Triagem e investigação de incidentes com respostas guiadas do Microsoft Copilot no Microsoft Defender

  • Artigo
  • Aplica-se a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

O Microsoft Copilot para Segurança no portal do Microsoft Defender oferece suporte às equipes de resposta a incidentes para a imediata resolução de incidentes com respostas guiadas. O Copilot no Defender usa recursos de IA e aprendizado de máquina para contextualizar um incidente e aprender com as investigações anteriores a gerar ações de resposta apropriadas.

Este guia descreve como acessar o recurso de resposta guiada, incluindo informações sobre como fornecer feedback das respostas.

Antes de começar

Se não estiver familiarizado com o Copilot for Security, deverá familiarizar-se com o mesmo ao ler os seguintes artigos:

A resposta a incidentes no portal do Defender geralmente requer familiaridade com as ações disponíveis no portal para deter os ataques. Além disso, os novos respondentes de incidentes podem ter ideias diferentes sobre onde e como começar a responder. O recurso de resposta guiada do Copilot no Defender permite que as equipes de resposta a incidentes em todos os níveis apliquem ações de resposta com confiança e rapidez para resolver os incidentes com facilidade.

Copilot for Security integration in Microsoft Defender

As respostas guiadas estão disponíveis no portal do Microsoft Defender para clientes que tenham aprovisionado acesso ao Copilot for Security.

As respostas guiadas também estão disponíveis na experiência autónoma copilot for Security através do plug-in Microsoft Defender XDR. Saiba mais sobre os plug-ins pré-instalados no Copilot para Segurança.

Principais recursos

As respostas guiadas recomendam ações nas seguintes categorias:

  • Triagem – inclui uma recomendação para classificar incidentes como informativos, verdadeiros positivos ou falsos positivos
  • Contenção – inclui ações recomendadas para conter um incidente
  • Investigação – inclui ações recomendadas para investigação adicional
  • Correção – inclui ações de resposta recomendadas para serem aplicadas a entidades específicas envolvidas em um incidente

Cada cartão contém informações sobre a ação recomendada, incluindo a entidade em que a ação precisa ser aplicada e por que essa ação é recomendada. Os cartões também enfatizam quando uma ação recomendada foi feita por uma investigação automatizada, como uma interrupção de ataque ou uma resposta de investigação automatizada.

Os cartões de resposta guiada podem ser classificados com base no status disponível para cada cartão. Você pode selecionar um status específico ao ver as respostas guiadas clicando em Status e selecionando o status apropriado que você quer ver. Todos os cartões de resposta guiada, independentemente do status, são mostrados por padrão.

Captura de ecrã a mostrar a status de respostas no painel Copilot na página Microsoft Defender incidente.

Para usar as respostas guiadas, execute as seguintes etapas:

  1. Abra uma página de incidentes. O Copilot gera respostas guiadas automaticamente quando você abre uma página de incidentes. O painel do Copilot aparece no lado direito da página de incidentes, mostrando os cartões de resposta guiada.

    Captura de ecrã que mostra o painel Copilot com as respostas guiadas na página Microsoft Defender incidente.

  2. Reveja cada cartão antes de aplicar as recomendações. Selecione as reticências de Mais Ações (...) na parte superior de um cartão de resposta para ver as opções disponíveis para cada recomendação. Aqui estão alguns exemplos.

    Captura de ecrã que mostra as opções disponíveis para os utilizadores numa resposta guiada card no painel lateral Copilot.

    Captura de ecrã que mostra as opções disponíveis para os utilizadores numa resposta de automatização card no painel Copilot no Microsoft Defender XDR.

  3. Para aplicar uma ação, selecione a ação desejada encontrada em cada cartão. A ação de resposta guiada em cada cartão é adaptada ao tipo de incidente e à entidade específica envolvida.

    Captura de ecrã que mostra os cartões de resposta guiados no painel Copilot no Microsoft Defender.

  4. Você pode fornecer um feedback de cada cartão de resposta para aprimorar continuamente as respostas futuras do Copilot. Para fornecer feedback, selecione o ícone de feedback Captura de ecrã que mostra o ícone de feedback de Copilot nos cartões do Defender encontrados na parte inferior direita de cada card.

Observação

Botões de ação em cinza significam que essas ações são limitadas por sua permissão. Consulte a página de permissões de RBAC (acesso baseado em função) unificada para obter mais informações.

O Copilot ajuda a acelerar as tarefas de investigação dos analistas. Quando um incidente requer uma investigação mais aprofundada sobre uma atividade de utilizador, a Copilot sugere texto que os analistas podem utilizar para comunicar com um utilizador. A resposta guiada card inclui uma ação Contactar utilizador no Teams ou Copiar para a área de transferência que copia o texto sugerido para a área de transferência. Em seguida, os analistas podem colar o texto num e-mail ou noutra ferramenta de comunicação. O analista também pode obter mais contexto sobre o utilizador através da ação Ver utilizador .

Captura de ecrã que mostra o texto sugerido para comunicação numa resposta guiada card.

O Copilot também suporta equipas de resposta a incidentes ao permitir que os analistas obtenham mais contexto sobre as ações de resposta com informações adicionais. Para respostas de correção, as equipes de resposta a incidentes podem visualizar informações adicionais com opções como Exibir incidentes semelhantes ou Exibir emails semelhantes.

A ação Exibir incidentes semelhantes fica disponível quando há outros incidentes dentro da organização semelhantes ao incidente atual. A guia Incidentes Semelhantes lista incidentes semelhantes que você pode examinar. O Microsoft Defender identifica automaticamente os incidentes semelhantes dentro da organização por meio do aprendizado de máquina. As equipes de resposta a incidentes podem usar as informações desses incidentes semelhantes para classificar incidentes e examinar ainda mais as ações realizadas nos semelhantes.

A ação Exibir emails semelhantes, que é específica para incidentes de phishing, leva você para a página de busca avançada de ameaças, onde uma consulta KQL para listar emails semelhantes dentro da organização é gerada automaticamente. Essa geração de consulta automática relacionada a um incidente ajuda as equipes de resposta a incidentes a investigar ainda mais outros emails que possam estar relacionados. É possível examinar a consulta e modificá-la conforme necessário.

Pedido de respostas guiadas de exemplo

No portal autónomo Copilot for Security, pode utilizar o seguinte pedido para gerar respostas guiadas:

  • Gerar respostas guiadas e recomendações para o incidente do Defender {incident ID}.

Dica

Ao gerar respostas orientadas no portal Copilot for Security, a Microsoft recomenda incluir a palavra Defender nos seus pedidos para garantir que a capacidade de respostas orientadas fornece os resultados.

Faça comentários

A Microsoft incentiva-o vivamente a fornecer feedback à Copilot, uma vez que é crucial para a melhoria contínua de uma capacidade. Para fornecer feedback, navegue para a parte inferior do painel lateral copilot e selecione o ícone de feedback Captura de ecrã do ícone de feedback para o Copilot nos cartões do Defender.

Confira também

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.