Microsoft Copilot dans Microsoft Defender
S’applique à :
- Microsoft Defender XDR
- Plateforme SOC (Unified Security Operations Center) Microsoft Defender
Microsoft Copilot for Security réunit la puissance de l’IA et l’expertise humaine pour aider les équipes de sécurité à répondre aux attaques plus rapidement et plus efficacement. Copilot for Security est incorporé dans le portail Microsoft Defender pour permettre aux équipes de sécurité de résumer efficacement les incidents, d’analyser les scripts et les codes, d’analyser les fichiers, de résumer les informations de l’appareil, d’utiliser des réponses guidées pour résoudre les incidents, de générer des requêtes KQL et de créer des rapports d’incident.
Cet article fournit une vue d’ensemble pour les utilisateurs de Copilot dans Defender, notamment les étapes d’accès, les fonctionnalités clés et les liens vers les détails de ces fonctionnalités.
Accéder à Copilot dans Defender
Pour vous assurer que vous avez accès à Copilot dans Defender, consultez les informations d’achat et de licence Copilot for Security. Une fois que vous avez accès à Copilot for Security, les fonctionnalités clés décrites ci-dessous deviennent accessibles dans le portail Microsoft Defender.
Examiner et répondre aux incidents comme un expert
Permettre aux équipes de sécurité de traiter les enquêtes sur les attaques en temps voulu avec facilité et précision. Copilot aide les équipes à comprendre immédiatement les attaques, à analyser rapidement les fichiers et scripts suspects, et à évaluer et appliquer rapidement les mesures d’atténuation appropriées pour arrêter et contenir les attaques.
Résumer rapidement les incidents
L’examen des incidents avec plusieurs alertes peut être une tâche ardue. Pour comprendre immédiatement un incident, vous pouvez appuyer sur Copilot pour résumer un incident pour vous. Copilot crée une vue d’ensemble de l’attaque. La vue d’ensemble contient des informations essentielles pour vous permettre de comprendre ce qui s’est passé dans l’attaque, les ressources impliquées et la chronologie de l’attaque. Copilot crée automatiquement un résumé lorsque vous accédez à la page d’un incident.
Prendre des mesures sur les incidents par le biais de réponses guidées
La résolution des incidents nécessite que les analystes aient une compréhension d’une attaque pour savoir quelles solutions sont appropriées. Copilot recommande des solutions par le biais de réponses guidées spécifiques à chaque incident.
Exécuter l’analyse des scripts en toute simplicité
La plupart des attaquants s’appuient sur des logiciels malveillants sophistiqués lors du lancement d’attaques pour éviter la détection et l’analyse. Ces programmes malveillants sont généralement masqués et peuvent être sous la forme de scripts ou de lignes de commande dans PowerShell. Copilot peut analyser rapidement les scripts, ce qui réduit le temps d’investigation.
Générer des résumés d'appareils
L’examen des appareils impliqués dans des incidents peut être un travail de tâche. Pour évaluer rapidement un appareil, Copilot peut résumer les informations d’un appareil, notamment la posture de sécurité de l’appareil, tout comportement inhabituel, une liste de logiciels vulnérables et des informations Microsoft Intune pertinentes.
Analyser les fichiers rapidement
Copilot aide les équipes de sécurité à évaluer et à comprendre rapidement les fichiers suspects avec l’analyse des fichiers. Copilot fournit le résumé d’un fichier, y compris les informations de détection, les certificats de fichiers associés, une liste d’appels d’API et les chaînes trouvées dans le fichier.
Écrire des rapports d’incident efficacement
Les équipes des opérations de sécurité écrivent généralement des rapports pour enregistrer des informations importantes, notamment les actions de réponse prises et les résultats correspondants, les membres de l’équipe impliqués et d’autres informations pour faciliter les décisions et l’apprentissage futurs en matière de sécurité. Souvent, la documentation des incidents peut prendre beaucoup de temps. Pour qu’un rapport d’incident soit efficace, il doit contenir le résumé d’un incident, ainsi que les actions entreprises, y compris les actions qui ont été prises par qui et quand. Copilot génère un rapport d’incident en consolidant rapidement ces informations.
Chasser comme un pro
Copilot dans Defender aide les équipes de sécurité à rechercher de manière proactive les menaces dans leur réseau en créant rapidement des requêtes KQL appropriées.
