Trier et examiner les incidents avec des réponses guidées de Microsoft Copilot dans Microsoft Defender

• S’applique à:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Copilot pour la sécurité dans le portail Microsoft Defender prend en charge les équipes de réponse aux incidents pour résoudre immédiatement les incidents avec des réponses guidées. Copilot dans Defender utilise des fonctionnalités d’IA et d’apprentissage automatique pour contextualiser un incident et apprendre des examens précédents afin de générer des actions de réponse appropriées.

Ce guide explique comment accéder à la fonctionnalité de réponse guidée, y compris des informations sur la fourniture de commentaires sur les réponses.

Bon à savoir avant de commencer

Si vous débutez avec Copilot for Security, vous devez vous y familiariser en lisant les articles suivants :

• Qu’est-ce que Copilot pour la sécurité ?
• Expériences Microsoft Copilot pour la sécurité
• Démarrage avec Copilot pour la sécurité
• Comprendre l’authentification dans Copilot for Security
• Demande de Microsoft Copilot pour la sécurité

La réponse aux incidents dans le portail Microsoft Defender nécessite souvent une connaissance des actions disponibles du portail pour arrêter les attaques. En outre, les nouveaux répondants aux incidents peuvent avoir des idées différentes de l’emplacement et de la façon de commencer à répondre aux incidents. La fonctionnalité de réponse guidée Copilot dans Defender permet aux équipes de réponse aux incidents à tous les niveaux, d’appliquer en toute confiance et rapidement des actions de réponse pour résoudre les incidents en toute simplicité.

Intégration de Copilot for Security dans Microsoft Defender

Les réponses guidées sont disponibles dans le portail Microsoft Defender pour les clients qui ont un accès provisionné à Copilot for Security.

Les réponses guidées sont également disponibles dans l’expérience autonome Copilot for Security via le plug-in Microsoft Defender XDR. En savoir plus sur les plug-ins préinstallés dans Copilot pour la sécurité.

Principales fonctionnalités

Les réponses guidées recommandent des actions dans les catégories suivantes :

• Triage – inclut une recommandation pour classifier les incidents comme des informations, des vrais positifs ou des faux positifs
• Confinement – inclut les actions recommandées pour contenir un incident
• Investigation – inclut les actions recommandées pour un examen plus approfondi
• Correction – inclut les actions de réponse recommandées à appliquer à des entités spécifiques impliquées dans un incident

Chaque carte contient des informations sur l’action recommandée, notamment l’entité dans laquelle l’action sera appliquée et la raison pour laquelle l’action est recommandée. Les cartes soulignent également quand une action recommandée a été effectuée par une investigation automatisée comme une interruption d’attaque ou une réponse d’investigation automatisée.

Les cartes de réponse guidées peuvent être triées en fonction de l’état de disponibilité de chaque carte. Vous pouvez sélectionner un état spécifique lors de l’affichage des réponses guidées en cliquant sur État et en sélectionnant l’état approprié à afficher. Toutes les cartes de réponses guidées, quel que soit l’état, sont affichées par défaut.

Pour utiliser des réponses guidées, procédez comme suit :

1. Ouvrez une page d’incident. Copilot génère automatiquement des réponses guidées lors de l’ouverture d’une page d’incident. Le volet Copilot s’affiche sur le côté droit de la page d’incident, affichant les cartes de réponse guidées.

   

2. Passez en revue chaque carte avant d’appliquer les recommandations. Sélectionnez les points de suspension Plus d’actions (...) en haut d’une carte de réponse pour afficher les options disponibles pour chaque recommandation. En voici quelques exemples.

   

   

3. Pour appliquer une action, sélectionnez l’action souhaitée se trouvant sur chaque carte. L’action de réponse guidée sur chaque carte est adaptée au type d’incident et à l’entité spécifique impliquée.

   

4. Vous pouvez fournir des commentaires à chaque carte de réponse pour améliorer en permanence les réponses futures de Copilot. Pour fournir des commentaires, sélectionnez l’icône situées en bas à droite de chaque carte.

Notes

Les boutons d’action grisés signifient que ces actions sont limitées par votre autorisation. Pour plus d’informations, reportez-vous à la page des autorisations d’accès unifié en fonction du rôle (RBAC).

Copilot permet d’accélérer les tâches d’investigation des analystes. Lorsqu’un incident nécessite une investigation plus approfondie de l’activité d’un utilisateur, Copilot suggère un texte que les analystes peuvent utiliser pour communiquer avec un utilisateur. La réponse guidée carte inclut une action Contacter l’utilisateur dans Teams ou Copier dans le Presse-papiers qui copie le texte suggéré dans le Presse-papiers. Les analystes peuvent ensuite coller le texte dans un e-mail ou un autre outil de communication. L’analyste peut également obtenir plus de contexte sur l’utilisateur via l’action Afficher l’utilisateur .

Copilot prend également en charge les équipes de réponse aux incidents en permettant aux analystes d’obtenir plus de contexte sur les actions de réponse avec des insights supplémentaires. Pour les réponses de correction, les équipes de réponse aux incidents peuvent afficher des informations supplémentaires avec des options telles que Afficher des incidents similaires ou Afficher des e-mails similaires.

L’action Afficher les incidents similaires devient disponible lorsqu’il existe d’autres incidents dans l’organisation qui sont similaires à l’incident actuel. L’onglet Incidents similaires répertorie les incidents similaires que vous pouvez examiner. Microsoft Defender identifie automatiquement des incidents similaires au sein de l’organisation via le Machine Learning. Les équipes de réponse aux incidents peuvent utiliser les informations de ces incidents similaires pour classifier les incidents et examiner plus en détail les actions effectuées dans ces incidents similaires.

L’action Afficher des e-mails similaires, qui est spécifique aux incidents de hameçonnage, vous permet d’accéder à la page de repérage avancée, où une requête KQL pour répertorier des e-mails similaires dans l’organisation est générée automatiquement. Cette génération de requête automatique liée à un incident aide les équipes de réponse aux incidents à examiner plus en détail d’autres e-mails susceptibles d’être liés à l’incident. Vous pouvez examiner la requête et la modifier si nécessaire.

Exemple d’invite de réponses guidées

Dans le portail autonome Copilot for Security, vous pouvez utiliser l’invite suivante pour générer des réponses guidées :

• Générez des réponses guidées et des recommandations pour l’incident Defender {ID d’incident}.

Conseil

Lors de la génération de réponses guidées dans le portail Copilot for Security, Microsoft recommande d’inclure le mot Defender dans vos invites pour vous assurer que la fonctionnalité de réponses guidées fournit les résultats.

Envoyer des commentaires

Microsoft vous encourage vivement à fournir des commentaires à Copilot, car il est essentiel pour l’amélioration continue d’une fonctionnalité. Pour fournir des commentaires, accédez au bas du panneau latéral Copilot et sélectionnez l’icône de commentaires .

Voir aussi

• En savoir plus sur d’autres expériences incorporées Copilot pour la sécurité
• Confidentialité et sécurité des données dans Copilot for Security

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.