Microsoft Defender门户中的智能 Microsoft Security Copilot 副驾驶®支持事件响应团队使用引导响应立即解决事件。 Defender 中的 Copilot 使用 AI 和机器学习功能将事件上下文化,并从以前的调查中学习,以生成适当的响应操作。
本指南概述了如何上传组织的特定准则以智能 Microsoft Security Copilot 副驾驶®,以提高引导响应建议的相关性和有效性。
先决条件
- 必须至少是安全管理员才能上传、批准或删除文件。 安全操作员可以查看指南,但不能对其进行管理。
- 你的组织特定准则应采用 pdf、DOCX、TXT) (支持的格式,并且不应超过最大文件大小限制 3 MB。
使用组织的指南来自定义 Copilot 的引导响应的步骤
从 Copilot 设置上传指南。 可以通过以下两种方式之一实现此目的:
在Microsoft Defender门户中,选择“Defender >自定义指南中的系统>设置>”“Copilot”。
在事件内的“Copilot 任务”窗格中,转到 “从你自己的指南创建任务 ”,然后选择“ 打开 Copilot 设置”。
然后,按照以下步骤操作:
选择 “添加新指南”。
选择 “上传文件”。
浏览到文件位置,选择文件,然后选择“ 生成”。
上传文件后,转到 “挂起审阅 ”选项卡。
“挂起的审阅”选项卡显示基于上传的指南的新建议。 查看文件,确保它符合组织的标准。 选择指南名称并查看建议的生成任务。
如果指南符合标准,请选择“ 批准并激活 ”,使其可用于引导响应。 如果不符合标准,请选择“ 删除 ”将其删除。
请确保指南在“ 指南 ”选项卡中显示为活动指南。若要稍后停用,请选择指南,然后选择 “停用”。
Copilot 会将组织的自定义指南优先于 Microsoft 提供的默认指南。 如果多个指南相关,则 Copilot 将使用与事件上下文最匹配的指南。
你有机会就从组织的指南中生成的引导性响应的有效性提供反馈。 此反馈有助于改进将来的建议。
创建有效指南的最佳做法
有关Microsoft自己的事件响应 playbook 的示例,请参阅 事件响应 playbook。
创建组织的指南时,请记住,该指南只能阅读文本。 避免使用可能妨碍文本提取的图像、图形或复杂格式。