Triage e investigación de incidentes con respuestas guiadas de Microsoft Copilot en Microsoft Defender

Microsoft Copilot para seguridad en el portal de Microsoft Defender admite equipos de respuesta a incidentes para resolver incidentes inmediatamente con respuestas guiadas. Copilot en Defender usa las funcionalidades de inteligencia artificial y aprendizaje automático para contextualizar un incidente y aprender de investigaciones anteriores para generar las acciones de respuesta adecuadas.

En esta guía se describe cómo acceder a la funcionalidad de respuesta guiada, incluida información sobre cómo proporcionar comentarios sobre las respuestas.

Saber antes de empezar

Si no está familiarizado con Copilot for Security, debe familiarizarse con él leyendo los artículos siguientes:

Responder a incidentes en el portal de Microsoft Defender a menudo requiere estar familiarizado con las acciones disponibles del portal para detener los ataques. Además, los nuevos usuarios que responden ante incidentes pueden tener diferentes ideas sobre dónde y cómo empezar a responder a los incidentes. La funcionalidad de respuesta guiada de Copilot en Defender permite a los equipos de respuesta a incidentes de todos los niveles aplicar acciones de respuesta con confianza y rapidez para resolver incidentes con facilidad.

Integración de Copilot for Security en Microsoft Defender

Las respuestas guiadas están disponibles en el portal de Microsoft Defender para los clientes que han aprovisionado el acceso a Copilot for Security.

Las respuestas guiadas también están disponibles en la experiencia independiente de Copilot for Security a través del complemento Microsoft Defender XDR. Más información sobre Complementos preinstalados en Copilot para seguridad.

Características principales

Las respuestas guiadas recomiendan acciones en las siguientes categorías:

  • Clasificación: incluye una recomendación para clasificar los incidentes como informativos, verdaderos positivos o falsos positivos
  • Contención: incluye acciones recomendadas para contener un incidente
  • Investigación: incluye acciones recomendadas para una investigación más detallada
  • Corrección: incluye acciones de respuesta recomendadas que se aplican a entidades específicas implicadas en un incidente

Cada tarjeta contiene información sobre la acción recomendada, incluida la entidad en la que se debe aplicar la acción y por qué se recomienda la acción. Las tarjetas también resaltan cuándo se realizó una acción recomendada mediante una investigación automatizada, como la interrupción del ataque o la respuesta de investigación automatizada.

Las tarjetas de respuesta guiada se pueden ordenar en función del estado disponible para cada tarjeta. Puede seleccionar un estado específico al ver las respuestas guiadas haciendo clic en Estado y seleccionando el estado adecuado que desea ver. Todas las tarjetas de respuesta guiada, independientemente del estado, se muestran de forma predeterminada.

Captura de pantalla que muestra el estado de las respuestas en el panel Copilot de la página Microsoft Defender incidente.

Para usar respuestas guiadas, realice los pasos siguientes:

  1. Abra una página de incidente. Copilot genera automáticamente respuestas guiadas al abrir una página de incidentes. El panel Copilot aparece en el lado derecho de la página del incidente, donde se muestran las tarjetas de respuesta guiada.

    Captura de pantalla que muestra el panel Copilot con las respuestas guiadas en la página Microsoft Defender incidente.

  2. Revise cada tarjeta antes de aplicar las recomendaciones. Seleccione los puntos suspensivos (...) de Más acciones en la parte superior de una tarjeta de respuesta para ver las opciones disponibles para cada recomendación. A continuación se describen algunos ejemplos:

    Captura de pantalla que muestra las opciones disponibles para los usuarios en una tarjeta de respuesta guiada en el panel lateral de Copilot.

    Captura de pantalla que muestra las opciones disponibles para los usuarios en una tarjeta de respuesta de automatización en el panel Copilot de Microsoft Defender XDR.

  3. Para aplicar una acción, seleccione la acción deseada que se encuentra en cada tarjeta. La acción de respuesta guiada en cada tarjeta se adapta al tipo de incidente y a la entidad específica implicada.

    Captura de pantalla que muestra las tarjetas de respuesta guiadas en el panel Copilot de Microsoft Defender.

  4. Puede proporcionar comentarios a cada tarjeta de respuesta para mejorar continuamente las respuestas futuras de Copilot. Para proporcionar comentarios, seleccione el icono de comentarios Captura de pantalla que muestra el icono de comentarios de Copilot en las tarjetas de Defender que se encuentran en la parte inferior derecha de cada tarjeta.

Nota:

Los botones de acción atenuados significan que estas acciones están limitadas por su permiso. Consulte la página de permisos de acceso basado en roles (RBAC) unificados para obtener más información.

Copilot ayuda a acelerar las tareas de investigación de los analistas. Cuando un incidente requiere una investigación adicional sobre una actividad de usuario, Copilot sugiere texto que los analistas pueden usar para comunicarse con un usuario. La tarjeta de respuesta guiada incluye un usuario de contacto en Teams o una acción Copiar en el Portapapeles que copia el texto sugerido en el Portapapeles. A continuación, los analistas pueden pegar el texto en un correo electrónico u otra herramienta de comunicación. El analista también puede obtener más contexto sobre el usuario mediante la acción Ver usuario .

Captura de pantalla que muestra el texto sugerido para la comunicación en una tarjeta de respuesta guiada.

Copilot también admite equipos de respuesta a incidentes al permitir que los analistas obtengan más contexto sobre las acciones de respuesta con información adicional. Para las respuestas de corrección, los equipos de respuesta a incidentes pueden ver información adicional con opciones como Ver incidentes similares o Ver correos electrónicos similares.

La acción Ver incidentes similares está disponible cuando hay otros incidentes dentro de la organización que son similares al incidente actual. En la pestaña Incidentes similares se enumeran los incidentes similares que puede revisar. Microsoft Defender identifica automáticamente incidentes similares dentro de la organización a través del aprendizaje automático. Los equipos de respuesta a incidentes pueden usar la información de estos incidentes similares para clasificar los incidentes y revisar aún más las acciones realizadas en esos incidentes similares.

La acción Ver correos electrónicos similares, que es específica de los incidentes de suplantación de identidad (phishing), le lleva a la página Búsqueda avanzada de amenazas, donde se genera automáticamente una consulta KQL para enumerar correos electrónicos similares dentro de la organización. Esta generación automática de consultas relacionadas con un incidente ayuda a los equipos de respuesta a incidentes a investigar más a fondo otros correos electrónicos que podrían estar relacionados con el incidente. Puede revisar la consulta y modificarla según sea necesario.

Solicitud de respuestas guiadas de ejemplo

En el portal independiente de Copilot for Security, puede usar el siguiente aviso para generar respuestas guiadas:

  • Genere respuestas guiadas y recomendaciones para el incidente de Defender {id. de incidente}.

Sugerencia

Al generar respuestas guiadas en el portal de Copilot for Security, Microsoft recomienda incluir la palabra Defender en sus mensajes para asegurarse de que la funcionalidad de respuestas guiadas proporciona los resultados.

Enviar comentarios

Microsoft le anima encarecidamente a proporcionar comentarios a Copilot, ya que es fundamental para la mejora continua de una funcionalidad. Para proporcionar comentarios, vaya a la parte inferior del panel lateral de Copilot y seleccione el icono de comentarios Captura de pantalla del icono de comentarios de Copilot en las tarjetas de Defender.

Vea también

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.