Share via

Resumir un incidente con Microsoft Copilot en Microsoft Defender

  • Artículo

Se aplica a:

  • Microsoft Defender XDR
  • Microsoft Defender plataforma unificada del Centro de operaciones de seguridad (SOC)

Microsoft Defender XDR aplica las funcionalidades de Copilot para seguridad para resumir los incidentes, proporcionando información e información impactantes para simplificar las tareas de investigación. La investigación de ataques es un paso crucial para que los equipos de respuesta a incidentes defiendan correctamente una organización contra daños adicionales de una ciberamenaza. Las investigaciones suelen llevar mucho tiempo, ya que implican numerosos pasos. Los equipos de respuesta a incidentes deben comprender cómo se produjo el ataque: ordenar numerosas alertas, identificar qué recursos y entidades están implicados y evaluar el ámbito y el impacto de un ataque.

Los respondedores de incidentes pueden obtener fácilmente el contexto adecuado para investigar y corregir incidentes a través de las funcionalidades de correlación de Defender XDR y el procesamiento y contextualización de datos con tecnología de inteligencia artificial de Copilot para seguridad. Con un resumen del incidente, los responsables de la respuesta pueden obtener rápidamente información importante para ayudar en su investigación.

La funcionalidad de resumen de incidentes está disponible en el portal de Microsoft Defender a través de la licencia de Copilot para seguridad. Esta funcionalidad también está disponible en la experiencia Copilot para seguridad independiente a través del complemento Microsoft Defender XDR.

En esta guía se describe qué esperar y cómo acceder a la funcionalidad de resumen de Copilot en Defender, incluida la información sobre cómo proporcionar comentarios.

Resumen de un incidente

Los incidentes que contengan hasta 100 alertas pueden resumirse en un resumen de incidente. En función de la disponibilidad de los datos, un resumen de incidentes incluye lo siguiente:

  • La hora y la fecha en que comenzó un ataque.
  • La entidad o activo donde se inició el ataque.
  • Un resumen de líneas de tiempo sobre cómo se desarrolló el atentado.
  • Los recursos implicados en el ataque.
  • Indicadores de riesgo (IoC).
  • Nombres de los actores de amenazas implicados.

Para resumir un incidente, realice los siguientes pasos:

  1. Abra una página de incidente. Copilot crea automáticamente un resumen de incidentes al abrir la página. Para detener la creación de resumen, seleccione Cancelar o reiniciar la creación; para ello, seleccione Regenerar.

  2. La tarjeta de resumen de incidentes se carga en el panel Copilot. Revise el resumen generado en la tarjeta. Captura de pantalla de la tarjeta de resumen de incidentes en el panel Copilot como se muestra en la página Microsoft Defender incidente.

    Sugerencia

    Puede navegar a un archivo, una dirección IP o una página url desde el panel de resultados de Copilot haciendo clic en la evidencia de los resultados.

  3. Seleccione los puntos suspensivos Más acciones (...) en la parte superior de la tarjeta de resumen de incidentes para copiar o volver a generar el resumen o ver el resumen en el portal de Copilot para seguridad. Al seleccionar Abrir en Copilot para seguridad se abre una nueva pestaña en el portal independiente de Copilot para seguridad, donde puede introducir mensajes y acceder a otros complementos. Recorte de pantalla que resalta las acciones disponibles en la tarjeta de resumen de incidentes.

  4. Revise el resumen y use la información para guiar la investigación y la respuesta al incidente. Para proporcionar comentarios sobre el resumen, seleccione el icono de comentarios Captura de pantalla del icono de comentarios de Copilot en las tarjetas de Defender que se encuentran en la parte inferior del panel Copilot.

Consulte también

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.