Entrainement
Certification
Microsoft Certified: Security Operations Analyst Associate - Certifications
Investiguez, recherchez et atténuez les menaces avec Microsoft Sentinel, Microsoft Defender pour le cloud et Microsoft 365 Defender.
Résumer un incident avec Microsoft Copilot dans Microsoft Defender
Microsoft Defender XDR applique les fonctionnalités de Security Copilot pour résumer les incidents, en fournissant des informations et des insights percutants pour simplifier les tâches d’investigation. L'enquête sur les attaques est une étape cruciale pour les équipes de réponse aux incidents afin de réussir à défendre une organisation contre d'autres dommages causés par une cybermenace. Les investigations peuvent souvent prendre beaucoup de temps, car elles impliquent de nombreuses étapes. Les équipes de réponse aux incidents doivent comprendre comment l'attaque s'est produite : trier les nombreuses alertes, identifier les actifs et les entités impliqués et évaluer la portée et l'impact d'une attaque.
Ce guide décrit ce à quoi vous devez vous attendre et comment accéder à la fonctionnalité de synthèse de Copilot dans Defender, y compris des informations sur la fourniture de commentaires.
Si vous débutez avec Security Copilot, vous devez vous y familiariser en lisant les articles suivants :
- Qu’est-ce que Security Copilot ?
- Security Copilot expériences
- Bien démarrer avec Sécurité Copilot
- Comprendre l’authentification dans Security Copilot
- Invite dans Security Copilot
Les répondants aux incidents peuvent facilement obtenir le contexte approprié pour examiner et corriger les incidents grâce aux fonctionnalités de corrélation de Defender XDR et au traitement et à la contextualisation des données basés sur l’IA de Security Copilot. Grâce à un résumé de l'incident, les intervenants peuvent obtenir rapidement des informations importantes qui les aideront dans leur enquête.
La fonctionnalité de synthèse des incidents est disponible dans le portail Microsoft Defender pour les clients qui disposent d’un accès provisionné à Security Copilot.
Cette fonctionnalité est également disponible dans l’expérience autonome Security Copilot via le plug-in Microsoft Defender XDR. En savoir plus sur les plug-ins préinstallés dans Security Copilot.
Les incidents contenant jusqu'à 100 alertes peuvent être résumés dans un seul résumé d'incident. Un résumé de l'incident, en fonction de la disponibilité des données, comprend les éléments suivants :
- L'heure et la date du début d'une attaque.
- L'entité ou l'actif où l'attaque a commencé.
- Un résumé des chronologies du déroulement de l’attaque.
- Les actifs impliqués dans l’attaque.
- Indicateurs de compromission (IOC).
- Noms des acteurs de la menace impliqués.
Pour résumer un incident, effectuez les étapes suivantes :
Ouvrez une page d'incident. Copilot crée automatiquement un résumé de l’incident à l’ouverture de la page. Vous pouvez arrêter la création du résumé en sélectionnant Annuler ou redémarrer la création en sélectionnant Régénérer.
La fiche récapitulative des incidents se charge dans le volet Copilot. Consultez le résumé généré sur la carte.
Conseil
Vous pouvez accéder à un fichier, une adresse IP ou une page d’URL à partir du volet de résultats Copilot en cliquant sur la preuve dans les résultats.
Sélectionnez les points de suspension Plus d’actions (...) en haut du résumé de l’incident carte pour copier ou régénérer le résumé, ou afficher le résumé dans le portail Security Copilot. La sélection d'Ouvrir dans Security Copilot ouvre un nouvel onglet sur le portail autonome Security Copilot où vous pouvez saisir des invites et accéder à d'autres plugins.
Vérifiez le résumé et utilisez les informations pour guider votre enquête et votre réponse à l’incident.
Dans le portail autonome Security Copilot, vous pouvez utiliser l’invite suivante pour générer des résumés des incidents :
- Fournissez un résumé de l’incident Defender {ID d’incident}.
Conseil
Lors de la génération d’un résumé d’incident dans le portail Security Copilot, Microsoft recommande d’inclure le mot Defender dans vos invites pour vous assurer que la fonctionnalité de synthèse des incidents fournit les résultats.
Microsoft vous encourage vivement à fournir des commentaires à Copilot, car il est essentiel pour l’amélioration continue d’une fonctionnalité. Vous pouvez fournir des commentaires sur le résumé en sélectionnant l’icône de commentaires 
situées en bas du volet Copilot.
- En savoir plus sur d’autres expériences incorporées Sécurité Copilot
- Confidentialité et sécurité des données dans Securité Copilot
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.