Valutare e analizzare gli incidenti con risposte guidate di Microsoft Copilot in Microsoft Defender

Microsoft Copilot per la sicurezza nel portale di Microsoft Defender supporta i team di risposta agli incidenti nella risoluzione immediata degli incidenti mediante risposte guidate. Copilot in Defender usa funzionalità di intelligenza artificiale e apprendimento automatico per contestualizzare un incidente e apprendere dalle indagini precedenti per generare azioni di risposta appropriate.

Questa guida illustra come accedere alla funzionalità di risposta guidata e include informazioni su come fornire feedback sulle risposte.

Sapere prima di iniziare

Se non si ha familiarità con Copilot per la sicurezza, è consigliabile acquisire familiarità con questo articolo leggendo gli articoli seguenti:

Per rispondere agli incidenti nel portale di Microsoft Defender spesso è necessaria familiarità con le azioni disponibili nel portale per arrestare gli attacchi. Inoltre, i nuovi incaricati della risposta agli incidenti potrebbero avere idee diverse su dove e come iniziare a rispondere agli incidenti. La funzionalità di risposta guidata di Copilot in Defender consente ai team di risposta agli incidenti a tutti i livelli di applicare in modo rapido e sicuro azioni di risposta per risolvere gli incidenti con facilità.

Integrazione di Copilot per la sicurezza in Microsoft Defender

Le risposte guidate sono disponibili nel portale di Microsoft Defender per i clienti che hanno effettuato il provisioning dell'accesso a Copilot per la sicurezza.

Le risposte guidate sono disponibili anche nell'esperienza autonoma Copilot for Security tramite il plug-in Microsoft Defender XDR. Altre informazioni sui plug-in preinstallati in Copilot per la sicurezza.

Funzionalità principali

Le risposte guidate consigliano azioni nelle categorie seguenti:

  • Valutazione: include un consiglio per classificare gli incidenti come informativi, veri positivi o falsi positivi
  • Contenimento: include le azioni consigliate per contenere un incidente
  • Indagine: include le azioni consigliate per un'ulteriore indagine
  • Rimedio: include azioni di risposta consigliate da applicare a entità specifiche coinvolte in un incidente

Ogni scheda contiene informazioni sull'azione consigliata, tra cui l'entità in cui è necessario applicare l'azione e il motivo per cui l'azione è consigliata. Le schede evidenziano anche quando un'azione consigliata è stata eseguita da un'indagine automatizzata, ad esempio un'interruzione dell'attacco o una risposta di indagine automatizzata.

Le schede delle risposte guidate possono essere ordinate in base allo stato disponibile per ogni scheda. È possibile selezionare uno stato specifico quando si visualizzano le risposte guidate facendo clic su Stato e selezionando lo stato appropriato da visualizzare. Tutte le schede delle risposte guidate vengono visualizzate per impostazione predefinita indipendentemente dallo stato.

Screenshot che mostra lo stato delle risposte nel riquadro Copilot nella pagina dell'evento imprevisto Microsoft Defender.

Per usare le risposte guidate, seguire questa procedura:

  1. Aprire la pagina di un incidente. Copilot genera automaticamente risposte guidate all'apertura di una pagina degli incidenti. Il riquadro Copilot viene visualizzato sul lato destro della pagina degli incidenti e mostra le schede delle risposte guidate.

    Screenshot che mostra il riquadro Copilot con le risposte guidate nella pagina dell'evento imprevisto Microsoft Defender.

  2. Esaminare ogni scheda prima di applicare i suggerimenti. Selezionare i puntini di sospensione Altre azioni (...) nella parte superiore di una scheda di risposta per visualizzare le opzioni disponibili per ogni suggerimento. Ecco alcuni esempi.

    Screenshot che mostra le opzioni disponibili per gli utenti in una scheda di risposta guidata nel pannello laterale Copilot.

