Riepilogare le informazioni sull'identità con Microsoft Copilot in Microsoft Defender

  • Articolo
  • Si applica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

I team delle operazioni di sicurezza che analizzano gli utenti possono comprendere facilmente le informazioni sulle identità con la funzionalità di riepilogo delle identità in Microsoft Copilot per la sicurezza in Microsoft Defender. Attraverso l'intelligenza artificiale generativa e sfruttando la potenza di Microsoft Defender per identità, Copilot crea informazioni contestuali su un'identità in un'organizzazione, aiutando gli analisti a comprendere rapidamente i dati importanti per accelerare le indagini.

Con la funzionalità di riepilogo delle identità, gli analisti possono identificare immediatamente modifiche e azioni sospette o rischiose correlate all'identità che possono influire negativamente su un'organizzazione. Il riepilogo include anche potenziali errori di configurazione che influiscono su un'identità. Usando il linguaggio naturale, Copilot offre informazioni utente chiare e interattive che gli analisti possono usare nelle attività di indagine sugli eventi imprevisti. La funzionalità è attualmente incentrata sugli utenti e includerà gli account del servizio nella successiva iterazione.

Questa guida descrive qual è la funzionalità di riepilogo dell'identità e come funziona, incluso il modo in cui è possibile fornire commenti e suggerimenti sui risultati generati.

Sapere prima di iniziare

Se non si ha familiarità con Copilot per la sicurezza, è consigliabile acquisire familiarità con questo articolo leggendo gli articoli seguenti:

Integrazione di Copilot per la sicurezza in Microsoft Defender

La funzionalità di riepilogo delle identità è disponibile nel portale di Microsoft Defender per i clienti che hanno effettuato il provisioning dell'accesso a Copilot per la sicurezza.

Gli utenti che accedono al portale autonomo copilot per la sicurezza possono usare questa funzionalità tramite il plug-in Microsoft Defender XDR. Altre informazioni sui plug-in preinstallati in Copilot per la sicurezza.

Funzionalità principali

Il riepilogo dell'identità contiene informazioni essenziali su un'identità, tra cui:

  • Data di creazione di un account utente e se l'account utente ha una criticità elevata, media o bassa
  • Eventuali modelli comportamentali insoliti correlati alle posizioni di accesso, alla frequenza di accesso o alla frequenza dei tentativi di accesso non riusciti
  • Il ruolo corrente di un utente, inclusi il reparto e la posizione, e se sono presenti importanti modifiche al ruolo rispetto al titolo e al reparto del lavoro dell'utente per evidenziare le incoerenze
  • Dati sull'ultimo accesso di un utente a un dispositivo, indipendentemente dal fatto che il dispositivo sia associato o meno all'utente, negli ultimi 30 giorni
  • Metodi di autenticazione e applicazioni usate
  • Rischi associati a un utente in base a Microsoft Entra ID
  • Informazioni generali come il titolo professionale di un utente e le informazioni di contatto, il reparto e le informazioni di contatto del responsabile

È possibile accedere alla funzionalità di riepilogo delle identità nei modi seguenti:

  • Da una pagina degli eventi imprevisti scegliere un'identità nel grafico degli eventi imprevisti e quindi (1) selezionare Dettagli utente. Nel riquadro dei dettagli utente (2) selezionare Riepilogo. I risultati vengono visualizzati nel pannello laterale Copilot.

    Screenshot che mostra l'opzione Riepilogo nel riquadro dei dettagli utente.

  • In alternativa, è possibile selezionare Vai alla pagina utente nella parte inferiore del riquadro dei dettagli utente per aprire la pagina utente. Copilot genera automaticamente il riepilogo dell'identità e visualizza il pannello laterale all'apertura della pagina utente.

  • È anche possibile accedere alla funzionalità di riepilogo delle identità scegliendo un utente nella scheda Asset di un evento imprevisto. Selezionare Riepilogo nel riquadro dei dettagli dell'utente per generare il riepilogo dell'identità.

    Screenshot che mostra la scheda Asset e un account utente evidenziati.

  • In una pagina di avviso selezionare un utente e quindi selezionare Riepilogo nel riquadro dei dettagli dell'utente per generare il riepilogo dell'identità.

  • Nella pagina ricerca avanzata è possibile accedere alla funzionalità di riepilogo delle identità selezionando un utente nella tabella dei risultati e quindi selezionando il collegamento alla pagina utente. Copilot genera automaticamente il riepilogo dell'identità e visualizza il pannello laterale all'apertura della pagina utente.

  • Dal menu principale passare a Identità asset>. Selezionare un nome utente dall'elenco, quindi selezionare Visualizza pagina utente per aprire la pagina utente. Copilot genera automaticamente il riepilogo dell'identità e visualizza il pannello laterale all'apertura della pagina utente.

    Screenshot che evidenzia l'opzione visualizza pagina utente in una ricerca nome utente all'interno di Identità.

  • Digitare un nome utente nella casella di ricerca del portale di Microsoft Defender e quindi selezionare il nome utente nei risultati della ricerca. Nel pannello laterale dei dettagli utente selezionare Riepilogo per generare il riepilogo dell'identità.

Esaminare i risultati del riepilogo dell'identità. È possibile copiare i risultati negli Appunti, rigenerare i risultati o aprire Security Copilot selezionando i puntini di sospensione Altre azioni (...) nella parte superiore della scheda di riepilogo dell'identità. È possibile estendere l'analisi dell'identità usando prompt e altri plug-in nel portale copilot per la sicurezza.

Richiesta di riepilogo dell'identità di esempio

Nel portale autonomo copilot per la sicurezza è possibile usare la richiesta seguente per generare un riepilogo delle identità:

  • Mostra il riepilogo di Defender di questo utente nell'ultimo {intervallo di tempo}.

Consiglio

Quando si analizzano gli utenti nel portale copilot per la sicurezza, Microsoft consiglia di includere la parola Defender nelle richieste per assicurarsi che la funzionalità di riepilogo delle identità fornisca i risultati. È possibile specificare fino a 120 giorni nell'intervallo di tempo dell'indagine, con il valore predefinito di 30 giorni quando non ne si indica uno.

Inviare feedback

Microsoft incoraggia vivamente l'utente a fornire feedback a Copilot, in quanto è fondamentale per il miglioramento continuo di una funzionalità. Per inviare commenti e suggerimenti, passare alla parte inferiore del pannello laterale copilot e selezionare l'icona di feedback Screenshot dell'icona di feedback per Copilot nelle schede di Defender.

Screenshot che mostra la casella di testo Commenti e suggerimenti in cui è possibile condividere il feedback.

Compilare la casella di testo dedicata per condividere pensieri, esperienze e richieste. Microsoft apprezza il feedback dell'utente e lo prende sul serio nell'impegno a migliorare le prestazioni e l'esperienza utente di Copilot.

Vedere anche

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.