Condividi tramite

Valutare e analizzare gli incidenti con risposte guidate di Microsoft Copilot in Microsoft Defender

  • Articolo
  • Si applica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Copilot per la sicurezza nel portale di Microsoft Defender supporta i team di risposta agli incidenti nella risoluzione immediata degli incidenti mediante risposte guidate. Copilot in Defender usa funzionalità di intelligenza artificiale e apprendimento automatico per contestualizzare un incidente e apprendere dalle indagini precedenti per generare azioni di risposta appropriate.

Per rispondere agli incidenti nel portale di Microsoft Defender spesso è necessaria familiarità con le azioni disponibili nel portale per arrestare gli attacchi. Inoltre, i nuovi incaricati della risposta agli incidenti potrebbero avere idee diverse su dove e come iniziare a rispondere agli incidenti. La funzionalità di risposta guidata di Copilot in Defender consente ai team di risposta agli incidenti a tutti i livelli di applicare in modo rapido e sicuro azioni di risposta per risolvere gli incidenti con facilità.

Le risposte guidate sono disponibili nel portale di Microsoft Defender tramite la licenza di Copilot per la sicurezza. Le risposte guidate sono disponibili anche nell'esperienza indipendente di Copilot per la sicurezza tramite il plug-in Defender XDR.

Questa guida illustra come accedere alla funzionalità di risposta guidata e include informazioni su come fornire feedback sulle risposte.

Applicare le risposte guidate per risolvere gli incidenti

Le risposte guidate consigliano azioni nelle categorie seguenti:

  • Valutazione: include un consiglio per classificare gli incidenti come informativi, veri positivi o falsi positivi
  • Contenimento: include le azioni consigliate per contenere un incidente
  • Indagine: include le azioni consigliate per un'ulteriore indagine
  • Rimedio: include azioni di risposta consigliate da applicare a entità specifiche coinvolte in un incidente

Ogni scheda contiene informazioni sull'azione consigliata, tra cui l'entità in cui è necessario applicare l'azione e il motivo per cui l'azione è consigliata. Le schede evidenziano anche quando un'azione consigliata è stata eseguita da un'indagine automatizzata, ad esempio un'interruzione dell'attacco o una risposta di indagine automatizzata.

Le schede delle risposte guidate possono essere ordinate in base allo stato disponibile per ogni scheda. È possibile selezionare uno stato specifico quando si visualizzano le risposte guidate facendo clic su Stato e selezionando lo stato appropriato da visualizzare. Tutte le schede delle risposte guidate vengono visualizzate per impostazione predefinita indipendentemente dallo stato.

Screenshot che mostra lo stato delle risposte nel riquadro Copilot nella pagina dell'evento imprevisto Microsoft Defender.

Per usare le risposte guidate, seguire questa procedura:

  1. Aprire la pagina di un incidente. Copilot genera automaticamente risposte guidate all'apertura di una pagina degli incidenti. Il riquadro Copilot viene visualizzato sul lato destro della pagina degli incidenti e mostra le schede delle risposte guidate.

    Screenshot che mostra il riquadro Copilot con le risposte guidate nella pagina dell'evento imprevisto Microsoft Defender.

  2. Esaminare ogni scheda prima di applicare i suggerimenti. Selezionare i puntini di sospensione Altre azioni (...) nella parte superiore di una scheda di risposta per visualizzare le opzioni disponibili per ogni suggerimento. Ecco alcuni esempi.

    Screenshot che mostra le opzioni disponibili per gli utenti in una scheda di risposta guidata nel pannello laterale Copilot.

    Screenshot che mostra le opzioni disponibili per gli utenti in una scheda di risposta di automazione nel riquadro Copilot in Microsoft Defender XDR.

  3. Per applicare un'azione, selezionare l'azione desiderata trovata in ogni scheda. L'azione di risposta guidata in ogni scheda è personalizzata in base al tipo di incidente e alla specifica entità coinvolta.

    Screenshot che mostra le schede di risposta guidate nel riquadro Copilot in Microsoft Defender.

  4. È possibile fornire feedback a ogni scheda di risposta per migliorare continuamente le risposte future di Copilot. Per inviare commenti e suggerimenti, selezionare l'icona di feedback Screenshot che mostra l'icona di feedback per Copilot nelle schede defender disponibili in basso a destra di ogni scheda.

Nota

I pulsanti di azione disattivati indicano che queste azioni sono limitate in base alle autorizzazioni impostate. Vedere la pagina sulle autorizzazioni del Controllo degli accessi in base al ruolo unificato per altre informazioni.

Copilot consente di velocizzare le attività di indagine degli analisti. Quando un evento imprevisto richiede ulteriori indagini su un'attività utente, Copilot suggerisce il testo che gli analisti possono usare per comunicare con un utente. La scheda di risposta guidata include un utente contatto in Teams o un'azioneCopia negli Appunti che copia il testo suggerito negli Appunti. Gli analisti possono quindi incollare il testo in un messaggio di posta elettronica o in un altro strumento di comunicazione. L'analista può anche ottenere più contesto sull'utente tramite l'azione Visualizza utente .

Screenshot che mostra il testo suggerito per la comunicazione in una scheda di risposta guidata.

Copilot supporta anche i team di risposta agli eventi imprevisti consentendo agli analisti di ottenere più contesto sulle azioni di risposta con informazioni dettagliate aggiuntive. Per le risposte di rimedio, i team di risposta agli incidenti possono visualizzare altre informazioni con opzioni come Visualizza incidenti simili o Visualizza messaggi di posta elettronica simili.

L'azione Visualizza incidenti simili diventa disponibile quando all'interno dell'organizzazione sono presenti altri incidenti simili a quello corrente. Nella scheda Incidenti simili sono elencati gli eventi imprevisti simili che è possibile esaminare. Microsoft Defender identifica automaticamente gli incidenti simili all'interno dell'organizzazione tramite le funzionalità di apprendimento automatico. I team di risposta agli incidenti possono usare le informazioni relative a questi eventi simili per classificare gli incidenti ed esaminare ulteriormente le azioni eseguite in quelle circostante.

L'azione Visualizza messaggi di posta elettronica simili, specifica degli incidenti di phishing, consente di passare alla pagina di rilevazione avanzata, in cui viene generata automaticamente una query KQL per elencare i messaggi di posta elettronica simili all'interno dell'organizzazione. Questa generazione automatica di query correlate consente ai team di risposta di indagare ulteriormente su altri messaggi di posta elettronica che potrebbero essere correlati all'incidente in questione. È possibile esaminare la query e modificarla in base alle esigenze.

Vedere anche

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.