Résumer un incident avec Microsoft Copilot dans Microsoft Defender
Microsoft Defender XDR applique les fonctionnalités de Copilot pour la sécurité pour résumer les incidents, fournissant ainsi des informations et des insights percutants pour simplifier les tâches d’enquête. L'enquête sur les attaques est une étape cruciale pour les équipes de réponse aux incidents afin de réussir à défendre une organisation contre d'autres dommages causés par une cybermenace. Les investigations peuvent souvent prendre beaucoup de temps, car elles impliquent de nombreuses étapes. Les équipes de réponse aux incidents doivent comprendre comment l'attaque s'est produite : trier les nombreuses alertes, identifier les actifs et les entités impliqués et évaluer la portée et l'impact d'une attaque.
Les équipes de réponse aux incidents peuvent facilement obtenir le contexte approprié pour enquêter et remédier aux incidents grâce aux fonctionnalités de corrélation de Defender XDR et au traitement et à la contextualisation des données basés sur l’IA de Copilot pour la sécurité. Grâce à un résumé de l'incident, les intervenants peuvent obtenir rapidement des informations importantes qui les aideront dans leur enquête.
La fonctionnalité de résumé des incidents est disponible dans le portail Microsoft Defender par le biais de la licence Copilot pour la sécurité. Cette fonctionnalité est également disponible dans l’expérience autonome Copilot pour la sécurité par le biais du plug-in Microsoft Defender XDR.
Ce guide décrit ce à quoi vous devez vous attendre et comment accéder à la fonctionnalité de synthèse de Copilot dans Defender, y compris des informations sur la fourniture de commentaires.
Résumer un incident
Les incidents contenant jusqu'à 100 alertes peuvent être résumés dans un seul résumé d'incident. Un résumé de l'incident, en fonction de la disponibilité des données, comprend les éléments suivants :
- L'heure et la date du début d'une attaque.
- L'entité ou l'actif où l'attaque a commencé.
- Un résumé des chronologies du déroulement de l’attaque.
- Les actifs impliqués dans l’attaque.
- Indicateurs de compromission (IOC).
- Noms des acteurs de la menace impliqués.
Pour résumer un incident, effectuez les étapes suivantes :
Ouvrez une page d'incident. Copilot crée automatiquement un résumé de l’incident à l’ouverture de la page. Vous pouvez arrêter la création du résumé en sélectionnant Annuler ou redémarrer la création en sélectionnant Régénérer.
La fiche récapitulative des incidents se charge dans le volet Copilot. Consultez le résumé généré sur la carte.
Conseil
Vous pouvez accéder à un fichier, une adresse IP ou une page d’URL à partir du volet de résultats Copilot en cliquant sur la preuve dans les résultats.
Sélectionnez les points de suspension (...) Autres actions en haut de la carte récapitulative des incidents pour copier ou régénérer le résumé, ou afficher le résumé dans le portail Copilot pour la sécurité. La sélection de l’option Ouvrir dans Copilot pour la sécurité ouvre un nouvel onglet sur le portail autonome Copilot pour la sécurité où vous pouvez entrer des invites et accéder à d’autres plugins.
Vérifiez le résumé et utilisez les informations pour guider votre enquête et votre réponse à l’incident. Vous pouvez fournir des commentaires sur le résumé en sélectionnant l’icône de commentaires
situées en bas du volet Copilot.
Voir aussi
- Exécuter l'analyse du script
- Analyser les fichiers
- Générer un résumé de l’appareil
- Utiliser des réponses guidées lorsque vous répondez aux menaces
- Générer des requêtes KQL
- Créer des rapports d'incidents
- Démarrer avec Microsoft Copilot pour la sécurité
- En savoir plus sur d’autres expériences incorporées Copilot pour la sécurité
- En savoir plus sur les plug-ins préinstallés dans Copilot pour la sécurité
- Examiner les incidents dans Microsoft Defender XDR
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.