Resumir um incidente com o Microsoft Copilot no Microsoft Defender

O Microsoft Defender XDR aplica os recursos do Copilot para Security para resumir incidentes, fornecendo informações e análises aprofundadas para simplificar as tarefas de investigação. A investigação de ataques é um passo crucial para as equipas de resposta a incidentes defenderem com êxito uma organização contra mais danos de uma ciberameaça. Muitas vezes, as investigações podem ser morosas, uma vez que envolvem vários passos. As equipas de resposta a incidentes têm de compreender como ocorreu o ataque: ordenar através de vários alertas, identificar que recursos e entidades estão envolvidos e avaliar o âmbito e o impacto de um ataque.

Este manual de instruções descreve o que esperar e como aceder à capacidade de resumo do Copilot no Defender, incluindo informações sobre como fornecer feedback.

Saiba antes de começar

Se não estiver familiarizado com o Copilot for Security, deverá familiarizar-se com o mesmo ao ler os seguintes artigos:

Os responsáveis pela resposta a incidentes podem facilmente obter o contexto certo para investigar e remediar incidentes através das capacidades de correlação do Defender XDR e do processamento e contextualização de dados com tecnologia de IA do Copilot para Security. Com um resumo de incidentes, os participantes podem obter rapidamente informações importantes para ajudar na sua investigação.

Copilot for Security integration in Microsoft Defender

A capacidade de resumo de incidentes está disponível no portal do Microsoft Defender para clientes que tenham aprovisionado acesso ao Copilot for Security.

Esta capacidade também está disponível na experiência autónoma do Copilot para Security através do plug-in Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Copilot para Security.

Funcionalidades principais

Os incidentes que contenham até 100 alertas podem ser resumidos num resumo de incidente. Um resumo de incidente, dependendo da disponibilidade dos dados, inclui o seguinte:

  • A hora e a data em que um ataque foi iniciado.
  • A entidade ou recurso onde o ataque foi iniciado.
  • Um resumo das linhas cronológicas de como o ataque foi desvendado.
  • Os recursos envolvidos no ataque.
  • Indicadores de comprometimento (IOCs).
  • Nomes dos agentes de ameaça envolvidos.

Para resumir um incidente, execute os seguintes passos:

  1. Abra uma página de incidente. O Copilot cria automaticamente um resumo do incidente ao abrir a página. Pode parar a criação do resumo ao selecionar Cancelar ou reiniciar a criação ao selecionar Regenerar.

  2. O cartão de resumo do incidente é carregado no painel do Copilot. Reveja o resumo gerado no cartão.

    Captura de ecrã a mostrar o cartão de resumo do incidente no painel Copilot, conforme mostrado na página Microsoft Defender incidente.

    Sugestão

    Pode navegar para uma página de ficheiros, IP ou URL a partir do painel de resultados do Copilot, ao clicar nas provas que aparecem nos resultados.

  3. Selecione as reticências Mais ações (...) na parte superior do cartão de resumo do incidente para copiar ou gerar novamente o resumo, ou ver o resumo no portal do Copilot para Security. Ao selecionar Abrir no Copilot para Security será aberto um novo separador para o portal autónomo do Copilot para Security, onde pode introduzir pedidos e aceder a outros plug-ins.

    Captura de ecrã que mostra as ações disponíveis no cartão de resumo do incidente.

  4. Avalie o resumo e utilize as informações para orientar a sua investigação e resposta a incidentes.

Pedido de resumo de incidentes de exemplo

No portal autónomo Copilot for Security, pode utilizar o seguinte pedido para gerar resumos de incidentes:

  • Forneça um resumo para o incidente do Defender {incident ID}.

Sugestão

Ao gerar um resumo de incidentes no portal Copilot for Security, a Microsoft recomenda incluir a palavra Defender nos seus pedidos para garantir que a capacidade de resumo de incidentes fornece os resultados.

Fornecer comentários

A Microsoft incentiva-o vivamente a fornecer feedback à Copilot, uma vez que é crucial para a melhoria contínua de uma capacidade. Pode dar feedback sobre o resumo. ao selecionar o ícone de feedback Captura de ecrã do ícone de feedback do Copilot nos cartões do Defender que se encontra na parte inferior do painel do Copilot.

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.