Microsoft Copilot pour la sécurité et Microsoft Defender Threat Intelligence

  • Article

Importante

Le 30 juin 2024, le portail autonome Microsoft Defender Threat Intelligence (Defender TI) serahttps://ti.defender.microsoft.com mis hors service et ne sera plus accessible. Les clients peuvent continuer à utiliser Defender TI dans le portail Microsoft Defender ou avec Microsoft Copilot pour la sécurité. En savoir plus

Microsoft Copilot pour la sécurité est une plateforme d’IA basée sur le cloud qui fournit une expérience de copilote en langage naturel. Il peut aider les professionnels de la sécurité dans différents scénarios, tels que la réponse aux incidents, la chasse aux menaces et la collecte de renseignements. Pour plus d’informations sur ce qu’il peut faire, consultez Qu’est-ce que Microsoft Copilot pour la sécurité ?.

Copilot pour la sécurité s’intègre à Microsoft Defender Threat Intelligence

Copilot pour la sécurité fournit des informations sur les acteurs des menaces, les indicateurs de compromission ,les outils et les vulnérabilités, ainsi que des informations contextuelles sur les menaces provenant de Microsoft Defender Threat Intelligence (Defender TI). Vous pouvez utiliser les invites et les promptbooks pour examiner les incidents, enrichir vos flux de chasse avec des informations de renseignement sur les menaces ou acquérir des connaissances plus approfondies sur vos organization ou le paysage mondial des menaces.

Cet article présente Copilot et inclut des exemples d’invites qui peuvent aider les utilisateurs de Defender TI.

Bon à savoir avant de commencer

  • Vous pouvez utiliser les fonctionnalités Copilot pour faire apparaître le renseignement sur les menaces dans le portail Copilot pour la sécurité ou le portail Microsoft Defender. En savoir plus sur les expériences Copilot pour la sécurité

  • Soyez clair et précis avec vos invites. Vous pouvez obtenir de meilleurs résultats si vous incluez des noms d’acteurs de menace ou des E/S spécifiques dans vos invites. Cela peut également être utile si vous ajoutez des informations sur les menaces à votre invite, par exemple :

    • Montrez-moi les données de renseignement sur les menaces pour Aqua Blizzard.
    • Résumez les données de renseignement sur les menaces pour « malicious.com ».

  • Être spécifique lors du référencement d’un incident (par exemple, « ID d’incident 15324 »).

  • Faites des essais avec différentes invites et variantes pour voir ce qui convient le mieux à votre cas d’usage. Les modèles Chat AI varient, afin d’itérer et d’affiner vos invites en fonction des résultats que vous recevez.

  • Copilot pour la sécurité enregistre vos sessions d’invite. Pour afficher les sessions précédentes, dans le menu Accueil de Copilot, accédez à Mes sessions.

    Capture d’écran partielle du menu Accueil Microsoft Copilot pour la sécurité avec Mes sessions mise en surbrillance.

    Remarque

    Pour obtenir une procédure pas à pas sur Copilot, y compris la fonctionnalité épingler et partager, consultez Naviguer Microsoft Copilot pour la sécurité.

En savoir plus sur la création d’invites efficaces

Utilisation Copilot pour la sécurité portail autonome pour obtenir des informations sur les menaces

  1. Accédez à Microsoft Copilot pour la sécurité et connectez-vous avec vos informations d’identification.

  2. Assurez-vous que le plug-in Defender TI est activé. Dans la barre d’invite, sélectionnez l’icône SourcesCapture d’écran de l’icône Sources.

    Capture d’écran de la barre d’invite dans Microsoft Copilot pour la sécurité avec l’icône Sources mise en évidence.

    Dans la fenêtre contextuelle Gérer les sources qui s’affiche, sous Plug-ins, vérifiez que le bouton bascule Microsoft Defender Threat Intelligence est activé, puis fermez la fenêtre.

    Capture d’écran de la fenêtre contextuelle Gérer les plug-ins avec le plug-in Microsoft Defender Threat Intelligence mis en évidence.

    Remarque

    Certains rôles peuvent activer ou désactiver le bouton bascule pour les plug-ins tels que Defender TI. Pour plus d’informations, consultez Gérer les plug-ins dans Microsoft Copilot pour la sécurité.

  3. Entrez votre invite dans la barre d’invite.

Fonctionnalités système intégrées

Copilot pour la sécurité dispose de fonctionnalités système intégrées qui peuvent obtenir des données à partir des différents plug-ins activés.

Pour afficher la liste des fonctionnalités système intégrées pour Defender TI :

  1. Dans la barre d’invite, sélectionnez l’icône InvitesCapture d’écran de l’icône d’invites.

    Capture d’écran de la barre d’invite dans Microsoft Copilot pour la sécurité avec l’icône Invites mise en évidence.

  2. Sélectionnez Afficher toutes les fonctionnalités système. La section Microsoft Defender Threat Intelligence répertorie toutes les fonctionnalités disponibles pour Defender TI que vous pouvez utiliser.

Copilot a également les promptbooks suivants qui fournissent également des informations à partir de Defender TI :

  • Profil d’acteur de menace : génère un rapport profilage d’un acteur de menace connu, y compris des suggestions pour se défendre contre ses outils et tactiques courants.
  • Évaluation de l’impact sur les vulnérabilités : génère un rapport résumant l’intelligence d’une vulnérabilité connue, y compris les étapes à suivre pour y remédier.

