Resumir un incidente con Microsoft Copilot en Microsoft Defender

Microsoft Defender XDR aplica las capacidades de Copilot para seguridad para resumir los incidentes, proporcionando información e información impactantes para simplificar las tareas de investigación. La investigación de ataques es un paso crucial para que los equipos de respuesta a incidentes defiendan correctamente una organización contra daños adicionales de una ciberamenaza. Las investigaciones suelen llevar mucho tiempo, ya que implican numerosos pasos. Los equipos de respuesta a incidentes deben comprender cómo se produjo el ataque: ordenar numerosas alertas, identificar qué recursos y entidades están implicados y evaluar el ámbito y el impacto de un ataque.

En esta guía se describe qué esperar y cómo acceder a la funcionalidad de resumen de Copilot en Defender, incluida la información sobre cómo proporcionar comentarios.

Saber antes de empezar

Si no está familiarizado con Copilot for Security, debe familiarizarse con él leyendo los artículos siguientes:

Los respondedores de incidentes pueden obtener fácilmente el contexto adecuado para investigar y corregir incidentes a través de las capacidades de correlación de XDR de Defender y la contextualización y el procesamiento de datos basados en inteligencia artificial de Copilot para seguridad. Con un resumen del incidente, los responsables de la respuesta pueden obtener rápidamente información importante para ayudar en su investigación.

Integración de Copilot for Security en Microsoft Defender

La funcionalidad de resumen de incidentes está disponible en el portal de Microsoft Defender para los clientes que han aprovisionado el acceso a Copilot for Security.

Esta funcionalidad también está disponible en la experiencia independiente de Copilot para seguridad a través del complemento Microsoft Defender XDR. Más información sobre Complementos preinstalados en Copilot para seguridad.

Características principales

Los incidentes que contengan hasta 100 alertas pueden resumirse en un resumen de incidente. En función de la disponibilidad de los datos, un resumen de incidentes incluye lo siguiente:

  • La hora y la fecha en que comenzó un ataque.
  • La entidad o activo donde se inició el ataque.
  • Un resumen de líneas de tiempo sobre cómo se desarrolló el atentado.
  • Los recursos implicados en el ataque.
  • Indicadores de peligro (IOC).
  • Nombres de los actores de amenazas implicados.

Para resumir un incidente, realice los siguientes pasos:

  1. Abra una página de incidente. Copilot crea automáticamente un resumen de incidentes al abrir la página. Para detener la creación de resumen, seleccione Cancelar o reiniciar la creación; para ello, seleccione Regenerar.

  2. La tarjeta de resumen de incidentes se carga en el panel de Copilot. Revise el resumen generado en la tarjeta.

    Captura de pantalla que muestra la tarjeta de resumen de incidentes en el panel Copilot, como se muestra en la página Microsoft Defender incidente.

    Sugerencia

    Puede navegar a una página de archivo, dirección IP o dirección URL desde el panel de resultados de Copilot haciendo clic en la evidencia de los resultados.

  3. Seleccione el Más acciones puntos suspensivos (...) en la parte superior de la tarjeta de resumen de incidentes para copiar o volver a generar el resumen, o bien vea el resumen en el portal de Copilot para seguridad. Al seleccionar Abrir en Copilot para seguridad se abre una nueva pestaña en el portal independiente de Copilot para seguridad, donde puede especificar mensajes y acceder a otros complementos.

    Captura de pantalla que muestra las acciones disponibles en la tarjeta de resumen de incidentes.

  4. Revise el resumen y use la información para guiar su investigación y respuesta al incidente.

Símbolo del sistema de resumen de incidentes de ejemplo

En el portal independiente de Copilot for Security, puede usar el siguiente aviso para generar resúmenes de incidentes:

  • Proporcione un resumen del incidente de Defender {id. de incidente}.

Sugerencia

Al generar un resumen de incidentes en el portal de Copilot for Security, Microsoft recomienda incluir la palabra Defender en sus mensajes para asegurarse de que la funcionalidad de resumen de incidentes entrega los resultados.

Enviar comentarios

Microsoft le anima encarecidamente a proporcionar comentarios a Copilot, ya que es fundamental para la mejora continua de una funcionalidad. Puede proporcionar comentarios sobre el resumen seleccionando el icono de comentarios captura de pantalla del icono de comentarios de Copilot en las tarjetas de Defender que se encuentra en la parte inferior del panel Copilot.

Vea también

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.