Partage via

Microsoft Copilot dans Microsoft Defender

  • Article
  • S’applique à:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Notes

Microsoft Defender XDR offre une expérience XDR unifiée pour Microsoft Defender pour point de terminaison, Microsoft Defender pour Identity, Microsoft Defender pour Office 365, Microsoft Defender for Cloud Apps et Microsoft Defender pour la gestion des vulnérabilités. Pour en savoir plus sur cette suite de défense pré-violation et post-violation, consultez Qu’est-ce que Microsoft Defender XDR ?

Cet article fournit une vue d’ensemble pour les utilisateurs de Microsoft Copilot dans Microsoft Defender, y compris les étapes d’accès, les fonctionnalités clés et les liens vers les détails de ces fonctionnalités.

Bon à savoir avant de commencer

Si vous débutez avec Copilot for Security, vous devez vous y familiariser en lisant les articles suivants :

intégration Microsoft Copilot dans Microsoft Defender

Microsoft Copilot for Security regroupe la puissance de l’IA et de l’expertise humaine pour aider les équipes de sécurité à répondre aux attaques plus rapidement et plus efficacement. Copilot for Security est incorporé dans le portail Microsoft Defender pour aider à fournir aux équipes de sécurité des capacités améliorées pour examiner les incidents et y répondre, rechercher les menaces et protéger leurs organization avec des informations pertinentes sur les menaces. Copilot dans Defender est disponible pour les utilisateurs qui ont un accès provisionné à Copilot for Security.

Principales fonctionnalités

Examiner et répondre aux incidents comme un expert

Permettre aux équipes de sécurité de s’attaquer aux enquêtes sur les attaques en temps voulu avec facilité et précision. Copilot permet aux équipes de comprendre immédiatement les attaques, d’analyser rapidement les fichiers et les scripts suspects, et d’évaluer et d’appliquer rapidement les atténuations appropriées pour arrêter et contenir des attaques.

Résumer rapidement les incidents

L’examen des incidents avec plusieurs alertes peut être une tâche ardue. Pour comprendre immédiatement un incident, vous pouvez appuyer sur Copilot pour résumer un incident pour vous. Copilot crée une vue d’ensemble de l’attaque. La vue d’ensemble contient des informations essentielles pour vous permettre de comprendre ce qui s’est passé dans l’attaque, les ressources impliquées et les chronologie de l’attaque. Copilot crée automatiquement un résumé lorsque vous accédez à la page d’un incident.

Capture d’écran de la carte récapitulative de l’incident dans le volet Copilot, comme indiqué dans la page incident de Microsoft Defender.

Prendre des mesures sur les incidents par le biais de réponses guidées

La résolution des incidents nécessite que les analystes comprennent une attaque pour savoir quelles solutions sont appropriées. Copilot recommande des solutions via réponses guidées spécifiques à chaque incident.

Capture d’écran mettant en évidence le volet Copilot avec les réponses guidées dans la page incident de Microsoft Defender.

Exécutez facilement l’analyse des scripts

La plupart des attaquants s’appuient sur des logiciels malveillants sophistiqués lors du lancement d’attaques pour éviter la détection et l’analyse. Ces programmes malveillants sont généralement masqués et peuvent se trouver sous la forme de scripts ou de lignes de commande dans PowerShell. Copilot peut rapidement analyser les scripts, ce qui réduit le temps d’investigation.

Capture d’écran mettant en évidence le bouton d’analyse de script dans l’affichage du scénario d’attaque dans la page incident.

Générer des résumés d'appareils

L’examen des appareils impliqués dans les incidents peut être un travail de tâche. Pour évaluer rapidement un appareil, Copilot peut résumer les informations d’un appareil, notamment la posture de sécurité de l’appareil, tous les comportements inhabituels, une liste de logiciels vulnérables et des informations Microsoft Intune pertinentes.

Capture d’écran du récapitulatif de l’appareil dans Copilot dans Defender.

Analyser les fichiers rapidement

Copilot aide les équipes de sécurité à évaluer et à comprendre rapidement les fichiers suspects grâce à l'analyse des fichiers. Copilot fournit le résumé d’un fichier, notamment des informations de détection, des certificats de fichier associés, une liste d’appels d’API et des chaînes trouvées dans le fichier.

Capture d’écran des résultats de l’analyse de fichier dans Copilot dans Defender avec l’option Masquer les détails mise en évidence.

Examiner immédiatement les identités

Évaluez rapidement le risque d’un utilisateur en générant un résumé d’identité avec Copilot. Identifiez quand une identité est à risque ou suspecte à l’aide d’informations contextuelles sur les changements de rôle et de rôle d’un utilisateur, les comportements de connexion, les appareils connectés et les informations de contact pertinentes.

Capture d’écran montrant l’option Résumer dans le volet des détails de l’utilisateur.

Écrire des rapports d’incident efficacement

Les équipes des opérations de sécurité écrivent généralement des rapports pour enregistrer des informations importantes, notamment les actions de réponse prises et les résultats correspondants, les membres de l’équipe impliqués et d’autres informations pour faciliter les décisions et l’apprentissage futurs en matière de sécurité. Souvent, la documentation des incidents peut prendre beaucoup de temps. Pour qu’un rapport d’incident soit efficace, il doit contenir le résumé d’un incident, ainsi que les actions entreprises, y compris les actions qui ont été prises par qui et quand. Copilot génère un rapport d’incident en consolidant rapidement ces informations.

Capture d’écran de la carte de rapport d’incident dans la page d’incident montrant la moitié supérieure de la carte.

Chassez comme un professionnel

Copilot dans Defender aide les équipes de sécurité à rechercher de manière proactive les menaces dans leur réseau en créant rapidement des requêtes KQL appropriées.