Pour afficher ces guides, dans la barre d’invite, sélectionnez l’icône Invites, puis sélectionnez Afficher tous les promptbooks.

Exemples d’invites pour Defender TI

Vous pouvez utiliser de nombreuses invites pour obtenir des informations à partir de Defender TI. Cette section répertorie quelques idées et exemples.

Obtenez des informations sur les menaces à partir d’articles sur les menaces et d’acteurs des menaces.

Exemples d’invites :

  • Résumez les informations récentes sur les menaces.
  • Montrez-moi les derniers articles sur les menaces.
  • Obtenez des articles sur les menaces liées aux rançongiciels au cours des six derniers mois.

Informations contextuelles sur l’adresse IP et l’hôte en rapport avec le renseignement sur les menaces

Obtenez des informations sur les jeux de données associés aux adresses IP et aux hôtes, tels que les ports, les scores de réputation, les composants, les certificats, les cookies, les services et les paires d’hôtes.

Exemples d’invites :

  • Montrez-moi la réputation du nom> d’hôte<.
  • Obtenez des résolutions pour l’adresse<> IP.

Infrastructure et mappage des acteurs des menaces

Obtenez des informations sur les acteurs des menaces et les tactiques, techniques et procédures (TTPs), les États sponsorisés, les secteurs d’activité et les E/S qui leur sont associés.

Exemples d’invites :

  • Parlez-moi de Silk Typhoon.
  • Partagez les ICS associées à Silk Typhoon.
  • Partagez les TTPs associés à Silk Typhoon.
  • Partager les acteurs de menace associés à la Russie.

Données de vulnérabilité par CVE

Obtenez des informations contextuelles et des renseignements sur les menaces sur les vulnérabilités et les expositions courantes (CVE).

Exemples d’invites :

  • Partagez les technologies sensibles à la vulnérabilité CVE-2021-44228.
  • Résumez la vulnérabilité CVE-2021-44228.
  • Montrez-moi les dernières CVE.
  • Afficher les acteurs de menace associés à CVE-2021-44228.
  • Affichez-moi les articles sur les menaces associés à CVE-2021-44228.

Envoyer des commentaires

Vos commentaires sur l’intégration de Defender TI à Copilot pour la sécurité facilitent le développement. Pour fournir des commentaires, dans Copilot, sélectionnez Comment se présente cette réponse ? En bas de chaque invite terminée, choisissez l’une des options suivantes :

  • Semble correct : sélectionnez ce bouton si les résultats sont exacts, en fonction de votre évaluation.
  • Amélioration nécessaire : sélectionnez ce bouton si des détails dans les résultats sont incorrects ou incomplets, en fonction de votre évaluation.
  • Inapproprié : sélectionnez ce bouton si les résultats contiennent des informations douteuses, ambiguës ou potentiellement dangereuses.

Pour chaque bouton de commentaires, vous pouvez fournir plus d’informations dans la boîte de dialogue suivante qui s’affiche. Dans la mesure du possible, et lorsque le résultat est Nécessite une amélioration, écrivez quelques mots expliquant ce qui peut être fait pour améliorer le résultat. Si vous avez entré des invites spécifiques à Defender TI et que les résultats ne sont pas liés, incluez ces informations.

Utilisation de Microsoft Copilot dans Defender pour obtenir des informations sur les menaces

Copilot pour la sécurité clients obtiennent pour chacun de leurs utilisateurs Copilot authentifiés l’accès à Defender TI dans le portail Microsoft Defender. Pour vous assurer que vous avez accès à Copilot, consultez les informations d’achat et de licence Copilot pour la sécurité.

Une fois que vous avez accès à Copilot pour la sécurité, les fonctionnalités clés décrites dans la section suivante deviennent accessibles dans les sections threat intelligence suivantes du portail Defender :

  • Analyses de menaces
  • Profils Intel
  • Explorateur Intel
  • Projets Intel

Principales fonctionnalités

Copilot dans Defender offre la capacité de Copilot pour la sécurité à rechercher des informations sur les menaces dans le portail, ce qui permet aux équipes de sécurité de comprendre, de hiérarchiser et d’agir immédiatement sur les informations de renseignement sur les menaces.

Vous pouvez poser des questions sur un acteur de menace, une campagne d’attaque ou tout autre renseignement sur les menaces sur lequel vous souhaitez en savoir plus, et Copilot génère des réponses basées sur les rapports d’analyse des menaces, les profils et articles intel, et d’autres contenus Defender TI. Vous pouvez également sélectionner l’une des invites intégrées disponibles qui vous permettent d’effectuer les actions suivantes :

  • Résumez les dernières menaces liées à votre organization
  • Hiérarchiser les menaces sur lesquelles se concentrer en fonction du niveau d’exposition le plus élevé de votre environnement à ces menaces
  • Poser des questions sur les acteurs de menace ciblant l’infrastructure de communication

En savoir plus sur l’utilisation de Copilot dans Defender pour le renseignement sur les menaces

Traitement des données et confidentialité

Lorsque vous interagissez avec Copilot pour la sécurité pour obtenir des données Defender TI, Copilot extrait ces données de Defender TI. Les invites, les données récupérées et la sortie affichée dans les résultats de l’invite sont traitées et stockées dans le service Copilot. En savoir plus sur la confidentialité et la sécurité des données dans Microsoft Copilot pour la sécurité

Voir aussi