Microsoft Copilot en Microsoft Defender

  • Artículo

Se aplica a:

  • Microsoft Defender XDR
  • Microsoft Defender plataforma unificada del Centro de operaciones de seguridad (SOC)

Microsoft Copilot para seguridad reúne el poder de la inteligencia artificial y la experiencia humana para ayudar a los equipos de seguridad a responder a los ataques de forma más rápida y eficaz. Copilot para seguridad se inserta en el portal de Microsoft Defender para permitir a los equipos de seguridad resumir incidentes de forma eficaz, analizar scripts y códigos, analizar archivos, resumir información del dispositivo, usar respuestas guiadas para resolver incidentes, generar consultas de KQL y crear informes de incidentes.

En este artículo se proporciona información general para los usuarios de Copilot en Defender, incluidos los pasos para acceder, las funcionalidades clave y los vínculos a los detalles de estas funcionalidades.

Acceso a Copilot en Defender

Para asegurarse de que tiene acceso a Copilot en Defender, consulte la información de compra y licencia de Copilot para seguridad. Una vez que tenga acceso a Copilot para seguridad, se podrá acceder a las funcionalidades clave que se describen a continuación en el portal de Microsoft Defender.

Investigar y responder a incidentes como un experto

Permitir que los equipos de seguridad aborden las investigaciones de ataque de forma oportuna con facilidad y precisión. Copilot ayuda a los equipos a comprender los ataques inmediatamente, analizar rápidamente archivos y scripts sospechosos, y evaluar y aplicar rápidamente la mitigación adecuada para detener y contener ataques.

Resumir incidentes de manera rápida

Investigar incidentes con varias alertas puede ser una tarea desalentadora. Para comprender inmediatamente un incidente, puede pulsar Copilot para resumir un incidente por usted. Copilot crea una visión general del ataque que contiene información esencial para comprender lo que ocurrió en el ataque, qué activos están implicados y la escala de tiempo del ataque. Copilot crea automáticamente un resumen al navegar a la página de un incidente.

Captura de pantalla de la tarjeta de resumen de incidentes en el panel Copilot como se muestra en la página Microsoft Defender incidente.

Tomar medidas sobre incidentes a través de respuestas guiadas

La resolución de incidentes requiere que los analistas comprendan un ataque para saber qué soluciones son adecuadas. Copilot recomienda soluciones a través de respuestas guiadas específicas para cada incidente.

Captura de pantalla en la que se resalta el panel Copilot con las respuestas guiadas en la página Microsoft Defender incidente.

Ejecución del análisis de scripts con facilidad

La mayoría de los atacantes se basan en malware sofisticado al iniciar ataques para evitar la detección y el análisis. Estos malware suelen ofuscarse y pueden estar en forma de scripts o líneas de comandos en PowerShell. Copilot puede analizar rápidamente scripts, lo que reduce el tiempo de investigación.

Captura de pantalla que resalta el botón de análisis de script en la vista de historia de ataque de la página del incidente.

Generación de resúmenes de dispositivos

Investigar los dispositivos implicados en incidentes puede ser un trabajo de tareas. Para evaluar rápidamente un dispositivo, Copilot puede resumir la información de un dispositivo, incluida la posición de seguridad del dispositivo, cualquier comportamiento inusual, una lista de software vulnerable e información pertinente Microsoft Intune.

Captura de pantalla de los resultados del resumen del dispositivo en Copilot en Defender.

Analizar archivos rápidamente

Copilot ayuda a los equipos de seguridad a evaluar y comprender rápidamente los archivos sospechosos con el análisis de archivos. Copilot proporciona el resumen de un archivo, incluida la información de detección, los certificados de archivo relacionados, una lista de llamadas API y las cadenas que se encuentran en el archivo.

Captura de pantalla de los resultados del análisis de archivos en Copilot en Defender con la opción Ocultar detalles resaltada.

Escribir informes de incidentes de forma eficaz

Por lo general, los equipos de operaciones de seguridad escriben informes para registrar información importante, incluidas las acciones de respuesta que se realizaron y los resultados correspondientes, los miembros del equipo implicados y otra información para ayudar a futuras decisiones de seguridad y aprendizaje. A menudo, documentar incidentes puede llevar mucho tiempo. Para que los informes de incidentes sean efectivos, debe contener el resumen de un incidente junto con las acciones realizadas, incluidas las acciones realizadas por quién y cuándo. Copilot genera un informe de incidentes mediante la consolidación rápida de estos fragmentos de información.

