Valutare e analizzare gli eventi imprevisti con risposte guidate da Microsoft Copilot in Microsoft Defender

Si applica a:

• Microsoft Defender XDR
• Piattaforma Del Centro operativo di sicurezza unificata (SOC) di Microsoft Defender

Microsoft Copilot per la sicurezza nel portale di Microsoft Defender supporta i team di risposta agli eventi imprevisti nella risoluzione immediata degli eventi imprevisti con risposte guidate. Copilot in Defender usa le funzionalità di intelligenza artificiale e Machine Learning per contestualizzare un evento imprevisto e apprendere dalle indagini precedenti per generare azioni di risposta appropriate.

La risposta agli eventi imprevisti nel portale di Microsoft Defender richiede spesso familiarità con le azioni disponibili del portale per arrestare gli attacchi. Inoltre, i nuovi incaricati della risposta agli incidenti potrebbero avere idee diverse su dove e come iniziare a rispondere agli incidenti. La funzionalità di risposta guidata di Copilot in Defender consente ai team di risposta agli eventi imprevisti a tutti i livelli di applicare in modo sicuro e rapido le azioni di risposta per risolvere gli eventi imprevisti con facilità.

Le risposte guidate sono disponibili nel portale di Microsoft Defender tramite la licenza copilot per la sicurezza. Le risposte guidate sono disponibili anche nell'esperienza autonoma Copilot for Security tramite il plug-in Defender XDR.

Questa guida descrive come accedere alla funzionalità di risposta guidata, incluse informazioni su come fornire commenti e suggerimenti sulle risposte.

Applicare risposte guidate per risolvere gli eventi imprevisti

Le risposte guidate consigliano azioni nelle categorie seguenti:

• Valutazione: include un consiglio per classificare gli incidenti come informativi, veri positivi o falsi positivi
• Contenimento: include le azioni consigliate per contenere un incidente
• Indagine: include le azioni consigliate per un'ulteriore indagine
• Rimedio: include azioni di risposta consigliate da applicare a entità specifiche coinvolte in un incidente

Ogni scheda contiene informazioni sull'azione consigliata, inclusa l'entità in cui è necessario applicare l'azione e il motivo per cui l'azione è consigliata. Le schede evidenziano anche quando un'azione consigliata è stata eseguita da un'indagine automatizzata, ad esempio un'interruzionedell'attacco o una risposta di indagine automatizzata.

Le schede di risposta guidate possono essere ordinate in base allo stato disponibile per ogni scheda. È possibile selezionare uno stato specifico quando si visualizzano le risposte guidate facendo clic su Stato e selezionando lo stato appropriato da visualizzare. Tutte le schede di risposta guidate indipendentemente dallo stato vengono visualizzate per impostazione predefinita.

Per usare le risposte guidate, seguire questa procedura:

1. Aprire la pagina di un incidente. Copilot genera automaticamente risposte guidate all'apertura di una pagina degli eventi imprevisti. Il riquadro Copilot viene visualizzato sul lato destro della pagina dell'evento imprevisto, che mostra le schede di risposta guidate.

   

2. Esaminare ogni scheda prima di applicare le raccomandazioni. Selezionare i puntini di sospensione Altre azioni (...) nella parte superiore di una scheda di risposta per visualizzare le opzioni disponibili per ogni raccomandazione. Ecco alcuni esempi.

   

   

3. Per applicare un'azione, selezionare l'azione desiderata trovata in ogni scheda. L'azione di risposta guidata in ogni scheda è personalizzata in base al tipo di evento imprevisto e all'entità specifica coinvolta.

   

4. È possibile fornire feedback a ogni scheda di risposta per migliorare continuamente le risposte future di Copilot. Per inviare commenti e suggerimenti, selezionare l'icona di feedback disponibili in basso a destra di ogni scheda.

Nota

I pulsanti di azione disattivati indicano che queste azioni sono limitate dall'autorizzazione. Vedere la pagina sulle autorizzazioni del Controllo degli accessi in base al ruolo unificato per altre informazioni.

Copilot in Defender supporta i team di risposta agli eventi imprevisti consentendo agli analisti di ottenere più contesto sulle azioni di risposta con informazioni dettagliate aggiuntive. Per le risposte di rimedio, i team di risposta agli incidenti possono visualizzare altre informazioni con opzioni come Visualizza incidenti simili o Visualizza messaggi di posta elettronica simili.

L'azione Visualizza incidenti simili diventa disponibile quando all'interno dell'organizzazione sono presenti altri incidenti simili a quello corrente. Nella scheda Incidenti simili sono elencati gli eventi imprevisti simili che è possibile esaminare. Microsoft Defender identifica automaticamente eventi imprevisti simili all'interno dell'organizzazione tramite Machine Learning. I team di risposta agli incidenti possono usare le informazioni relative a questi eventi simili per classificare gli incidenti ed esaminare ulteriormente le azioni eseguite in quelle circostante.

L'azione Visualizza messaggi di posta elettronica simili, specifica degli incidenti di phishing, consente di passare alla pagina di rilevazione avanzata, in cui viene generata automaticamente una query KQL per elencare i messaggi di posta elettronica simili all'interno dell'organizzazione. Questa generazione automatica di query correlate consente ai team di risposta di indagare ulteriormente su altri messaggi di posta elettronica che potrebbero essere correlati all'incidente in questione. È possibile esaminare la query e modificarla in base alle esigenze.

Vedere anche

• Riepilogare un incidente
• Analizzare i file
• Eseguire l'analisi dello script
• Creare un report degli incidenti
• Generare query KQL
• Introduzione a Microsoft Copilot per la sicurezza.
• Informazioni su altre esperienze copilot per la sicurezza incorporate
• Altre informazioni sui plug-in preinstallati in Copilot per la sicurezza

Consiglio

Per saperne di più, Collaborare con la community di Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.