你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel 在 Azure 门户中应用 Security Copilot 的功能来创建丰富的事件摘要,通过合并来自多个警报的信息来提供安全事件的全面概述。 此功能通过提供清晰的摘要来帮助您的安全运营团队快速了解事件的范围和影响,从而提高事件响应效率。 它提供了一个结构化的概述,包括时间线、涉及的资产和入侵指标,以及用户风险、设备风险和监视列表匹配等丰富内容。 这些摘要为分析师提供了评估攻击范围和影响的调查路径。 有关详细信息,请参阅 在 Azure 门户中导航、会审和管理 Microsoft Sentinel 事件。
如果已将 Microsoft Sentinel 载入 Defender 门户,则可以直接在 Defender 门户中移动到同一事件,并按照其中的引导式调查过程进行作。 有关详细信息,请参阅使用 Microsoft Defender 中 Security Copilot 的引导式响应对事件进行会审和调查。
本指南概述了预期内容以及如何访问 Microsoft Sentinel 中 Copilot 的摘要功能,包括有关提供反馈的信息。
重要
Microsoft Sentinel 的 Copilot 事件摘要功能目前提供预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
在开始之前了解
如果你是 Security Copilot 的新用户,则应阅读以下文章自行熟悉它:
- 什么是Microsoft安全Copilot?
- Microsoft Security Copilot 的体验
- Microsoft Security Copilot入门
- 了解 Microsoft Security Copilot 中的身份验证机制
- 在 Microsoft 安全 Copilot 中发送提示词
Security Copilot 与 Microsoft Sentinel 的集成
事件摘要功能在 Azure 门户的 Microsoft Sentinel 中为已预配了 Security Copilot 访问权限的客户提供。
此功能在 Defender 门户中也可用,并通过 Microsoft Sentinel 插件在 Security Copilot 独立体验中提供。 详细了解 Security Copilot 中的预安装插件。
主要功能
包含最多 100 个警报的事件可以汇总到一个事件摘要中。 根据数据的可用性,事件摘要包括以下信息:
- 攻击开始的时间和日期。
- 发起攻击的实体或资产。
- 关于攻击如何展开的时间表摘要。
- 攻击所涉及的资产。
- 入侵指标 (IoC)。
- 涉及的威胁行动者的名称。
- 用户风险和关键性。
- 设备风险和关键性。
- 监视列表匹配项。
当您打开事件页面时,Copilot 会自动生成事件摘要。 事件摘要显示在事件页面的详细信息窗格顶部,位于描述之前。
选择 Show more (显示更多 ) 以展开摘要以查看其完整内容。
小窍门
可以通过单击结果中的证据,从 Copilot 结果窗格导航到文件、IP 或 URL 页。
查看摘要并使用信息指导调查和响应事件。