Triez et examinez les incidents avec des réponses guidées de Microsoft Copilot dans Microsoft Defender

S’applique à :

• Microsoft Defender XDR
• Microsoft Defender plateforme soc (Unified Security Operations Center)

Microsoft Copilot pour la sécurité dans le portail Microsoft Defender permet aux équipes de réponse aux incidents de résoudre immédiatement les incidents avec des réponses guidées. Copilot dans Defender utilise des fonctionnalités d’IA et de Machine Learning pour contextualiser un incident et apprendre des investigations précédentes afin de générer des actions de réponse appropriées.

La réponse aux incidents dans le portail Microsoft Defender nécessite souvent de connaître les actions disponibles du portail pour arrêter les attaques. En outre, les nouveaux répondants aux incidents peuvent avoir des idées différentes de l’emplacement et de la façon de commencer à répondre aux incidents. La fonctionnalité de réponse guidée de Copilot dans Defender permet aux équipes de réponse aux incidents à tous les niveaux d’appliquer en toute confiance et rapidement des actions de réponse pour résoudre facilement les incidents.

Les réponses guidées sont disponibles dans le portail Microsoft Defender via la licence Copilot pour la sécurité. Les réponses guidées sont également disponibles dans l’expérience autonome Copilot pour la sécurité via le plug-in Defender XDR.

Ce guide explique comment accéder à la fonctionnalité de réponse guidée, y compris des informations sur la fourniture de commentaires sur les réponses.

Appliquer des réponses guidées pour résoudre les incidents

Les réponses guidées recommandent des actions dans les catégories suivantes :

• Triage – inclut une recommandation pour classifier les incidents comme des informations, des vrais positifs ou des faux positifs
• Confinement – inclut les actions recommandées pour contenir un incident
• Investigation – inclut les actions recommandées pour un examen plus approfondi
• Correction – inclut les actions de réponse recommandées à appliquer à des entités spécifiques impliquées dans un incident

Chaque carte contient des informations sur l’action recommandée, notamment l’entité dans laquelle l’action doit être appliquée et pourquoi l’action est recommandée. Les cartes mettent également l’accent sur le moment où une action recommandée a été effectuée par une investigation automatisée, comme une interruption d’attaque ou une réponse d’investigation automatisée.

Les cartes de réponse guidées peuvent être triées en fonction des status disponibles pour chaque carte. Vous pouvez sélectionner un status spécifique lors de l’affichage des réponses guidées en cliquant sur État et en sélectionnant la status appropriée que vous souhaitez afficher. Toutes les cartes de réponse guidées, quelle que soit status sont affichées par défaut.

Pour utiliser des réponses guidées, procédez comme suit :

1. Ouvrez une page d’incident. Copilot génère automatiquement des réponses guidées lors de l’ouverture d’une page d’incident. Le volet Copilot s’affiche sur le côté droit de la page d’incident, affichant les cartes de réponse guidées.

   

2. Passez en revue chaque carte avant d’appliquer les recommandations. Sélectionnez les points de suspension Autres actions (...) en plus d’une réponse carte pour afficher les options disponibles pour chaque recommandation. En voici quelques exemples.

   

   

3. Pour appliquer une action, sélectionnez l’action souhaitée trouvée sur chaque carte. L’action de réponse guidée sur chaque carte est adaptée au type d’incident et à l’entité spécifique impliquée.

   

4. Vous pouvez fournir des commentaires à chaque réponse carte pour améliorer en permanence les réponses futures de Copilot. Pour fournir des commentaires, sélectionnez l’icône de commentaires situées en bas à droite de chaque carte.

Remarque

Les boutons d’action grisés signifient que ces actions sont limitées par votre autorisation. Pour plus d’informations, reportez-vous à la page des autorisations d’accès unifié en fonction du rôle (RBAC).

Copilot dans Defender prend en charge les équipes de réponse aux incidents en permettant aux analystes d’obtenir plus de contexte sur les actions de réponse avec des insights supplémentaires. Pour les réponses de correction, les équipes de réponse aux incidents peuvent afficher des informations supplémentaires avec des options telles que Afficher des incidents similaires ou Afficher des e-mails similaires.

L’action Afficher les incidents similaires devient disponible lorsqu’il existe d’autres incidents dans l’organisation qui sont similaires à l’incident actuel. L’onglet Incidents similaires répertorie les incidents similaires que vous pouvez examiner. Microsoft Defender identifie automatiquement les incidents similaires au sein du organization via le Machine Learning. Les équipes de réponse aux incidents peuvent utiliser les informations de ces incidents similaires pour classifier les incidents et examiner plus en détail les actions effectuées dans ces incidents similaires.

L’action Afficher des e-mails similaires, qui est spécifique aux incidents de hameçonnage, vous permet d’accéder à la page de repérage avancée, où une requête KQL pour répertorier des e-mails similaires dans l’organisation est générée automatiquement. Cette génération de requête automatique liée à un incident aide les équipes de réponse aux incidents à examiner plus en détail d’autres e-mails susceptibles d’être liés à l’incident. Vous pouvez examiner la requête et la modifier si nécessaire.

Voir aussi

• Résumer un incident
• Analyser les fichiers
• Exécuter l'analyse du script
• Créer un rapport d’incident
• Générer des requêtes KQL
• Démarrer avec Microsoft Copilot pour la sécurité
• En savoir plus sur d’autres expériences incorporées Copilot pour la sécurité
• En savoir plus sur les plug-ins préinstallés dans Copilot pour la sécurité

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.