Captura de pantalla de la tarjeta de informe de incidentes en la página del incidente que muestra la mitad superior de la tarjeta.

Cazar como un profesional

Copilot en Defender ayuda a los equipos de seguridad a buscar amenazas de forma proactiva en su red mediante la creación rápida de consultas de KQL adecuadas.

Generación de consultas KQL a partir de la entrada de lenguaje natural

Los equipos de seguridad que usan la búsqueda avanzada para buscar amenazas de forma proactiva en su red ahora pueden usar una consulta asistente que convierta cualquier pregunta de lenguaje natural en el contexto de la búsqueda de amenazas en una consulta KQL lista para ejecutarse. La consulta asistente ahorra tiempo a los equipos de seguridad mediante la generación de una consulta KQL que, a continuación, se puede ejecutar o ajustar de forma automática según las necesidades del analista. Obtenga más información sobre la asistente de consulta en Copilot para seguridad en la búsqueda avanzada.

Captura de pantalla del panel Copilot en búsqueda avanzada.

Protección de la organización con inteligencia sobre amenazas pertinente

Capacite a su organización de seguridad para que tome decisiones informadas con la información sobre amenazas más reciente. Copilot consolida y resume la inteligencia sobre amenazas para ayudar a los equipos de seguridad a priorizar y responder a las amenazas de forma eficaz.

Supervisión de la inteligencia sobre amenazas

Pida a Copilot que resuma las amenazas pertinentes que afectan a su entorno, que dé prioridad a la resolución de amenazas en función de sus niveles de exposición o que busque actores de amenazas que puedan estar dirigidos a su sector. Obtenga más información sobre Copilot para seguridad en inteligencia sobre amenazas.

Captura de pantalla del panel Copilot en inteligencia sobre amenazas en Defender XDR.

Seguridad de datos y comentarios en Copilot

Copilot evoluciona continuamente mediante datosalmacenados, procesados y compartidos en función de la configuración definida por el administrador. Microsoft garantiza que los datos siempre están protegidos y protegidos cuando se usa Copilot. Para más información sobre la seguridad y privacidad de los datos en Copilot, consulte Privacidad y seguridad de datos en Copilot.

Debido a su continua evolución, Copilot podría perderse algunas cosas. Revisar y proporcionar comentarios sobre los resultados ayuda a mejorar las respuestas futuras de Copilot.

Todas las funcionalidades de Copilot en Defender tienen una opción para proporcionar comentarios. Para enviar sus comentarios, realice los siguientes pasos:

  1. Seleccione el icono de comentarios Captura de pantalla del icono de comentarios de Copilot en las tarjetas de Defender ubicadas en la parte inferior de cualquier tarjeta de resultados en el panel lateral de Copilot.
  2. Seleccione Confirmed (Confirmado), se ve muy bien si los resultados son precisos en función de su evaluación. Puede proporcionar más información en el cuadro de diálogo siguiente.
  3. Seleccione Fuera de destino, inexacto si algún detalle es incorrecto o está incompleto en función de su evaluación. Puede proporcionar más información sobre la evaluación en el siguiente cuadro de diálogo y enviar esta evaluación a Microsoft.
  4. También puede notificar los resultados si contiene información cuestionable o ambigua seleccionando Potencialmente perjudicial e inadecuado. Proporcione más información sobre los resultados en el cuadro de diálogo siguiente y seleccione Enviar.

Complementos en Copilot para seguridad

Copilot usa complementos preinstalados de Microsoft como Microsoft Defender XDR, Defender Threat Intelligence y Natural Language to KQL for Microsoft Sentinel y complementos de Defender XDR para generar información relevante, proporcionar más contexto a los incidentes y generar resultados más precisos. Asegúrese de que los complementos están activados en Copilot para permitir el acceso a los datos pertinentes y para generar contenido solicitado desde otros servicios de Microsoft de su organización.

Pasos siguientes

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.