Resumir um incidente com o Microsoft Copilot no Microsoft Defender

Microsoft Defender XDR aplica as capacidades do Security Copilot para resumir incidentes, fornecendo informações e informações com impacto para simplificar as tarefas de investigação. A investigação de ataques é um passo crucial para as equipas de resposta a incidentes defenderem com êxito uma organização contra mais danos de uma ciberameaça. Muitas vezes, as investigações podem ser morosas, uma vez que envolvem vários passos. As equipas de resposta a incidentes têm de compreender como ocorreu o ataque: ordenar através de vários alertas, identificar que recursos e entidades estão envolvidos e avaliar o âmbito e o impacto de um ataque.

Este manual de instruções descreve o que esperar e como aceder à capacidade de resumo do Copilot no Defender, incluindo informações sobre como fornecer feedback.

Saiba antes de começar

Se não estiver familiarizado com Security Copilot, deve familiarizar-se com o mesmo ao ler os seguintes artigos:

• O que é Security Copilot?
• experiências de Security Copilot
• Introdução ao Security Copilot
• Compreender a autenticação no Security Copilot
• Pedir em Security Copilot

Os participantes a incidentes podem facilmente obter o contexto certo para investigar e remediar incidentes através das capacidades de correlação do Defender XDR e do processamento e contextualização de dados baseados em IA do Security Copilot. Com um resumo de incidentes, os participantes podem obter rapidamente informações importantes para ajudar na sua investigação.

integração do Security Copilot no Microsoft Defender

A capacidade de resumo de incidentes está disponível no portal do Microsoft Defender para clientes que tenham acesso a Security Copilot.

Esta capacidade também está disponível no Security Copilot experiência autónoma através do plug-in Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Security Copilot.

Funcionalidades principais

Os incidentes que contenham até 100 alertas podem ser resumidos num resumo de incidente. Um resumo de incidente, dependendo da disponibilidade dos dados, inclui o seguinte:

• A hora e a data em que um ataque foi iniciado.
• A entidade ou recurso onde o ataque foi iniciado.
• Um resumo das linhas cronológicas de como o ataque foi desvendado.
• Os recursos envolvidos no ataque.
• Indicadores de comprometimento (IOCs).
• Nomes dos agentes de ameaça envolvidos.

Para resumir um incidente, execute os seguintes passos:

1. Abra uma página de incidente. O Copilot cria automaticamente um resumo do incidente ao abrir a página. Pode parar a criação do resumo ao selecionar Cancelar ou reiniciar a criação ao selecionar Regenerar.

2. O cartão de resumo do incidente é carregado no painel do Copilot. Reveja o resumo gerado no cartão.

   

   Sugestão

   Pode navegar para uma página de ficheiros, IP ou URL a partir do painel de resultados do Copilot, ao clicar nas provas que aparecem nos resultados.

3. Selecione as reticências mais ações (...) na parte superior do cartão de resumo do incidente para copiar ou regenerar o resumo ou ver o resumo no portal do Security Copilot. Selecionar a opção Abrir no Security Copilot abrirá um novo separador para o portal autónomo do Security Copilot, onde poderá inserir pedidos e aceder a outros plug-ins.

   

4. Avalie o resumo e utilize as informações para orientar a sua investigação e resposta a incidentes.

Pedido de resumo de incidentes de exemplo

No portal autónomo Security Copilot, pode utilizar o seguinte pedido para gerar resumos de incidentes:

• Forneça um resumo para o incidente do Defender {incident ID}.

Fornecer comentários

A Microsoft incentiva-o vivamente a fornecer feedback à Copilot, uma vez que é crucial para a melhoria contínua de uma capacidade. Pode dar feedback sobre o resumo. ao selecionar o ícone de feedback que se encontra na parte inferior do painel do Copilot.

Consulte também

• Saiba mais sobre outras experiências incorporadas do Security Copilot
• Privacidade e segurança de dados no Security Copilot