Partilhar via

Triagem e investigação de incidentes com respostas orientadas do Microsoft Copilot no Microsoft Defender

  • Artigo
  • Aplica-se a:
    Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Security Copilot no portal do Microsoft Defender suporta as equipas de resposta a incidentes na resolução imediata de incidentes com respostas guiadas. O Copilot no Defender utiliza funcionalidades de IA e aprendizagem automática para contextualizar um incidente e aprender com investigações anteriores para gerar ações de resposta adequadas.

Este guia descreve como aceder à capacidade de resposta orientada, incluindo informações sobre como fornecer feedback sobre as respostas.

Saiba antes de começar

Se não estiver familiarizado com Security Copilot, deve familiarizar-se com o mesmo ao ler os seguintes artigos:

Responder a incidentes no portal do Microsoft Defender muitas vezes requer familiaridade com as ações disponíveis do portal para parar os ataques. Além disso, novas pessoas que respondem a incidentes podem ter ideias diferentes sobre onde e como começar a responder a incidentes. A capacidade de resposta orientada do Copilot no Defender permite que as equipas de resposta a incidentes em todos os níveis apliquem ações de resposta com confiança e rapidez para resolver incidentes com facilidade.

integração do Security Copilot no Microsoft Defender

As respostas guiadas estão disponíveis no portal do Microsoft Defender para clientes que tenham acesso a Security Copilot.

As respostas guiadas também estão disponíveis na experiência autónoma Security Copilot através do plug-in Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Security Copilot.

Funcionalidades principais

As respostas orientadas recomendam ações nas seguintes categorias:

  • Triagem - inclui uma recomendação para classificar incidentes como informativos, verdadeiros positivos ou falsos positivos
  • Contenção - inclui ações recomendadas para conter um incidente
  • Investigação - inclui ações recomendadas para uma investigação adicional
  • Remediação – inclui ações de resposta recomendadas para aplicar a entidades específicas envolvidas num incidente

Cada cartão contém informações sobre a ação recomendada, incluindo a entidade onde a ação precisa ser aplicada e o motivo pelo qual a ação é recomendada. Os cartões também enfatizam quando uma ação recomendada foi realizada por uma investigação automatizada, como a interrupção de ataques ou a resposta automatizada a investigações.

Os cartões de resposta orientada podem ser ordenados com base no estado disponível para cada cartão. Pode selecionar um estado específico ao ver as respostas orientadas ao clicar em Estado e selecionar o estado adequado que pretende ver. Todos os cartões de resposta orientada, independentemente do estado, são apresentados por predefinição.

Captura de ecrã que mostra o estado das respostas no painel Copilot na página Microsoft Defender incidente.

Para utilizar respostas orientadas, execute os seguintes passos:

  1. Abra uma página de incidente. O Copilot gera automaticamente respostas orientadas ao abrir uma página de incidente. O painel Copilot aparece no lado direito da página de incidente, a mostrar os cartões de resposta orientada.

    Captura de ecrã que mostra o painel Copilot com as respostas guiadas na página Microsoft Defender incidente.

  2. Reveja cada cartão antes de aplicar as recomendações. Selecione a elipse Mais ações (...) na parte superior de um cartão de resposta para ver as opções disponíveis para cada recomendação. Eis alguns exemplos.

    Captura de ecrã que mostra as opções disponíveis para os utilizadores num cartão de resposta guiado no painel lateral copilot.

    Captura de ecrã que mostra as opções disponíveis para os utilizadores num cartão de resposta de automatização no painel Copilot no Microsoft Defender XDR.

  3. Para aplicar uma ação, selecione a ação desejada encontrada em cada cartão. A ação de resposta orientada em cada cartão é adaptada ao tipo de incidente e à entidade específica envolvida.

    Captura de ecrã que mostra os cartões de resposta guiados no painel Copilot no Microsoft Defender.

  4. Pode fornecer feedback a cada cartão de resposta para melhorar continuamente as respostas futuras do Copilot. Para fornecer feedback, selecione o ícone de feedback Captura de ecrã que mostra o ícone de feedback de Copilot nos cartões do Defender encontrados no canto inferior direito de cada cartão.

Nota

Os botões de ação a cinzento significam que estas ações estão limitadas pela sua permissão. Consulte a página de permissões unificadas de acesso baseado em funções (RBAC) para obter mais informações.

O Copilot ajuda a acelerar as tarefas de investigação dos analistas. Quando um incidente requer uma investigação mais aprofundada sobre uma atividade de utilizador, a Copilot sugere texto que os analistas podem utilizar para comunicar com um utilizador. O cartão de resposta guiada inclui uma ação Contactar utilizador no Teams ou Copiar para a área de transferência que copia o texto sugerido para a área de transferência. Em seguida, os analistas podem colar o texto num e-mail ou noutra ferramenta de comunicação. O analista também pode obter mais contexto sobre o utilizador através da ação Ver utilizador .

Captura de ecrã que mostra o texto sugerido para comunicação num cartão de resposta guiado.

O Copilot também suporta equipas de resposta a incidentes ao permitir que os analistas obtenham mais contexto sobre as ações de resposta com informações adicionais. Para respostas de remediação, as equipas de resposta a incidentes podem ver informações adicionais com opções como Ver incidentes semelhantes ou Ver e-mails semelhantes.

A ação Ver incidentes semelhantes fica disponível quando existem outros incidentes na organização semelhantes ao incidente atual. O separador Incidentes semelhantes lista incidentes semelhantes que pode rever. O Microsoft Defender identifica automaticamente incidentes semelhantes na organização através da aprendizagem automática. As equipas de resposta a incidentes podem utilizar as informações destes incidentes semelhantes para classificar incidentes e rever ainda mais as ações realizadas nesses incidentes semelhantes.

A ação Ver e-mails semelhantes, que é específica para incidentes de phishing, leva-o para a página de investigação avançada, onde é gerada automaticamente uma consulta KQL para listar e-mails semelhantes dentro da organização. Esta geração automática de consultas relacionada com um incidente ajuda as equipas de resposta a incidentes a investigarem ainda mais outros e-mails que possam estar relacionados com o incidente. Pode rever a consulta e modificá-la conforme necessário.

Pedido de respostas guiadas de exemplo

No portal Security Copilot autónomo, pode utilizar o seguinte pedido para gerar respostas orientadas:

  • Gerar respostas guiadas e recomendações para o incidente do Defender {incident ID}.

Sugestão

Ao gerar respostas orientadas no portal do Security Copilot, a Microsoft recomenda que inclua a palavra Defender nos seus pedidos para garantir que a capacidade de respostas orientadas fornece os resultados.

Fornecer comentários

A Microsoft incentiva-o vivamente a fornecer feedback à Copilot, uma vez que é crucial para a melhoria contínua de uma capacidade. Para fornecer feedback, navegue para a parte inferior do painel lateral copilot e selecione o ícone de feedback Captura de ecrã do ícone de feedback para o Copilot nos cartões do Defender.

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.