Microsoft Copilot pour la sécurité et Microsoft Defender Threat Intelligence

Microsoft Copilot pour la sécurité est une plateforme d’intelligence artificielle basée sur le cloud qui fournit une expérience Copilot en langage naturel. Il peut aider les professionnels de la sécurité dans différents scénarios, tels que la réponse aux incidents, la chasse aux menaces et la collecte de renseignements. Pour plus d’informations sur ce qu’il peut faire, consultez Qu’est-ce que Microsoft Copilot pour la sécurité ?

Copilot pour la sécurité s’intègre à Microsoft Defender Threat Intelligence

Copilot pour la sécurité fournit des informations sur les acteurs des menaces, les indicateurs de compromission (IOC), les outils et les vulnérabilités, ainsi que les informations contextuelles sur les menaces de Microsoft Defender Threat Intelligence (Defender TI). Vous pouvez utiliser les invites et les promptbooks pour examiner les incidents, enrichir vos flux de chasse avec des informations sur les renseignements sur les menaces ou obtenir plus de connaissances sur le paysage des menaces de votre organisation ou du monde entier.

Cet article vous présente Copilot et inclut des exemples d’invites qui peuvent aider les utilisateurs Defender TI.

Bon à savoir avant de commencer

• Vous pouvez utiliser les fonctionnalités de Copilot pour faire remonter les veilles des cybermenaces dans le portail Copilot pour la sécurité ou le portail Microsoft Defender. En savoir plus sur les expériences Copilot pour la sécurité

• Soyez clair et précis avec vos invites. Vous pouvez obtenir de meilleurs résultats si vous incluez des noms d’acteur de la menace ou des IOC spécifiques dans vos invites. Cela peut également vous aider si vous ajoutez des veilles des cybermenaces à votre invite, par exemple :

  • Montrez-moi les données de renseignement sur les veilles des cybermenaces pour Aqua Blizzard.
  • Résumer les données de renseignement sur les menaces pour « malicious.com ».

• Soyez spécifique lors du référencement d’un incident (par exemple, « ID d’incident 15324 »).

• Faites des essais avec différentes invites et variantes pour voir ce qui convient le mieux à votre cas d’usage. Les modèles Chat AI varient, afin d’itérer et d’affiner vos invites en fonction des résultats que vous recevez.

• Copilot pour la sécurité enregistre vos sessions d’invite. Pour afficher les sessions précédentes, à partir du menu Copilot Accueil, accédez à Mes sessions.

  

  Notes

  Pour une procédure pas à pas sur Copilot, incluant la fonctionnalité, Épingler et partager, lisez Naviguer dans Microsoft Copilot pour la sécurité.

En savoir plus sur la création d’invites efficaces

Utilisation du portail autonome Copilot pour la sécurité pour obtenir des veilles des cybermenaces

1. Accédez à Microsoft Copilot pour la sécurité er connectez-vous avec vos identifiants.

2. Assurez-vous que le plug-in Defender TI est activé. Dans la barre d’invite, sélectionnez l’icône Sources.

   

   Dans la fenêtre contextuelle Gérer les sources qui s’affiche, sous Plug-ins, vérifiez que le bouton bascule Microsoft Threat Intelligence est activé, puis fermez la fenêtre.

   Notes

   Certains rôles peuvent activer ou désactiver le bouton bascule pour les plug-ins tels que Defender TI. Pour plus d’informations, consultez Gérer les plug-ins dans Microsoft Copilot pour la sécurité.

3. Entrez votre invite dans la barre d’invite.

Fonctionnalités système intégrées

Copilot pour la sécurité dispose de fonctionnalités système intégrées qui peuvent obtenir des données à partir des différents plug-ins qui sont activés.

Pour afficher la liste des fonctionnalités système intégrées pour Defender TI :

1. Dans la barre d’invites, sélectionnez l’icône Invites.

   

2. Sélectionnez Afficher toutes les fonctionnalités système. La section Microsoft Defender Threat Intelligence répertorie toutes les fonctionnalités disponibles pour Defender TI que vous pouvez utiliser.

Copilot dispose également des promptbooks suivants qui fournissent également des informations à partir de Defender TI :

• Profil d’acteur de menace – génère un rapport profilant un acteur de menace connu, incluant les suggestions pour se défendre contre leurs outils et tactiques courants.
• Évaluation de l’impact sur les vulnérabilités – génère un rapport résumant les veilles d’une vulnérabilité connue, y compris les étapes à suivre pour y remédier.

Pour afficher ces promptbooks, dans la barre d’invite, sélectionnez l’icône Invites, puis sélectionnez Afficher tous les promptbooks.

Exemples d’invites pour Defender TI

Vous pouvez utiliser de nombreuses invites pour obtenir des informations à partir de Defender TI. Cette section répertorie quelques idées et exemples.

Informations générales sur les tendances en matière de veille des cybermenaces

Obtenez des veilles des cybermenaces à partir d'articles et d'acteurs liés aux menaces.

