Partager via

Résumer les informations d’identité avec Microsoft Copilot dans Microsoft Defender

  • Article
  • S’applique à:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Les équipes des opérations de sécurité qui enquêtent sur les utilisateurs peuvent facilement comprendre les informations d’identité avec la fonctionnalité de synthèse d’identité dans Microsoft Copilot pour la sécurité dans Microsoft Defender. Grâce à l’IA générative et à l’exploitation de la puissance des Microsoft Defender pour Identity, Copilot crée des insights contextuels sur une identité dans un organization, ce qui aide les analystes à comprendre rapidement les données importantes pour accélérer leur investigation.

Avec la fonctionnalité de synthèse d’identité, les analystes peuvent immédiatement identifier les modifications et actions suspectes ou risquées liées à l’identité qui peuvent avoir un impact négatif sur un organization. Le résumé inclut également les erreurs de configuration potentielles qui affectent une identité. À l’aide du langage naturel, Copilot fournit des informations utilisateur claires et exploitables que les analystes peuvent utiliser dans leurs activités d’enquête sur les incidents. La fonctionnalité se concentre actuellement sur les utilisateurs et inclura les comptes de service dans sa prochaine itération.

Ce guide décrit la fonctionnalité de synthèse d’identité et son fonctionnement, y compris la façon dont vous pouvez fournir des commentaires sur les résultats générés.

Bon à savoir avant de commencer

Si vous débutez avec Copilot for Security, vous devez vous y familiariser en lisant les articles suivants :

Intégration de Copilot for Security dans Microsoft Defender

La fonctionnalité de synthèse d’identité est disponible dans le portail Microsoft Defender pour les clients qui disposent d’un accès provisionné à Copilot for Security.

Les utilisateurs qui accèdent au portail autonome Copilot for Security peuvent utiliser cette fonctionnalité via le plug-in Microsoft Defender XDR. En savoir plus sur les plug-ins préinstallés dans Copilot pour la sécurité.

Principales fonctionnalités

Le résumé de l’identité contient des informations essentielles sur une identité, notamment :

  • Date à laquelle un compte d’utilisateur est créé et si le compte d’utilisateur est de niveau de criticité élevé, moyen ou faible
  • Tous les modèles comportementaux inhabituels liés aux emplacements de connexion, à la fréquence de connexion ou à la fréquence des tentatives de connexion ayant échoué
  • Le rôle actuel d’un utilisateur, y compris son service et son poste, et s’il y a des changements notables de rôle par rapport au poste et au service de l’utilisateur pour mettre en évidence les incohérences
  • Données relatives à la dernière connexion d’un utilisateur à un appareil, que l’appareil soit associé ou non à l’utilisateur, au cours des 30 derniers jours
  • Méthodes d’authentification et applications utilisées
  • Risques associés à un utilisateur en fonction de Microsoft Entra ID
  • Informations générales telles que le titre professionnel et les informations de contact d’un utilisateur, le service et les informations de contact de son responsable

Vous pouvez accéder à la fonctionnalité de synthèse d’identité des manières suivantes :

  • Dans une page d’incident, choisissez une identité sur le graphique d’incident, puis (1) sélectionnez Détails de l’utilisateur. Dans le volet détails de l’utilisateur, (2) sélectionnez Résumer. Les résultats sont affichés dans le panneau latéral de Copilot.

    Capture d’écran montrant l’option Résumer dans le volet des détails de l’utilisateur.

  • Vous pouvez également sélectionner Accéder à la page utilisateur en bas du volet d’informations utilisateur pour ouvrir la page utilisateur. Copilot génère automatiquement le résumé de l’identité et affiche le panneau latéral lors de l’ouverture de la page utilisateur.

  • Vous pouvez également accéder à la fonctionnalité de synthèse d’identité en choisissant un utilisateur sous l’onglet Ressources d’un incident. Sélectionnez Résumer dans le volet des détails de l’utilisateur pour générer le résumé de l’identité.

    Capture d’écran montrant l’onglet Ressources et un compte d’utilisateur mis en évidence.

  • Dans une page d’alerte, sélectionnez un utilisateur, puis sélectionnez Résumer dans le volet des détails de l’utilisateur pour générer le résumé de l’identité.

  • Dans la page de repérage avancé, vous pouvez accéder à la fonctionnalité de synthèse d’identité en sélectionnant un utilisateur dans la table de résultats, puis en sélectionnant le lien vers la page utilisateur. Copilot génère automatiquement le résumé de l’identité et affiche le panneau latéral lors de l’ouverture de la page utilisateur.

  • Dans le menu main, accédez à Ressources > Identités. Sélectionnez un nom d’utilisateur dans la liste, puis sélectionnez Afficher la page utilisateur pour ouvrir la page utilisateur. Copilot génère automatiquement le résumé de l’identité et affiche le panneau latéral lors de l’ouverture de la page utilisateur.

    Capture d’écran mettant en évidence l’option Afficher la page utilisateur dans une recherche de nom d’utilisateur dans Identités.

  • Tapez un nom d’utilisateur dans la zone de recherche du portail Microsoft Defender, puis sélectionnez le nom d’utilisateur dans les résultats de la recherche. Dans le panneau latéral détails de l’utilisateur, sélectionnez Résumer pour générer le résumé de l’identité.

Passez en revue les résultats du résumé de l’identité. Vous pouvez copier les résultats dans le Presse-papiers, régénérer les résultats ou ouvrir Sécurité Copilot en sélectionnant les points de suspension Autres actions (...) au-dessus du résumé d’identité carte. Vous pouvez étendre votre investigation de l’identité à l’aide d’invites et d’autres plug-ins dans le portail Copilot for Security.

Exemple d’invite de synthèse d’identité

Dans le portail autonome Copilot for Security, vous pouvez utiliser l’invite suivante pour générer un résumé d’identité :

  • Afficher le résumé Defender de cet utilisateur dans la dernière {période}.

Conseil

Lorsque vous examinez les utilisateurs dans le portail Copilot for Security, Microsoft recommande d’inclure le mot Defender dans vos invites pour vous assurer que la fonctionnalité de synthèse d’identité fournit les résultats. Vous pouvez spécifier jusqu’à 120 jours sur la période d’examen, la valeur par défaut étant 30 jours lorsque vous n’en indiquez pas.

Envoyer des commentaires

Microsoft vous encourage vivement à fournir des commentaires à Copilot, car il est essentiel pour l’amélioration continue d’une fonctionnalité. Pour fournir des commentaires, accédez au bas du panneau latéral Copilot et sélectionnez l’icône de commentaires Capture d’écran de l’icône de commentaires pour Copilot dans les cartes Defender.

Capture d’écran montrant la zone de texte Commentaires dans laquelle vous pouvez partager vos commentaires.

Renseignez la zone de texte dédiée pour partager vos réflexions, expériences et demandes. Microsoft attache une grande valeur à vos commentaires et les prend au sérieux dans notre engagement à améliorer les performances et l’expérience utilisateur de Copilot.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.