Résumer un incident avec Microsoft Copilot dans Microsoft Defender

  • Article
  • S’applique à:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR applique les fonctionnalités de Security Copilot pour résumer les incidents, en fournissant des informations et des insights percutants pour simplifier les tâches d’investigation. L'enquête sur les attaques est une étape cruciale pour les équipes de réponse aux incidents afin de réussir à défendre une organisation contre d'autres dommages causés par une cybermenace. Les investigations peuvent souvent prendre beaucoup de temps, car elles impliquent de nombreuses étapes. Les équipes de réponse aux incidents doivent comprendre comment l'attaque s'est produite : trier les nombreuses alertes, identifier les actifs et les entités impliqués et évaluer la portée et l'impact d'une attaque.

Ce guide décrit ce à quoi vous devez vous attendre et comment accéder à la fonctionnalité de synthèse de Copilot dans Defender, y compris des informations sur la fourniture de commentaires.

Bon à savoir avant de commencer

Si vous débutez avec Security Copilot, vous devez vous y familiariser en lisant les articles suivants :

Les répondants aux incidents peuvent facilement obtenir le contexte approprié pour examiner et corriger les incidents grâce aux fonctionnalités de corrélation de Defender XDR et au traitement et à la contextualisation des données basés sur l’IA de Security Copilot. Grâce à un résumé de l'incident, les intervenants peuvent obtenir rapidement des informations importantes qui les aideront dans leur enquête.

intégration Security Copilot dans Microsoft Defender

La fonctionnalité de synthèse des incidents est disponible dans le portail Microsoft Defender pour les clients qui disposent d’un accès provisionné à Security Copilot.

Cette fonctionnalité est également disponible dans l’expérience autonome Security Copilot via le plug-in Microsoft Defender XDR. En savoir plus sur les plug-ins préinstallés dans Security Copilot.

Principales fonctionnalités

Les incidents contenant jusqu'à 100 alertes peuvent être résumés dans un seul résumé d'incident. Un résumé de l'incident, en fonction de la disponibilité des données, comprend les éléments suivants :

  • L'heure et la date du début d'une attaque.
  • L'entité ou l'actif où l'attaque a commencé.
  • Un résumé des chronologies du déroulement de l’attaque.
  • Les actifs impliqués dans l’attaque.
  • Indicateurs de compromission (IOC).
  • Noms des acteurs de la menace impliqués.

Pour résumer un incident, effectuez les étapes suivantes :

  1. Ouvrez une page d'incident. Copilot crée automatiquement un résumé de l’incident à l’ouverture de la page. Vous pouvez arrêter la création du résumé en sélectionnant Annuler ou redémarrer la création en sélectionnant Régénérer.

  2. La fiche récapitulative des incidents se charge dans le volet Copilot. Consultez le résumé généré sur la carte.

    Capture d’écran montrant le résumé de l’incident carte dans le volet Copilot, comme indiqué dans la page d’incident Microsoft Defender.

    Conseil

    Vous pouvez accéder à un fichier, une adresse IP ou une page d’URL à partir du volet de résultats Copilot en cliquant sur la preuve dans les résultats.

  3. Sélectionnez les points de suspension Plus d’actions (...) en haut du résumé de l’incident carte pour copier ou régénérer le résumé, ou afficher le résumé dans le portail Security Copilot. La sélection d'Ouvrir dans Security Copilot ouvre un nouvel onglet sur le portail autonome Security Copilot où vous pouvez saisir des invites et accéder à d'autres plugins.

    Capture d’écran montrant les actions disponibles sur le résumé de l’incident carte.

  4. Vérifiez le résumé et utilisez les informations pour guider votre enquête et votre réponse à l’incident.

Exemple d’invite de résumé d’incident

Dans le portail autonome Security Copilot, vous pouvez utiliser l’invite suivante pour générer des résumés des incidents :

  • Fournissez un résumé de l’incident Defender {ID d’incident}.

Conseil

Lors de la génération d’un résumé d’incident dans le portail Security Copilot, Microsoft recommande d’inclure le mot Defender dans vos invites pour vous assurer que la fonctionnalité de synthèse des incidents fournit les résultats.

Envoyer des commentaires

Microsoft vous encourage vivement à fournir des commentaires à Copilot, car il est essentiel pour l’amélioration continue d’une fonctionnalité. Vous pouvez fournir des commentaires sur le résumé en sélectionnant l’icône de commentaires Capture d’écran de l’icône de commentaires pour Copilot dans les cartes Defender situées en bas du volet Copilot.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.