Générer des requêtes KQL à partir d’une entrée en langage naturel
Les équipes de sécurité qui utilisent la chasse avancée pour rechercher de manière proactive les menaces dans leur réseau peuvent désormais utiliser un assistant de requête qui convertit toute question en langage naturel, dans le contexte de la chasse aux menaces, en une requête KQL prête à être exécutée. La requête assistant permet aux équipes de sécurité de gagner du temps en générant une requête KQL qui peut ensuite être exécutée automatiquement ou modifiée en fonction des besoins de l’analyste. En savoir plus sur l’assistant de requête dans Copilot for Security dans la chasse avancée.
Protéger votre organisation avec des informations pertinentes sur les menaces
Donnez à votre organisation de sécurité les moyens de prendre des décisions éclairées avec les dernières informations sur les menaces. Copilot regroupe et résume le renseignement sur les menaces pour aider les équipes de sécurité à hiérarchiser les menaces et à y répondre efficacement.
Surveiller le renseignement sur les menaces
Demandez à Copilot de résumer les menaces pertinentes qui affectent votre environnement, de hiérarchiser la résolution des menaces en fonction de vos niveaux d’exposition ou de trouver des acteurs de menace susceptibles de cibler votre secteur d’activité. En savoir plus sur Copilot pour la sécurité dans le renseignement sur les menaces.
Sécurité des données et commentaires dans Copilot
Copilot évolue en permanence à l’aide de donnéesstockées, traitées et partagées en fonction des paramètres définis par votre administrateur. Microsoft garantit que vos données sont toujours protégées et sécurisées lors de l’utilisation de Copilot. Pour en savoir plus sur la sécurité et la confidentialité des données dans Copilot, consultez Confidentialité et sécurité des données dans Copilot.
En raison de son évolution continue, Copilot pourrait manquer certaines choses. L’examen et la fourniture de commentaires sur les résultats permettent d’améliorer les réponses futures de Copilot.
Toutes les fonctionnalités de Copilot dans Defender ont la possibilité de fournir des commentaires. Pour fournir des commentaires, procédez comme suit :
- Sélectionnez l’icône de commentaires Située en bas d’une carte de résultats dans le panneau latéral De Copilot.
- Sélectionnez Confirmé. Cela semble très bien si les résultats sont exacts en fonction de votre évaluation. Vous pouvez fournir plus d’informations dans la boîte de dialogue suivante.
- Sélectionnez Hors cible, inexact si des détails sont incorrects ou incomplets en fonction de votre évaluation. Vous pouvez fournir plus d’informations sur votre évaluation dans la boîte de dialogue suivante et envoyer cette évaluation à Microsoft.
- Vous pouvez également signaler les résultats s’il contient des informations douteuses ou ambiguës en sélectionnant Potentiellement dangereux, inapproprié. Fournissez plus d’informations sur les résultats dans la boîte de dialogue suivante, puis sélectionnez Envoyer.
Plug-ins dans Copilot for Security
Copilot utilise des plug-ins Microsoft préinstallés tels que Microsoft Defender XDR, Defender Threat Intelligence et Natural Language to KQL pour Microsoft Sentinel et les plug-ins Defender XDR pour générer des informations pertinentes, fournir plus de contexte aux incidents et générer des résultats plus précis. Vérifiez que les plug-ins sont activés dans Copilot pour autoriser l’accès aux données pertinentes et générer le contenu demandé à partir d’autres services Microsoft de votre organisation.
Étapes suivantes
- Découvrez comment résumer les incidents
- Utiliser des réponses guidées lors de la réponse aux incidents
- Exécuter l'analyse du script
- Analyser les fichiers
- Générer un résumé de l’appareil
- Générer des requêtes KQL
- Créer des rapports d'incidents
- Utiliser le renseignement sur les menaces
Voir aussi
- Démarrage avec Copilot pour la sécurité
- Confidentialité et sécurité des données dans Copilot
- FAQ sur l’IA responsable
- Autres expériences incorporées Copilot for Security
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de l’année 2024, nous abandonnerons progressivement le mécanisme de retour d’information GitHub Issues pour le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez :Soumettre et afficher des commentaires pour