Kịch bản CNTT: Thực hiện điều tra sự cố bảo mật

Tải xuống hướng dẫn kịch bản
Có sẵn với: Copilot cho bảo mật Cấp độ kịch bản:
Mua

KPI bị ảnh hưởng

Chi phí quản lý CNTT

Thời gian ngừng hoạt động của ứng dụng

Giá trị lợi ích

Tiết kiệm chi phí

Kinh nghiệm của nhân viên

Sử dụng Copilot để thực hiện điều tra sự cố bảo mật


1. Tóm tắt sự việc

Một nhà phân tích bảo mật muốn có bản tóm tắt về sự cố trong Defender XDR hoặc Unified Security Operations Platform.

Copilot icon

Copilot cho bảo mật

Yêu cầu: Tóm tắt sự cố Defender

Hoạt động trong nhúng: Hoặc mở trang sự cố và nhấp vào SỰ CỐ trong cổng thông tin Defender XDR hoặc nền tảng Unified SecOps

2. Phản hồi có hướng dẫn

Nhà phân tích muốn kiểm tra cách ứng phó với sự cố.

Copilot icon

Copilot cho bảo mật

Yêu cầu: Phản ứng thế nào trước sự cố này?

Hoạt động trong nhúng: Phản hồi có hướng dẫn cung cấp các hành động có thể được thực hiện để khắc phục sự cố

3. Danh tiếng IP

Nhà phân tích muốn kiểm tra xem địa chỉ IP có liên quan có thuộc về tác nhân đe dọa đã biết hay không.

Copilot icon

Copilot cho bảo mật

Yêu cầu: Danh tiếng của các địa chỉ IPv4 được quan sát thấy trong sự cố này như thế nào?

4. Thiết bị bị ảnh hưởng

Nhà phân tích muốn kiểm tra thiết bị người dùng nào có thể bị ảnh hưởng khi tạo truy vấn KQL.

Copilot icon

Copilot cho bảo mật

Lời nhắc: Nếu người dùng được liệt kê trong chi tiết sự cố, hãy hiển thị những thiết bị họ đã sử dụng gần đây và cho biết liệu họ có tuân thủ chính sách hay không.

Hoạt động trong nhúng: Sử dụng tùy chọn Tạo truy vấn KQL để săn tìm nâng cao để có trải nghiệm được hướng dẫn

5. Kiểm tra bản cập nhật hệ điều hành

Nhà phân tích kiểm tra xem các thiết bị bị ảnh hưởng có bản cập nhật hệ điều hành mới nhất hay không.

Copilot icon

Copilot cho bảo mật

Lời nhắc: Nếu bất kỳ thiết bị nào được liệt kê trong đầu ra trước đó, hãy hiển thị thông tin chi tiết từ Intune trên thiết bị đã kiểm tra gần đây nhất. Đặc biệt chỉ ra nếu thiết bị đó hiện đang có tất cả các bản cập nhật hệ điều hành.

6. Tạo báo cáo

Tạo báo cáo sự cố để ghi lại sự cố và trao đổi với nhóm lãnh đạo.

Copilot icon

Copilot cho bảo mật

Yêu cầu: Viết một báo cáo điều hành tóm tắt cuộc điều tra này. Báo cáo này phải phù hợp với đối tượng không phải là chuyên gia kỹ thuật.

1Truy cập Copilot tại copilot.microsoft.com hoặc ứng dụng di động Microsoft Copilot và đặt chuyển đổi thành “Web”.

2Truy cập Trò chuyện kinh doanh tại copilot.microsoft.com hoặc ứng dụng di động Microsoft Copilot và đặt chuyển đổi thành “Web”.

3Các tác nhân Copilot cho phép Microsoft 365 Copilot truy cập vào các ứng dụng dành riêng cho tổ chức của bạn. Trước đây, điều này sẽ yêu cầu lệnh gọi API để lấy dữ liệu từ hệ thống lưu trữ. Nội dung trong ví dụ này chỉ nhằm mục đích trình diễn. Bạn nên đánh giá xem Copilot phù hợp với quy trình kinh doanh, yêu cầu theo quy định và nguyên tắc AI có trách nhiệm của tổ chức bạn như thế nào.

Nội dung trong kịch bản ví dụ này chỉ nhằm mục đích trình diễn. Bạn nên đánh giá mức độ phù hợp của Copilot với quy trình kinh doanh, yêu cầu pháp lý và nguyên tắc AI có trách nhiệm của tổ chức bạn.