Microsoft Copilot dans Microsoft Defender

  • Article

S’applique à :

  • Microsoft Defender XDR
  • Microsoft Defender plateforme soc (Unified Security Operations Center)

Microsoft Copilot pour la sécurité réunit la puissance de l’IA et de l’expertise humaine pour aider les équipes de sécurité à répondre aux attaques plus rapidement et plus efficacement. Copilot pour la sécurité est incorporé dans le portail Microsoft Defender pour permettre aux équipes de sécurité de résumer efficacement les incidents, d’analyser les scripts et les codes, d’analyser les fichiers, de synthétiser les informations de l’appareil, d’utiliser des réponses guidées pour résoudre les incidents, de générer des requêtes KQL et de créer des rapports d’incident.

Cet article fournit une vue d’ensemble pour les utilisateurs de Copilot dans Defender, notamment les étapes d’accès, les fonctionnalités clés et les liens vers les détails de ces fonctionnalités.

Accéder à Copilot dans Defender

Pour vous assurer que vous avez accès à Copilot dans Defender, consultez les informations d’achat et de licence Copilot pour la sécurité. Une fois que vous avez accès à Copilot pour la sécurité, les fonctionnalités clés décrites ci-dessous deviennent accessibles dans le portail Microsoft Defender.

Examiner et répondre aux incidents comme un expert

Permettre aux équipes de sécurité de traiter les enquêtes sur les attaques en temps voulu avec facilité et précision. Copilot aide les équipes à comprendre immédiatement les attaques, à analyser rapidement les fichiers et scripts suspects, et à évaluer et appliquer rapidement les mesures d’atténuation appropriées pour arrêter et contenir les attaques.

Résumer rapidement les incidents

L’examen des incidents avec plusieurs alertes peut être une tâche ardue. Pour comprendre immédiatement un incident, vous pouvez appuyer sur Copilot pour résumer un incident pour vous. Copilot crée une vue d’ensemble de l’attaque contenant des informations essentielles pour vous permettre de comprendre ce qui s’est passé dans l’attaque, les ressources impliquées et les chronologie de l’attaque. Copilot crée automatiquement un résumé lorsque vous accédez à la page d’un incident.

Capture d’écran du résumé de l’incident carte dans le volet Copilot, comme indiqué dans la page d’incident Microsoft Defender.

Prendre des mesures sur les incidents par le biais de réponses guidées

La résolution des incidents nécessite que les analystes aient une compréhension d’une attaque pour savoir quelles solutions sont appropriées. Copilot recommande des solutions par le biais de réponses guidées spécifiques à chaque incident.

Capture d’écran mettant en évidence le volet Copilot avec les réponses guidées dans la page d’incident Microsoft Defender.

Exécuter l’analyse des scripts en toute simplicité

La plupart des attaquants s’appuient sur des logiciels malveillants sophistiqués lors du lancement d’attaques pour éviter la détection et l’analyse. Ces programmes malveillants sont généralement masqués et peuvent être sous la forme de scripts ou de lignes de commande dans PowerShell. Copilot peut analyser rapidement les scripts, ce qui réduit le temps d’investigation.

Capture d’écran mettant en évidence le bouton d’analyse de script dans l’affichage du récit d’attaque dans la page de l’incident.

Générer des résumés d'appareils

L’examen des appareils impliqués dans des incidents peut être un travail de tâche. Pour évaluer rapidement un appareil, Copilot peut résumer les informations d’un appareil, y compris la posture de sécurité de l’appareil, tout comportement inhabituel, une liste de logiciels vulnérables et des informations Microsoft Intune pertinentes.

Capture d’écran du résumé des résultats de l’appareil dans Copilot dans Defender.

Analyser les fichiers rapidement

Copilot aide les équipes de sécurité à évaluer et à comprendre rapidement les fichiers suspects avec l’analyse des fichiers. Copilot fournit le résumé d’un fichier, y compris les informations de détection, les certificats de fichiers associés, une liste d’appels d’API et les chaînes trouvées dans le fichier.

Capture d’écran des résultats de l’analyse de fichier dans Copilot dans Defender avec l’option Masquer les détails mise en évidence.