Générer des requêtes KQL à partir d’une entrée en langage naturel

Les équipes de sécurité qui utilisent la chasse avancée pour rechercher de manière proactive les menaces dans leur réseau peuvent désormais utiliser une assistant de requête qui convertit toute question en langage naturel, dans le contexte de la chasse aux menaces, en une requête KQL prête à être exécutée. La requête assistant permet aux équipes de sécurité de gagner du temps en générant une requête KQL qui peut ensuite être exécutée automatiquement ou modifiée en fonction des besoins de l’analyste. En savoir plus sur l'assistant de requête dans Microsoft Copilot pour la sécurité dans la recherche avancée.

Capture d'écran du volet Copilot en chasse avancée.

Protégez votre organisation avec des renseignements pertinents sur les menaces

Donnez à votre organisation de sécurité les moyens de prendre des décisions éclairées avec les dernières informations sur les menaces. Copilot consolide et résume les renseignements sur les menaces pour aider les équipes de sécurité à hiérarchiser et à répondre efficacement aux menaces.

Surveiller les renseignements sur les menaces

Demandez à Copilot de résumer les menaces pertinentes qui affectent votre environnement, de hiérarchiser la résolution des menaces en fonction de vos niveaux d’exposition ou de trouver des acteurs de menace susceptibles de cibler votre secteur d’activité. En savoir plus sur Microsoft Copilot pour la sécurité en matière de renseignement sur les menaces.

Capture d’écran du volet Copilot dans les renseignements sur les menaces dans Defender XDR.

Accéder à Copilot dans Defender

Pour vous assurer que vous avez accès à Copilot dans Defender, consultez les informations d’achat et de licence Microsoft Copilot pour la sécurité. Une fois que vous avez accès à Copilot for Security, les fonctionnalités clés sont disponibles dans le portail Microsoft Defender.

Exemples d’invites dans Copilot

Dans le portail Microsoft Defender, vous trouverez des exemples d’invites pour vous aider à naviguer et à utiliser certaines fonctionnalités de Copilot. Les invites sont conçues pour vous aider à comprendre ces fonctionnalités et à les utiliser efficacement. Voici quelques exemples d’invites que vous pouvez voir dans le portail :

Invites de repérage avancées :

Capture d’écran mettant en évidence les invites Copilot dans la page de repérage avancé.

Informations sur les menaces :

Capture d’écran mettant en évidence les invites Copilot dans la page Threat Intelligence.

Vous pouvez étendre votre investigation dans le portail autonome Copilot for Security à l’aide d’invites en langage naturel. Voici des exemples d’invites que vous pouvez taper dans la barre d’invite pour vous aider à résumer un incident avec des recommandations :

  • Tapez Résumer l’incident {numéro d’incident} et terminez par un ensemble de recommandations pour générer le résumé de l’incident et les recommandations.
  • Tapez Que pouvez-vous me dire sur la réputation des indicateurs dans le script ? Sont-ils malveillants ? Si oui, pourquoi ? pour analyser le script et générer des détails sur le script.

L’invite dans Copilot vous permet de naviguer et d’utiliser efficacement les fonctionnalités. Vous pouvez également utiliser la barre d’invite pour générer des requêtes KQL, résumer les incidents et analyser des fichiers. Consultez des conseils pour créer des invites efficaces dans l’invite effective. Vous pouvez également utiliser des promptbooks prédéfinis pour vous aider à démarrer avec Copilot. Pour en savoir plus sur les promptbooks, consultez promptbooks dans Copilot.

Envoyer des commentaires

Toutes les fonctionnalités de Copilot dans Defender ont une option pour fournir des commentaires. Pour fournir des commentaires, procédez comme suit :

  1. Sélectionnez l’icône de commentaires Capture d’écran de l’icône de commentaires pour Copilot dans les cartes Defender. Située en bas des résultats carte dans le panneau latéral Copilot.
  2. Sélectionnez Apparence correcte si vous estimez que les résultats sont exacts. Vous pouvez fournir plus d’informations dans la boîte de dialogue suivante.
  3. Sélectionnez Amélioration nécessaire si vous avez évalué le résultat comme manquant ou incomplet. Vous pouvez fournir plus d’informations sur votre évaluation dans la boîte de dialogue suivante et envoyer cette évaluation à Microsoft.
  4. Vous pouvez également signaler les résultats s’il contient des informations douteuses ou ambiguës en sélectionnant Inapproprié. Fournissez plus d’informations sur les résultats dans la boîte de dialogue suivante, puis sélectionnez Envoyer.

Confidentialité et sécurité des données

Copilot évolue continuellement à l'aide de donnéesstockées, traitées et partagées en fonction des paramètres définis par votre administrateur. Microsoft garantit que vos données sont toujours protégées et sécurisées lors de l’utilisation de Copilot. Pour en savoir plus sur la sécurité et la confidentialité des données dans Copilot, consultez Confidentialité et sécurité des données dans Copilot.

En raison de son évolution continue, Copilot peut manquer certaines choses. Examiner et fournir des commentaires sur les résultats permet d’améliorer les réponses futures de Copilot.

Plug-ins dans Copilot pour la sécurité

Copilot utilise plug-ins Microsoft préinstallés tels que Microsoft Defender XDR, Defender Threat Intelligence et Natural Language pour les plug-ins Microsoft Sentinel et Defender XDR pour générer des informations pertinentes, fournir plus de contexte aux incidents et générer des résultats plus précis. Vérifiez que plug-ins sont activés dans Copilot pour autoriser l’accès aux données pertinentes et générer le contenu demandé à partir d’autres services Microsoft de votre organisation.

Étapes suivantes

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.