Resumir um incidente com o Microsoft Copilot no Microsoft Defender

  • Artigo
  • Aplica-se a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

O Microsoft Defender XDR aplica os recursos do Copilot para Segurança para resumir os incidentes, fornecendo informações e insights impactantes para simplificar as tarefas de investigação. A investigação de ataques é uma etapa crucial para que as equipes de resposta a incidentes defendam com êxito uma organização contra danos adicionais de uma ameaça cibernética. Muitas vezes, as investigações podem ser morosas, uma vez que envolvem vários passos. As equipes de resposta a incidentes precisam entender como o ataque aconteceu: classificar vários alertas, identificar quais ativos e entidades estão envolvidos e avaliar o escopo e o impacto de um ataque.

Estse guia descreve o que esperar e como acessar o recurso de resumo do Copilot da Segurança no Defender, incluindo informações sobre como fornecer comentários.

Antes de começar

Se não estiver familiarizado com o Copilot for Security, deverá familiarizar-se com o mesmo ao ler os seguintes artigos:

Os respondentes de incidentes podem obter facilmente o contexto certo para investigar e remediar incidentes por meio dos recursos de correlação do Defender XDR e do processamento e contextualização de dados alimentados por IA do Copilot para Segurança. Com um resumo de incidentes, os respondentes podem obter informações importantes rapidamente para ajudar na investigação.

Copilot for Security integration in Microsoft Defender

A capacidade de resumo de incidentes está disponível no portal do Microsoft Defender para clientes que tenham aprovisionado acesso ao Copilot for Security.

Essa funcionalidade também está disponível na experiência autônoma do Copilot para segurança por meio do plug-in do Microsoft Defender XDR. Saiba mais sobre os plug-ins pré-instalados no Copilot para Segurança.

Principais recursos

Incidentes que contêm até 100 alertas podem ser resumidos em um resumo de incidentes. Um resumo de incidentes, dependendo da disponibilidade dos dados, inclui o seguinte:

  • A hora e a data em que um ataque foi iniciado.
  • A entidade ou ativo em que o ataque foi iniciado.
  • Um resumo das linhas do tempo de como o ataque se desdobrou.
  • Os ativos envolvidos no ataque.
  • Indicadores de comprometimento (IOCs).
  • Nomes dos atores de ameaça envolvidos.

Para resumir um incidente, execute as seguintes etapas:

  1. Abra uma página de incidentes. O Copilot cria um resumo de incidentes automaticamente ao abrir a página. Você pode interromper a criação do resumo selecionando Cancelar ou reiniciar a criação selecionando Regenerar.

  2. O cartão de resumo do incidente é carregado no painel do Copilot. Examine o resumo gerado no cartão.

    Captura de ecrã a mostrar o resumo do incidente card no painel Copilot, conforme mostrado na página Microsoft Defender incidente.

    Dica

    Você pode navegar até uma página de arquivo, IP ou URL no painel de resultados do Copilot clicando na evidência nos resultados.

  3. Selecione as reticências mais ações (...) na parte superior do cartão de resumo do incidente para copiar ou regenerar o resumo ou exibir o resumo no portal do Copilot para Segurança. Selecionar Abrir no Copilot para Segurança abre uma nova guia para o portal autônomo do Copilot para Segurança, no qual você pode inserir prompts e acessar outros plug-ins.

    Captura de ecrã a mostrar as ações disponíveis no resumo do incidente card.

  4. Examine o resumo e use as informações para orientar sua investigação e resposta ao incidente.

Pedido de resumo de incidentes de exemplo

No portal autónomo Copilot for Security, pode utilizar o seguinte pedido para gerar resumos de incidentes:

  • Forneça um resumo para o incidente do Defender {incident ID}.

Dica

Ao gerar um resumo de incidentes no portal Copilot for Security, a Microsoft recomenda incluir a palavra Defender nos seus pedidos para garantir que a capacidade de resumo de incidentes fornece os resultados.

Faça comentários

A Microsoft incentiva-o vivamente a fornecer feedback à Copilot, uma vez que é crucial para a melhoria contínua de uma capacidade. Você pode fornecer comentários sobre o resumo selecionando o ícone de comentários Captura de tela do ícone de comentários do Copilot nos cartões do Defender localizados na parte inferior do painel do Copilot.

Confira também

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.