Evaluar e investigar incidentes con respuestas guiadas de Microsoft Copilot en Microsoft Defender

Se aplica a:

• Microsoft Defender XDR
• Microsoft Defender plataforma unificada del Centro de operaciones de seguridad (SOC)

Microsoft Copilot para seguridad en el portal de Microsoft Defender admite equipos de respuesta a incidentes en la resolución inmediata de incidentes con respuestas guiadas. Copilot en Defender usa funcionalidades de inteligencia artificial y aprendizaje automático para contextualizar un incidente y aprender de investigaciones anteriores para generar las acciones de respuesta adecuadas.

Responder a incidentes en el portal de Microsoft Defender a menudo requiere estar familiarizado con las acciones disponibles del portal para detener los ataques. Además, los nuevos usuarios que responden ante incidentes pueden tener diferentes ideas sobre dónde y cómo empezar a responder a los incidentes. La capacidad de respuesta guiada de Copilot en Defender permite a los equipos de respuesta a incidentes en todos los niveles aplicar acciones de respuesta con confianza y rapidez para resolver incidentes con facilidad.

Las respuestas guiadas están disponibles en el portal de Microsoft Defender a través de la licencia de Copilot para seguridad. Las respuestas guiadas también están disponibles en la experiencia Copilot para seguridad independiente a través del complemento Defender XDR.

En esta guía se describe cómo acceder a la funcionalidad de respuesta guiada, incluida la información sobre cómo proporcionar comentarios sobre las respuestas.

Aplicación de respuestas guiadas para resolver incidentes

Las respuestas guiadas recomiendan acciones en las siguientes categorías:

• Clasificación: incluye una recomendación para clasificar los incidentes como informativos, verdaderos positivos o falsos positivos
• Contención: incluye acciones recomendadas para contener un incidente
• Investigación: incluye acciones recomendadas para una investigación más detallada
• Corrección: incluye acciones de respuesta recomendadas que se aplican a entidades específicas implicadas en un incidente

Cada tarjeta contiene información sobre la acción recomendada, incluida la entidad en la que se debe aplicar la acción y por qué se recomienda la acción. Las tarjetas también enfatizan cuándo se realizó una acción recomendada mediante una investigación automatizada, como la interrupción de ataques o la respuesta de investigación automatizada.

Las tarjetas de respuesta guiadas se pueden ordenar en función del estado disponible para cada tarjeta. Puede seleccionar un estado específico al ver las respuestas guiadas haciendo clic en Estado y seleccionando el estado adecuado que desea ver. Todas las tarjetas de respuesta guiada independientemente del estado se muestran de forma predeterminada.

Para usar respuestas guiadas, realice los pasos siguientes:

1. Abra una página de incidente. Copilot genera automáticamente respuestas guiadas al abrir una página de incidentes. El panel Copilot aparece en el lado derecho de la página del incidente, donde se muestran las tarjetas de respuesta guiadas.

   

2. Revise cada tarjeta antes de aplicar las recomendaciones. Seleccione los puntos suspensivos Más acciones (...) encima de una tarjeta de respuesta para ver las opciones disponibles para cada recomendación. A continuación se describen algunos ejemplos:

   

   

3. Para aplicar una acción, seleccione la acción deseada que se encuentra en cada tarjeta. La acción de respuesta guiada en cada tarjeta se adapta al tipo de incidente y a la entidad específica implicada.

   

4. Puede proporcionar comentarios a cada tarjeta de respuesta para mejorar continuamente las respuestas futuras de Copilot. Para proporcionar comentarios, seleccione el icono de comentarios que se encuentran en la parte inferior derecha de cada tarjeta.

Nota:

Los botones de acción atenuados significan que estas acciones están limitadas por su permiso. Consulte la página de permisos de acceso basado en roles (RBAC) unificados para obtener más información.

Copilot en Defender admite equipos de respuesta a incidentes al permitir que los analistas obtengan más contexto sobre las acciones de respuesta con información adicional. Para las respuestas de corrección, los equipos de respuesta a incidentes pueden ver información adicional con opciones como Ver incidentes similares o Ver correos electrónicos similares.

La acción Ver incidentes similares está disponible cuando hay otros incidentes dentro de la organización que son similares al incidente actual. En la pestaña Incidentes similares se enumeran los incidentes similares que puede revisar. Microsoft Defender identifica automáticamente incidentes similares dentro de la organización a través del aprendizaje automático. Los equipos de respuesta a incidentes pueden usar la información de estos incidentes similares para clasificar los incidentes y revisar aún más las acciones realizadas en esos incidentes similares.

La acción Ver correos electrónicos similares, que es específica de los incidentes de suplantación de identidad (phishing), le lleva a la página Búsqueda avanzada de amenazas, donde se genera automáticamente una consulta KQL para enumerar correos electrónicos similares dentro de la organización. Esta generación automática de consultas relacionadas con un incidente ayuda a los equipos de respuesta a incidentes a investigar más a fondo otros correos electrónicos que podrían estar relacionados con el incidente. Puede revisar la consulta y modificarla según sea necesario.

Consulte también

• Resumen de un incidente
• Analizar archivos
• Ejecución del análisis de scripts
• Crear un informe de incidentes
• Generación de consultas KQL
• Introducción a Microsoft Copilot para seguridad
• Más información sobre otras experiencias Copilot para seguridad insertadas
• Más información sobre los complementos preinstalados en Copilot para seguridad

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.