Partager via

Trier et examiner les incidents avec des réponses guidées de Microsoft Copilot dans Microsoft Defender

  • Article
  • S’applique à:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Copilot pour la sécurité dans le portail Microsoft Defender prend en charge les équipes de réponse aux incidents pour résoudre immédiatement les incidents avec des réponses guidées. Copilot dans Defender utilise des fonctionnalités d’IA et d’apprentissage automatique pour contextualiser un incident et apprendre des examens précédents afin de générer des actions de réponse appropriées.

La réponse aux incidents dans le portail Microsoft Defender nécessite souvent une connaissance des actions disponibles du portail pour arrêter les attaques. En outre, les nouveaux répondants aux incidents peuvent avoir des idées différentes de l’emplacement et de la façon de commencer à répondre aux incidents. La fonctionnalité de réponse guidée Copilot dans Defender permet aux équipes de réponse aux incidents à tous les niveaux, d’appliquer en toute confiance et rapidement des actions de réponse pour résoudre les incidents en toute simplicité.

Les réponses guidées sont disponibles dans le portail Microsoft Defender via la licence Copilot pour la sécurité. Des réponses guidées sont également disponibles dans l’expérience autonome Copilot pour la sécurité via le plug-in Defender XDR.

Ce guide explique comment accéder à la fonctionnalité de réponse guidée, y compris des informations sur la fourniture de commentaires sur les réponses.

Utiliser des réponses guidées pour résoudre les incidents

Les réponses guidées recommandent des actions dans les catégories suivantes :

  • Triage – inclut une recommandation pour classifier les incidents comme des informations, des vrais positifs ou des faux positifs
  • Confinement – inclut les actions recommandées pour contenir un incident
  • Investigation – inclut les actions recommandées pour un examen plus approfondi
  • Correction – inclut les actions de réponse recommandées à appliquer à des entités spécifiques impliquées dans un incident

Chaque carte contient des informations sur l’action recommandée, notamment l’entité dans laquelle l’action sera appliquée et la raison pour laquelle l’action est recommandée. Les cartes soulignent également quand une action recommandée a été effectuée par une investigation automatisée comme une interruption d’attaque ou une réponse d’investigation automatisée.

Les cartes de réponse guidées peuvent être triées en fonction de l’état de disponibilité de chaque carte. Vous pouvez sélectionner un état spécifique lors de l’affichage des réponses guidées en cliquant sur État et en sélectionnant l’état approprié à afficher. Toutes les cartes de réponses guidées, quel que soit l’état, sont affichées par défaut.

Capture d’écran montrant la status des réponses dans le volet Copilot de la page d’incident Microsoft Defender.

Pour utiliser des réponses guidées, procédez comme suit :

  1. Ouvrez une page d’incident. Copilot génère automatiquement des réponses guidées lors de l’ouverture d’une page d’incident. Le volet Copilot s’affiche sur le côté droit de la page d’incident, affichant les cartes de réponse guidées.

    Capture d’écran montrant le volet Copilot avec les réponses guidées dans la page d’incident Microsoft Defender.

  2. Passez en revue chaque carte avant d’appliquer les recommandations. Sélectionnez les points de suspension Plus d’actions (...) en haut d’une carte de réponse pour afficher les options disponibles pour chaque recommandation. En voici quelques exemples.

    Capture d’écran montrant les options disponibles pour les utilisateurs dans une réponse guidée carte dans le panneau latéral Copilot.

    Capture d’écran montrant les options disponibles pour les utilisateurs dans une réponse d’automatisation carte dans le volet Copilot dans Microsoft Defender XDR.

  3. Pour appliquer une action, sélectionnez l’action souhaitée se trouvant sur chaque carte. L’action de réponse guidée sur chaque carte est adaptée au type d’incident et à l’entité spécifique impliquée.

    Capture d’écran montrant les cartes de réponse guidées dans le volet Copilot dans Microsoft Defender.

  4. Vous pouvez fournir des commentaires à chaque carte de réponse pour améliorer en permanence les réponses futures de Copilot. Pour fournir des commentaires, sélectionnez l’icône de commentaires Capture d’écran montrant l’icône de commentaires pour Copilot dans les cartes Defender situées en bas à droite de chaque carte.

Notes

Les boutons d’action grisés signifient que ces actions sont limitées par votre autorisation. Pour plus d’informations, reportez-vous à la page des autorisations d’accès unifié en fonction du rôle (RBAC).

Copilot permet d’accélérer les tâches d’investigation des analystes. Lorsqu’un incident nécessite une investigation plus approfondie de l’activité d’un utilisateur, Copilot suggère un texte que les analystes peuvent utiliser pour communiquer avec un utilisateur. La réponse guidée carte inclut une action Contacter l’utilisateur dans Teams ou Copier dans le Presse-papiers qui copie le texte suggéré dans le Presse-papiers. Les analystes peuvent ensuite coller le texte dans un e-mail ou un autre outil de communication. L’analyste peut également obtenir plus de contexte sur l’utilisateur via l’action Afficher l’utilisateur .

Capture d’écran montrant le texte suggéré pour la communication dans une réponse guidée carte.

Copilot prend également en charge les équipes de réponse aux incidents en permettant aux analystes d’obtenir plus de contexte sur les actions de réponse avec des insights supplémentaires. Pour les réponses de correction, les équipes de réponse aux incidents peuvent afficher des informations supplémentaires avec des options telles que Afficher des incidents similaires ou Afficher des e-mails similaires.

L’action Afficher les incidents similaires devient disponible lorsqu’il existe d’autres incidents dans l’organisation qui sont similaires à l’incident actuel. L’onglet Incidents similaires répertorie les incidents similaires que vous pouvez examiner. Microsoft Defender identifie automatiquement des incidents similaires au sein de l’organisation via le Machine Learning. Les équipes de réponse aux incidents peuvent utiliser les informations de ces incidents similaires pour classifier les incidents et examiner plus en détail les actions effectuées dans ces incidents similaires.

L’action Afficher des e-mails similaires, qui est spécifique aux incidents de hameçonnage, vous permet d’accéder à la page de repérage avancée, où une requête KQL pour répertorier des e-mails similaires dans l’organisation est générée automatiquement. Cette génération de requête automatique liée à un incident aide les équipes de réponse aux incidents à examiner plus en détail d’autres e-mails susceptibles d’être liés à l’incident. Vous pouvez examiner la requête et la modifier si nécessaire.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.