Riepilogare un incidente con Microsoft Copilot in Microsoft Defender

  • Articolo
  • Si applica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR applica le funzionalità di Copilot per la sicurezza per riepilogare gli incidenti, fornendo informazioni di impatto e informazioni dettagliate per semplificare le attività di indagine. L'indagine sull'attacco è una fase cruciale per i team di risposta agli eventi imprevisti per difendere con successo un'organizzazione da ulteriori danni causati da una minaccia informatica. Le indagini possono spesso richiedere molto tempo, in quanto implicano numerosi passaggi. I team di risposta agli eventi imprevisti devono capire come si è verificato l'attacco: ordinare i numerosi avvisi, identificare gli asset e le entità coinvolte e valutare la portata e l'impatto di un attacco.

Questa guida illustra cosa aspettarsi e come accedere alla funzionalità di riepilogo di Copilot in Defender, comprese le informazioni sull'invio di feedback.

Sapere prima di iniziare

Se non si ha familiarità con Copilot per la sicurezza, è consigliabile acquisire familiarità con questo articolo leggendo gli articoli seguenti:

Chi risponde agli incidenti può facilmente ottenere il giusto contesto per indagare e rimediare gli eventi tramite le funzionalità di correlazione di Microsoft Defender XDR e l'elaborazione e contestualizzazione dei dati basata sull'intelligenza artificiale di Copilot per la sicurezza. Con un riepilogo dell'evento imprevisto, i tecnici possono ottenere rapidamente informazioni importanti per le indagini.

Integrazione di Copilot per la sicurezza in Microsoft Defender

La funzionalità di riepilogo degli eventi imprevisti è disponibile nel portale di Microsoft Defender per i clienti che hanno effettuato il provisioning dell'accesso a Copilot per la sicurezza.

Questa funzionalità è disponibile anche nell'esperienza autonoma di Copilot per la sicurezza tramite il plug-in Microsoft Defender XDR. Altre informazioni sui plug-in preinstallati in Copilot per la sicurezza.

Funzionalità principali

Gli eventi imprevisti contenenti fino a 100 avvisi possono essere riepilogati in un unico riepilogo degli eventi imprevisti. Un riepilogo degli eventi imprevisti, a seconda della disponibilità dei dati, include quanto segue:

  • Ora e data di inizio di un attacco.
  • Entità o asset in cui è iniziato l'attacco.
  • Riepilogo delle sequenze temporali di come si è svolto l'attacco.
  • Asset coinvolti nell'attacco.
  • Indicatori di compromissione (IOC).
  • Nomi degli attori delle minacce coinvolti.

Per riepilogare un evento imprevisto, seguire questa procedura:

  1. Aprire la pagina di un evento imprevisto. Copilot crea automaticamente un riepilogo degli incidenti all'apertura della pagina. È possibile arrestare la creazione del riepilogo selezionando Annulla o riavviare la creazione selezionando Rigenera.

  2. La scheda di riepilogo degli incidenti viene caricata nel riquadro di Copilot. Esaminare il riepilogo generato nella scheda.

    Screenshot che mostra la scheda di riepilogo degli eventi imprevisti nel riquadro Copilot, come illustrato nella pagina dell'evento imprevisto Microsoft Defender.

    Consiglio

    È possibile passare a un file, IP o pagina URL dal riquadro dei risultati di Copilot facendo clic sull'evidenza nei risultati.

  3. Selezionare i tre puntini (...) Altre azioni nella parte superiore della scheda di riepilogo degli incidenti per copiare o rigenerare il riepilogo oppure visualizzare il riepilogo nel portale di Copilot per la sicurezza. Quando si seleziona Apri in Copilot per la sicurezza viene aperta una nuova scheda per il portale autonomo di Copilot per la sicurezza in cui è possibile immettere richieste e accedere ad altri plug-in.

    Screenshot che mostra le azioni disponibili nella scheda di riepilogo degli eventi imprevisti.

  4. Esaminare il riepilogo e usare le informazioni per guidare l'indagine e la risposta all'incidente.

Richiesta di riepilogo degli eventi imprevisti di esempio

Nel portale autonomo copilot per la sicurezza è possibile usare la richiesta seguente per generare riepiloghi degli eventi imprevisti:

  • Fornire un riepilogo per l'evento imprevisto di Defender {ID evento imprevisto}.

Consiglio

Quando si genera un riepilogo degli eventi imprevisti nel portale copilot per la sicurezza, Microsoft consiglia di includere la parola Defender nelle richieste per assicurarsi che la funzionalità di riepilogo degli eventi imprevisti fornisca i risultati.

Inviare feedback

Microsoft incoraggia vivamente l'utente a fornire feedback a Copilot, in quanto è fondamentale per il miglioramento continuo di una funzionalità. È possibile fornire feedback sul riepilogo selezionando l'icona di feedback Screenshot dell'icona di feedback per Copilot nelle schede di Defender disponibili nella parte inferiore del riquadro Copilot.

Vedere anche

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.