Resumir un incidente con Microsoft Copilot en Microsoft Defender
Se aplica a:
- Microsoft Defender XDR
- Microsoft Defender plataforma unificada del Centro de operaciones de seguridad (SOC)
Microsoft Defender XDR aplica las funcionalidades de Copilot para seguridad para resumir los incidentes, proporcionando información e información impactantes para simplificar las tareas de investigación. La investigación de ataques es un paso crucial para que los equipos de respuesta a incidentes defiendan correctamente una organización contra daños adicionales de una ciberamenaza. Las investigaciones suelen llevar mucho tiempo, ya que implican numerosos pasos. Los equipos de respuesta a incidentes deben comprender cómo se produjo el ataque: ordenar numerosas alertas, identificar qué recursos y entidades están implicados y evaluar el ámbito y el impacto de un ataque.
Los respondedores de incidentes pueden obtener fácilmente el contexto adecuado para investigar y corregir incidentes a través de las funcionalidades de correlación de Defender XDR y el procesamiento y contextualización de datos con tecnología de inteligencia artificial de Copilot para seguridad. Con un resumen del incidente, los responsables de la respuesta pueden obtener rápidamente información importante para ayudar en su investigación.
La funcionalidad de resumen de incidentes está disponible en el portal de Microsoft Defender a través de la licencia de Copilot para seguridad. Esta funcionalidad también está disponible en la experiencia Copilot para seguridad independiente a través del complemento Microsoft Defender XDR.
En esta guía se describe qué esperar y cómo acceder a la funcionalidad de resumen de Copilot en Defender, incluida la información sobre cómo proporcionar comentarios.
Resumen de un incidente
Los incidentes que contengan hasta 100 alertas pueden resumirse en un resumen de incidente. En función de la disponibilidad de los datos, un resumen de incidentes incluye lo siguiente:
- La hora y la fecha en que comenzó un ataque.
- La entidad o activo donde se inició el ataque.
- Un resumen de líneas de tiempo sobre cómo se desarrolló el atentado.
- Los recursos implicados en el ataque.
- Indicadores de riesgo (IoC).
- Nombres de los actores de amenazas implicados.
Para resumir un incidente, realice los siguientes pasos:
Abra una página de incidente. Copilot crea automáticamente un resumen de incidentes al abrir la página. Para detener la creación de resumen, seleccione Cancelar o reiniciar la creación; para ello, seleccione Regenerar.
La tarjeta de resumen de incidentes se carga en el panel Copilot. Revise el resumen generado en la tarjeta.
Sugerencia
Puede navegar a un archivo, una dirección IP o una página url desde el panel de resultados de Copilot haciendo clic en la evidencia de los resultados.
Seleccione los puntos suspensivos Más acciones (...) en la parte superior de la tarjeta de resumen de incidentes para copiar o volver a generar el resumen o ver el resumen en el portal de Copilot para seguridad. Al seleccionar Abrir en Copilot para seguridad se abre una nueva pestaña en el portal independiente de Copilot para seguridad, donde puede introducir mensajes y acceder a otros complementos.
Revise el resumen y use la información para guiar la investigación y la respuesta al incidente. Para proporcionar comentarios sobre el resumen, seleccione el icono de comentarios que se encuentran en la parte inferior del panel Copilot.
Consulte también
- Ejecución del análisis de scripts
- Analizar archivos
- Generación de un resumen de dispositivo
- Usar respuestas guiadas al responder a amenazas
- Generación de consultas KQL
- Crear informes de incidentes
- Introducción a Microsoft Copilot para seguridad
- Más información sobre otras experiencias Copilot para seguridad insertadas
- Más información sobre los complementos preinstalados en Copilot para seguridad
- Investigación de incidentes en Microsoft Defender XDR
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de