Resumen de un incidente con Microsoft Copilot en Microsoft Defender
Se aplica a:
- Microsoft Defender XDR
- Plataforma del Centro de operaciones de seguridad unificada (SOC) de Microsoft Defender
Microsoft Defender XDR aplica las funcionalidades de Copilot for Security para resumir los incidentes, lo que proporciona información e información impactantes para simplificar las tareas de investigación. La investigación de ataques es un paso crucial para que los equipos de respuesta a incidentes defiendan correctamente una organización contra daños adicionales de una ciberamenaza. Las investigaciones suelen llevar mucho tiempo, ya que implican numerosos pasos. Los equipos de respuesta a incidentes deben comprender cómo se produjo el ataque: ordenar numerosas alertas, identificar qué recursos y entidades están implicados y evaluar el ámbito y el impacto de un ataque.
Los respondedores de incidentes pueden obtener fácilmente el contexto adecuado para investigar y corregir incidentes a través de las funcionalidades de correlación de Defender XDR y el procesamiento y contextualización de datos con tecnología de inteligencia artificial de Copilot for Security. Con un resumen del incidente, los responsables de la respuesta pueden obtener rápidamente información importante para ayudar en su investigación.
La funcionalidad de resumen de incidentes está disponible en el portal de Microsoft Defender a través de la licencia de Copilot for Security. Esta funcionalidad también está disponible en la experiencia independiente de Copilot for Security a través del complemento XDR de Microsoft Defender.
En esta guía se describe qué esperar y cómo acceder a la funcionalidad de resumen de Copilot en Defender, incluida la información sobre cómo proporcionar comentarios.
Resumen de un incidente
Los incidentes que contengan hasta 100 alertas pueden resumirse en un resumen de incidente. En función de la disponibilidad de los datos, un resumen de incidentes incluye lo siguiente:
- La hora y la fecha en que comenzó un ataque.
- La entidad o activo donde se inició el ataque.
- Un resumen de líneas de tiempo sobre cómo se desarrolló el atentado.
- Los recursos implicados en el ataque.
- Indicadores de riesgo (IoC).
- Nombres de los actores de amenazas implicados.
Para resumir un incidente, realice los siguientes pasos:
Abra una página de incidente. Copilot crea automáticamente un resumen de incidentes al abrir la página. Para detener la creación de resumen, seleccione Cancelar o reiniciar la creación; para ello, seleccione Regenerar.
La tarjeta de resumen de incidentes se carga en el panel Copilot. Revise el resumen generado en la tarjeta.
Sugerencia
Puede navegar a un archivo, una dirección IP o una página url desde el panel de resultados de Copilot haciendo clic en la evidencia de los resultados.
Seleccione los puntos suspensivos Más acciones (...) en la parte superior de la tarjeta de resumen de incidentes para copiar o volver a generar el resumen o ver el resumen en el portal de Copilot for Security. Al seleccionar Abrir en Copilot for Security , se abre una nueva pestaña en el portal independiente de Copilot for Security, donde puede introducir mensajes y acceder a otros complementos.
Revise el resumen y use la información para guiar la investigación y la respuesta al incidente. Para proporcionar comentarios sobre el resumen, seleccione el icono de comentarios que se encuentran en la parte inferior del panel Copilot.
Vea también
- Ejecución del análisis de scripts
- Analizar archivos
- Generación de un resumen de dispositivo
- Usar respuestas guiadas al responder a amenazas
- Generación de consultas KQL
- Crear informes de incidentes
- Introducción a Microsoft Copilot para seguridad
- Más información sobre otras experiencias insertadas de Copilot for Security
- Más información sobre los complementos preinstalados en Copilot for Security
- Investigación de incidentes en XDR de Microsoft Defender
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Comunidad tecnológica XDR de Microsoft Defender.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de