Partager via


Résumer un incident avec Microsoft Copilot dans Microsoft Defender

Microsoft Defender XDR applique les fonctionnalités de Copilot pour la sécurité pour résumer les incidents, fournissant ainsi des informations et des insights percutants pour simplifier les tâches d’enquête. L'enquête sur les attaques est une étape cruciale pour les équipes de réponse aux incidents afin de réussir à défendre une organisation contre d'autres dommages causés par une cybermenace. Les investigations peuvent souvent prendre beaucoup de temps, car elles impliquent de nombreuses étapes. Les équipes de réponse aux incidents doivent comprendre comment l'attaque s'est produite : trier les nombreuses alertes, identifier les actifs et les entités impliqués et évaluer la portée et l'impact d'une attaque.

Ce guide décrit ce à quoi vous devez vous attendre et comment accéder à la fonctionnalité de synthèse de Copilot dans Defender, y compris des informations sur la fourniture de commentaires.

Bon à savoir avant de commencer

Si vous débutez avec Copilot for Security, vous devez vous y familiariser en lisant les articles suivants :

Les équipes de réponse aux incidents peuvent facilement obtenir le contexte approprié pour enquêter et remédier aux incidents grâce aux fonctionnalités de corrélation de Defender XDR et au traitement et à la contextualisation des données basés sur l’IA de Copilot pour la sécurité. Grâce à un résumé de l'incident, les intervenants peuvent obtenir rapidement des informations importantes qui les aideront dans leur enquête.

Intégration de Copilot for Security dans Microsoft Defender

La fonctionnalité de résumé des incidents est disponible dans le portail Microsoft Defender pour les clients qui disposent d’un accès provisionné à Copilot for Security.

Cette fonctionnalité est également disponible dans l’expérience autonome Copilot pour la sécurité par le biais du plug-in Microsoft Defender XDR. En savoir plus sur les plug-ins préinstallés dans Copilot pour la sécurité.

Principales fonctionnalités

Les incidents contenant jusqu'à 100 alertes peuvent être résumés dans un seul résumé d'incident. Un résumé de l'incident, en fonction de la disponibilité des données, comprend les éléments suivants :

  • L'heure et la date du début d'une attaque.
  • L'entité ou l'actif où l'attaque a commencé.
  • Un résumé des chronologies du déroulement de l’attaque.
  • Les actifs impliqués dans l’attaque.
  • Indicateurs de compromission (IOC).
  • Noms des acteurs de la menace impliqués.

Pour résumer un incident, effectuez les étapes suivantes :

  1. Ouvrez une page d'incident. Copilot crée automatiquement un résumé de l’incident à l’ouverture de la page. Vous pouvez arrêter la création du résumé en sélectionnant Annuler ou redémarrer la création en sélectionnant Régénérer.

  2. La fiche récapitulative des incidents se charge dans le volet Copilot. Consultez le résumé généré sur la carte.

    Capture d’écran montrant le résumé de l’incident carte dans le volet Copilot, comme indiqué dans la page d’incident Microsoft Defender.

    Conseil

    Vous pouvez accéder à un fichier, une adresse IP ou une page d’URL à partir du volet de résultats Copilot en cliquant sur la preuve dans les résultats.

  3. Sélectionnez les points de suspension (...) Autres actions en haut de la carte récapitulative des incidents pour copier ou régénérer le résumé, ou afficher le résumé dans le portail Copilot pour la sécurité. La sélection de l’option Ouvrir dans Copilot pour la sécurité ouvre un nouvel onglet sur le portail autonome Copilot pour la sécurité où vous pouvez entrer des requêtes et accéder à d’autres plugins.

    Capture d’écran montrant les actions disponibles sur le résumé de l’incident carte.

  4. Vérifiez le résumé et utilisez les informations pour guider votre enquête et votre réponse à l’incident.

Exemple d’invite de résumé d’incident

Dans le portail autonome Copilot for Security, vous pouvez utiliser l’invite suivante pour générer des résumés des incidents :

  • Fournissez un résumé de l’incident Defender {ID d’incident}.

Conseil

Lors de la génération d’un résumé des incidents dans le portail Copilot for Security, Microsoft recommande d’inclure le mot Defender dans vos invites pour vous assurer que la fonctionnalité de synthèse des incidents fournit les résultats.

Envoyer des commentaires

Microsoft vous encourage vivement à fournir des commentaires à Copilot, car il est essentiel pour l’amélioration continue d’une fonctionnalité. Vous pouvez fournir des commentaires sur le résumé en sélectionnant l’icône de commentaires Capture d’écran de l’icône de commentaires pour Copilot dans les cartes Defender situées en bas du volet Copilot.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.