Exemples d’invites :

• Résumez les veilles des cybermenaces récentes.
• Montrez-moi les derniers articles sur les menaces.
• Obtenez des articles sur les menaces liés aux rançongiciels au cours des six derniers mois.

Informations contextuelles sur l’adresse IP et l’hôte par rapport aux veilles des cybermenaces

Obtenez des informations sur les jeux de données associés aux adresses IP et aux hôtes, tels que les ports, les scores de réputation, les composants, les certificats, les cookies, les services et les paires d’hôtes.

Exemples d’invites :

• Montrez-moi la réputation de l’hôte <nom d’hôte>.
• Obtenez des résolutions pour l’adresse IP <adresse IP>.

Mappage et infrastructure des acteurs de menace

Obtenez des informations sur les acteurs des menaces et les tactiques, techniques et procédures (TTC), les états sponsorisés, les secteurs d’activité et les IOC qui leur sont associés.

Exemples d’invites :

• En savoir plus sur Silk Typhoon.
• Partagez les IOC associées à Silk Typhoon.
• Partagez les TTP associés à Silk Typhoon.
• Partagez les acteurs de menace associés à la Russie.

Données de vulnérabilité par CVE

Obtenez des informations contextuelles et des veilles des cybermenaces sur les vulnérabilités et les expositions courantes (CVE).

Exemples d’invites :

• Partagez les technologies exposées à la vulnérabilité CVE-2021-44228.
• Résumer la vulnérabilité CVE-2021-44228.
• Affichez-moi les dernières CVE.
• Afficher les acteurs de menace associés à CVE-2021-44228.
• Afficher les articles sur les menaces associés à CVE-2021-44228.

Envoyer des commentaires

Vos commentaires sur l’intégration de Defender TI à Copilot pour la sécurité facilitent le développement. Pour fournir des commentaires, dans Copilot, sélectionnez Comment se présente cette réponse ? En bas de chaque invite terminée, choisissez l’une des options suivantes :

• Semble correct – sélectionnez ce bouton si les résultats sont exacts, en fonction de votre évaluation.
• Nécessite une amélioration – sélectionnez ce bouton si les détails des résultats sont incorrects ou incomplets, en fonction de votre évaluation.
• Inapproprié – sélectionnez ce bouton si les résultats contiennent des informations suspectes, ambiguës ou potentiellement dangereuses.

Pour chaque bouton de commentaires, vous pouvez fournir plus d’informations dans la boîte de dialogue suivante qui s’affiche. Dans la mesure du possible et lorsque le résultat est Nécessite une amélioration, écrivez quelques mots expliquant ce qui peut être fait pour améliorer le résultat. Si vous avez entré des invites spécifiques à Defender TI et que les résultats ne sont pas liés, incluez ces informations.

Utilisation de Microsoft Copilot dans Defender pour obtenir des veilles des cybermenaces

Les clients Copilot pour la sécurité obtiennent pour chacun de leurs utilisateurs Copilot authentifiés l’accès à Defender TI dans le portail Microsoft Defender. Pour vous assurer que vous avez accès à Copilot, consultez les informations d’achat et de licence Copilot pour la sécurité.

Une fois que vous avez accès à Copilot pour la sécurité, les principales fonctionnalités décrites dans la section suivante deviennent accessibles dans les sections veilles des cybermenaces du portail Defender :

• Analyses de menaces
• Profils Intel
• Explorateur Intel
• Projets Intel

Principales fonctionnalités

Copilot dans Defender offre la capacité de Copilot for Security à rechercher des informations sur les menaces dans le portail, ce qui permet aux équipes de sécurité de comprendre, de hiérarchiser et d’agir immédiatement sur les informations de renseignement sur les menaces.

Vous pouvez poser des questions sur un acteur de menace, une campagne d’attaque ou tout autre veille des cybermenaces sur lequel vous souhaitez en savoir plus, et Copilot génère des réponses basées sur des rapports de veille des cybermenaces, des profils et des articles Intel et d’autres contenus Defender TI. Vous pouvez également sélectionner l’une des invites intégrées disponibles qui vous permettent d’effectuer les actions suivantes :

• Résumer les dernières menaces liées à votre organisation
• Hiérarchiser les menaces sur lesquelles se concentrer en fonction du niveau d’exposition le plus élevé de votre environnement à ces menaces
• Renseignez-vous sur les acteurs des menaces ciblant le secteur de l’infrastructure de communication

En savoir plus sur l’utilisation de Copilot dans Defender pour la veille des cybermenaces

Traitement des données et confidentialité

Lorsque vous interagissez avec Copilot pour la sécurité pour obtenir des données Defender TI, Copilot extrait ces données de Defender TI. Les invites, les données récupérées et le résultat affiché dans les résultats de l’invite sont traitées et stockées dans le service Copilot. En savoir plus sur la confidentialité et la sécurité des données dans Microsoft Copilot pour la sécurité

Voir aussi

• Qu’est-ce que Microsoft Copilot pour la sécurité ?
• Confidentialité et sécurité des données dans Microsoft Copilot pour la sécurité
• Utilisation de Microsoft Copilot pour la sécurité pour la veille des cybermenaces