Écrire des rapports d’incident efficacement

Les équipes des opérations de sécurité écrivent généralement des rapports pour enregistrer des informations importantes, notamment les actions de réponse prises et les résultats correspondants, les membres de l’équipe impliqués et d’autres informations pour faciliter les décisions et l’apprentissage futurs en matière de sécurité. Souvent, la documentation des incidents peut prendre beaucoup de temps. Pour que les rapports d’incidents soient efficaces, ils doivent contenir le résumé d’un incident, ainsi que les actions entreprises, y compris les actions qui ont été prises par qui et quand. Copilot génère un rapport d’incident en consolidant rapidement ces informations.

Capture d’écran du rapport d’incident carte dans la page de l’incident montrant la moitié supérieure du carte.

Chasser comme un pro

Copilot dans Defender aide les équipes de sécurité à rechercher de manière proactive les menaces dans leur réseau en créant rapidement des requêtes KQL appropriées.

Générer des requêtes KQL à partir d’une entrée en langage naturel

Les équipes de sécurité qui utilisent la chasse avancée pour rechercher de manière proactive les menaces dans leur réseau peuvent désormais utiliser une assistant de requête qui convertit toute question en langage naturel dans le contexte de la chasse aux menaces, en une requête KQL prête à être exécutée. La requête assistant permet aux équipes de sécurité de gagner du temps en générant une requête KQL qui peut ensuite être exécutée automatiquement ou modifiée en fonction des besoins de l’analyste. En savoir plus sur la assistant de requête dans Copilot pour la sécurité dans la chasse avancée.

Capture d’écran du volet Copilot dans la chasse avancée.

Protéger vos organization avec des informations pertinentes sur les menaces

Donnez à vos organization de sécurité les moyens de prendre des décisions éclairées avec les dernières informations sur les menaces. Copilot regroupe et résume le renseignement sur les menaces pour aider les équipes de sécurité à hiérarchiser les menaces et à y répondre efficacement.

Surveiller le renseignement sur les menaces

Demandez à Copilot de résumer les menaces pertinentes qui affectent votre environnement, de hiérarchiser la résolution des menaces en fonction de vos niveaux d’exposition ou de trouver des acteurs de menace susceptibles de cibler votre secteur d’activité. En savoir plus sur Copilot pour la sécurité dans le renseignement sur les menaces.

Capture d’écran du volet Copilot dans Threat Intelligence dans Defender XDR.

Sécurité des données et commentaires dans Copilot

Copilot évolue en permanence à l’aide de donnéesstockées, traitées et partagées en fonction des paramètres définis par votre administrateur. Microsoft garantit que vos données sont toujours protégées et sécurisées lors de l’utilisation de Copilot. Pour en savoir plus sur la sécurité et la confidentialité des données dans Copilot, consultez Confidentialité et sécurité des données dans Copilot.

En raison de son évolution continue, Copilot pourrait manquer certaines choses. L’examen et la fourniture de commentaires sur les résultats permettent d’améliorer les réponses futures de Copilot.

Toutes les fonctionnalités de Copilot dans Defender ont la possibilité de fournir des commentaires. Pour fournir des commentaires, procédez comme suit :

  1. Sélectionnez l’icône de commentaires Capture d’écran de l’icône de commentaires pour Copilot dans les cartes Defender situées en bas des résultats carte dans le panneau latéral Copilot.
  2. Sélectionnez Confirmé. Cela semble très bien si les résultats sont exacts en fonction de votre évaluation. Vous pouvez fournir plus d’informations dans la boîte de dialogue suivante.
  3. Sélectionnez Hors cible, inexact si des détails sont incorrects ou incomplets en fonction de votre évaluation. Vous pouvez fournir plus d’informations sur votre évaluation dans la boîte de dialogue suivante et envoyer cette évaluation à Microsoft.
  4. Vous pouvez également signaler les résultats s’il contient des informations douteuses ou ambiguës en sélectionnant Potentiellement dangereux, inapproprié. Fournissez plus d’informations sur les résultats dans la boîte de dialogue suivante, puis sélectionnez Envoyer.

Plug-ins dans Copilot pour la sécurité

Copilot utilise des plug-ins Microsoft préinstallés comme Microsoft Defender XDR, Defender Threat Intelligence et Natural Language pour KQL pour Microsoft Sentinel et Defender XDR plug-ins pour générer des informations pertinentes, fournir plus de contexte aux incidents et générer des résultats plus précis. Assurez-vous que les plug-ins sont activés dans Copilot pour autoriser l’accès aux données pertinentes et générer le contenu demandé à partir d’autres services Microsoft dans votre organization.

Étapes suivantes

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.