Résumer un incident avec Microsoft Copilot dans Microsoft Defender

  • Article

S’applique à :

  • Microsoft Defender XDR
  • Microsoft Defender plateforme soc (Unified Security Operations Center)

Microsoft Defender XDR applique les fonctionnalités de Copilot pour la sécurité pour résumer les incidents, en fournissant des informations et des insights percutants pour simplifier les tâches d’investigation. L'enquête sur les attaques est une étape cruciale pour les équipes de réponse aux incidents afin de réussir à défendre une organisation contre d'autres dommages causés par une cybermenace. Les enquêtes peuvent souvent prendre beaucoup de temps, car elles impliquent de nombreuses étapes. Les équipes de réponse aux incidents doivent comprendre comment l'attaque s'est produite : trier les nombreuses alertes, identifier les actifs et les entités impliqués et évaluer la portée et l'impact d'une attaque.

Les répondants aux incidents peuvent facilement obtenir le contexte approprié pour examiner et corriger les incidents grâce aux fonctionnalités de corrélation de Defender XDR et au traitement et à la contextualisation des données basés sur l’IA de Copilot pour la sécurité. Grâce à un résumé de l'incident, les intervenants peuvent obtenir rapidement des informations importantes qui les aideront dans leur enquête.

La fonctionnalité de synthèse des incidents est disponible dans le portail Microsoft Defender via la licence Copilot pour la sécurité. Cette fonctionnalité est également disponible dans l’expérience autonome Copilot pour la sécurité via le plug-in Microsoft Defender XDR.

Ce guide décrit ce à quoi vous devez vous attendre et comment accéder à la fonctionnalité de synthèse de Copilot dans Defender, y compris des informations sur la fourniture de commentaires.

Résumer un incident

Les incidents contenant jusqu'à 100 alertes peuvent être résumés dans un seul résumé d'incident. Un résumé de l'incident, en fonction de la disponibilité des données, comprend les éléments suivants :

  • L'heure et la date du début d'une attaque.
  • L'entité ou l'actif où l'attaque a commencé.
  • Un résumé des chronologies du déroulement de l’attaque.
  • Les actifs impliqués dans l’attaque.
  • Indicateurs de compromission (IOC).
  • Noms des acteurs de la menace impliqués.

Pour résumer un incident, effectuez les étapes suivantes :

  1. Ouvrez une page d'incident. Copilot crée automatiquement un résumé de l’incident lors de l’ouverture de la page. Vous pouvez arrêter la création du résumé en sélectionnant Annuler ou redémarrer la création en sélectionnant Régénérer.

  2. Le résumé de l’incident carte se charge dans le volet Copilot. Consultez le résumé généré sur la carte. Capture d’écran du résumé de l’incident carte dans le volet Copilot, comme indiqué dans la page d’incident Microsoft Defender.

    Conseil

    Vous pouvez accéder à un fichier, une adresse IP ou une page d’URL à partir du volet de résultats Copilot en cliquant sur la preuve dans les résultats.

  3. Sélectionnez les points de suspension Autres actions (...) en haut du résumé de l’incident carte pour copier ou régénérer le résumé, ou afficher le résumé dans le portail Copilot pour la sécurité. La sélection de Ouvrir dans Copilot pour la sécurité ouvre un nouvel onglet dans le portail autonome Copilot pour la sécurité où vous pouvez entrer des invites et accéder à d’autres plug-ins. Capture d'écran mettant en avant les actions disponibles sur la fiche récapitulative de l'incident.

  4. Passez en revue le résumé et utilisez les informations pour guider votre investigation et votre réponse à l’incident. Vous pouvez fournir des commentaires sur le résumé en sélectionnant l’icône de commentaires Capture d’écran de l’icône de commentaires pour Copilot dans les cartes Defender situées en bas du volet Copilot.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.