    Screenshot che mostra le opzioni disponibili per gli utenti in una scheda di risposta di automazione nel riquadro Copilot in Microsoft Defender XDR.

  3. Per applicare un'azione, selezionare l'azione desiderata trovata in ogni scheda. L'azione di risposta guidata in ogni scheda è personalizzata in base al tipo di incidente e alla specifica entità coinvolta.

    Screenshot che mostra le schede di risposta guidate nel riquadro Copilot in Microsoft Defender.

  4. È possibile fornire feedback a ogni scheda di risposta per migliorare continuamente le risposte future di Copilot. Per inviare commenti e suggerimenti, selezionare l'icona di feedback Screenshot che mostra l'icona di feedback per Copilot nelle schede defender disponibili in basso a destra di ogni scheda.

Nota

I pulsanti di azione disattivati indicano che queste azioni sono limitate in base alle autorizzazioni impostate. Vedere la pagina sulle autorizzazioni del Controllo degli accessi in base al ruolo unificato per altre informazioni.

Copilot consente di velocizzare le attività di indagine degli analisti. Quando un evento imprevisto richiede ulteriori indagini su un'attività utente, Copilot suggerisce il testo che gli analisti possono usare per comunicare con un utente. La scheda di risposta guidata include un utente contatto in Teams o un'azioneCopia negli Appunti che copia il testo suggerito negli Appunti. Gli analisti possono quindi incollare il testo in un messaggio di posta elettronica o in un altro strumento di comunicazione. L'analista può anche ottenere più contesto sull'utente tramite l'azione Visualizza utente .

Screenshot che mostra il testo suggerito per la comunicazione in una scheda di risposta guidata.

Copilot supporta anche i team di risposta agli eventi imprevisti consentendo agli analisti di ottenere più contesto sulle azioni di risposta con informazioni dettagliate aggiuntive. Per le risposte di rimedio, i team di risposta agli incidenti possono visualizzare altre informazioni con opzioni come Visualizza incidenti simili o Visualizza messaggi di posta elettronica simili.

L'azione Visualizza incidenti simili diventa disponibile quando all'interno dell'organizzazione sono presenti altri incidenti simili a quello corrente. Nella scheda Incidenti simili sono elencati gli eventi imprevisti simili che è possibile esaminare. Microsoft Defender identifica automaticamente gli incidenti simili all'interno dell'organizzazione tramite le funzionalità di apprendimento automatico. I team di risposta agli incidenti possono usare le informazioni relative a questi eventi simili per classificare gli incidenti ed esaminare ulteriormente le azioni eseguite in quelle circostante.

L'azione Visualizza messaggi di posta elettronica simili, specifica degli incidenti di phishing, consente di passare alla pagina di rilevazione avanzata, in cui viene generata automaticamente una query KQL per elencare i messaggi di posta elettronica simili all'interno dell'organizzazione. Questa generazione automatica di query correlate consente ai team di risposta di indagare ulteriormente su altri messaggi di posta elettronica che potrebbero essere correlati all'incidente in questione. È possibile esaminare la query e modificarla in base alle esigenze.

Richiesta di risposte guidate di esempio

Nel portale autonomo copilot per la sicurezza è possibile usare la richiesta seguente per generare risposte guidate:

  • Generare risposte guidate e raccomandazioni per l'evento imprevisto di Defender {ID evento imprevisto}.

Consiglio

Quando si generano risposte guidate nel portale copilot per la sicurezza, Microsoft consiglia di includere la parola Defender nelle richieste per assicurarsi che la funzionalità di risposte guidate fornisca i risultati.

Inviare feedback

Microsoft incoraggia vivamente l'utente a fornire feedback a Copilot, in quanto è fondamentale per il miglioramento continuo di una funzionalità. Per inviare commenti e suggerimenti, passare alla parte inferiore del pannello laterale copilot e selezionare l'icona di feedback Screenshot dell'icona di feedback per Copilot nelle schede di Defender.

Vedere anche

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.