Sie im Bereich Copilot-Aufgaben innerhalb eines Incidents zu Aufgaben aus Ihrem eigenen Leitfaden erstellen , und wählen Sie Copilot-Einstellungen öffnen aus.

    Screenshot: Öffnen der Copilot-Einstellungen im Aufgabenbereich

Gehen Sie dann wie folgt vor:

  1. Wählen Sie Neues Guidebook hinzufügen aus.

  2. Wählen Sie Datei hochladen aus.

  3. Navigieren Sie zum Dateispeicherort, wählen Sie die Datei aus, und wählen Sie dann Generieren aus.

  4. Navigieren Sie nach dem Hochladen der Datei zur Registerkarte Ausstehende Überprüfung .

    Screenshot der Registerkarte

  5. Auf der Registerkarte Ausstehende Überprüfung werden die neuen Empfehlungen basierend auf dem hochgeladenen Leitfaden angezeigt. Überprüfen Sie die Datei, um sicherzustellen, dass sie die Standards Ihrer organization erfüllt. Wählen Sie den Namen des Leitfadens aus, und überprüfen Sie die vorgeschlagenen generierten Aufgaben.

  6. Wenn das Handbuch Ihren Standards entspricht, wählen Sie Genehmigen und aktivieren aus, um es für die Verwendung in geführten Antworten verfügbar zu machen. Wenn es Ihren Standards nicht entspricht, wählen Sie Löschen aus, um es zu entfernen.

    Screenshot der Schaltfläche

  7. Stellen Sie sicher, dass das Guidebook auf der Registerkarte Guidebooks als aktiv angezeigt wird. Um es später zu deaktivieren, wählen Sie das Handbuch und dann Deaktivieren aus.

    Screenshot der Registerkarte

Copilot priorisiert die benutzerdefinierten Leitbücher Ihrer organization gegenüber den von Microsoft bereitgestellten Standardanleitungen. Wenn mehrere Guidebooks relevant sind, verwendet Copilot das, das dem Incidentkontext am besten entspricht.

Screenshot der vorgeschlagenen Antworten basierend auf den benutzerdefinierten Guidebooks.

Sie haben die Möglichkeit, Feedback zur Effektivität der geführten Antworten zu geben, die aus den Leitbüchern Ihrer organization generiert werden. Dieses Feedback trägt dazu bei, zukünftige Empfehlungen zu verbessern.

Screenshot des Feedbackfensters für geführte Antworten.

Bewährte Methoden zum Erstellen effektiver Guidebooks

Beispiele für microsoft-eigene Playbooks zur Reaktion auf Vorfälle finden Sie unter Playbooks zur Reaktion auf Vorfälle.

Beachten Sie beim Erstellen der Organization-Leitbücher, dass das Handbuch nur Text lesen kann. Vermeiden Sie die Verwendung von Bildern, Graphen oder komplexen Formatierungen, die die Textextraktion behindern können.

  • Last updated on