Partager via

Résumer un incident avec Microsoft Copilot dans Microsoft Defender

  • Article

S’applique à :

  • Microsoft Defender XDR
  • Plateforme SOC (Unified Security Operations Center) Microsoft Defender

Microsoft Defender XDR applique les fonctionnalités de Copilot for Security pour résumer les incidents, en fournissant des informations et des insights percutants pour simplifier les tâches d’investigation. L'enquête sur les attaques est une étape cruciale pour les équipes de réponse aux incidents afin de réussir à défendre une organisation contre d'autres dommages causés par une cybermenace. Les investigations peuvent souvent prendre beaucoup de temps, car elles impliquent de nombreuses étapes. Les équipes de réponse aux incidents doivent comprendre comment l'attaque s'est produite : trier les nombreuses alertes, identifier les actifs et les entités impliqués et évaluer la portée et l'impact d'une attaque.

Les répondants aux incidents peuvent facilement obtenir le contexte approprié pour examiner et corriger les incidents grâce aux fonctionnalités de corrélation de Defender XDR et au traitement et à la contextualisation des données basés sur l’IA de Copilot for Security. Grâce à un résumé de l'incident, les intervenants peuvent obtenir rapidement des informations importantes qui les aideront dans leur enquête.

La fonctionnalité de synthèse des incidents est disponible dans le portail Microsoft Defender via la licence Copilot for Security. Cette fonctionnalité est également disponible dans l’expérience autonome Copilot for Security via le plug-in Microsoft Defender XDR.

Ce guide décrit ce à quoi vous devez vous attendre et comment accéder à la fonctionnalité de synthèse de Copilot dans Defender, y compris des informations sur la fourniture de commentaires.

Résumer un incident

Les incidents contenant jusqu'à 100 alertes peuvent être résumés dans un seul résumé d'incident. Un résumé de l'incident, en fonction de la disponibilité des données, comprend les éléments suivants :

  • L'heure et la date du début d'une attaque.
  • L'entité ou l'actif où l'attaque a commencé.
  • Un résumé des chronologies du déroulement de l’attaque.
  • Les actifs impliqués dans l’attaque.
  • Indicateurs de compromission (IOC).
  • Noms des acteurs de la menace impliqués.

Pour résumer un incident, effectuez les étapes suivantes :

  1. Ouvrez une page d'incident. Copilot crée automatiquement un résumé de l’incident lors de l’ouverture de la page. Vous pouvez arrêter la création du résumé en sélectionnant Annuler ou redémarrer la création en sélectionnant Régénérer.

  2. La carte récapitulative de l’incident se charge dans le volet Copilot. Consultez le résumé généré sur la carte.

    Capture d’écran montrant la carte récapitulative de l’incident dans le volet Copilot, comme indiqué dans la page d’incident Microsoft Defender.

    Conseil

    Vous pouvez accéder à un fichier, une adresse IP ou une page d’URL à partir du volet de résultats Copilot en cliquant sur la preuve dans les résultats.

  3. Sélectionnez les points de suspension Autres actions (...) en haut de la carte de synthèse de l’incident pour copier ou régénérer le résumé, ou afficher le résumé dans le portail Copilot for Security. La sélection de Ouvrir dans Copilot for Security ouvre un nouvel onglet au portail autonome Copilot for Security, où vous pouvez entrer des invites et accéder à d’autres plug-ins.

    Capture d’écran montrant les actions disponibles sur la carte récapitulative de l’incident.

  4. Passez en revue le résumé et utilisez les informations pour guider votre investigation et votre réponse à l’incident. Vous pouvez fournir des commentaires sur le résumé en sélectionnant l’icône de commentaires Capture d’écran de l’icône de commentaires pour Copilot dans les cartes Defender situées en bas du volet Copilot.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.