Valutare e analizzare gli incidenti con risposte guidate di Microsoft Copilot in Microsoft Defender
Microsoft Copilot per la sicurezza nel portale di Microsoft Defender supporta i team di risposta agli incidenti nella risoluzione immediata degli incidenti mediante risposte guidate. Copilot in Defender usa funzionalità di intelligenza artificiale e apprendimento automatico per contestualizzare un incidente e apprendere dalle indagini precedenti per generare azioni di risposta appropriate.
Per rispondere agli incidenti nel portale di Microsoft Defender spesso è necessaria familiarità con le azioni disponibili nel portale per arrestare gli attacchi. Inoltre, i nuovi incaricati della risposta agli incidenti potrebbero avere idee diverse su dove e come iniziare a rispondere agli incidenti. La funzionalità di risposta guidata di Copilot in Defender consente ai team di risposta agli incidenti a tutti i livelli di applicare in modo rapido e sicuro azioni di risposta per risolvere gli incidenti con facilità.
Le risposte guidate sono disponibili nel portale di Microsoft Defender tramite la licenza di Copilot per la sicurezza. Le risposte guidate sono disponibili anche nell'esperienza indipendente di Copilot per la sicurezza tramite il plug-in Defender XDR.
Questa guida illustra come accedere alla funzionalità di risposta guidata e include informazioni su come fornire feedback sulle risposte.
Applicare le risposte guidate per risolvere gli incidenti
Le risposte guidate consigliano azioni nelle categorie seguenti:
- Valutazione: include un consiglio per classificare gli incidenti come informativi, veri positivi o falsi positivi
- Contenimento: include le azioni consigliate per contenere un incidente
- Indagine: include le azioni consigliate per un'ulteriore indagine
- Rimedio: include azioni di risposta consigliate da applicare a entità specifiche coinvolte in un incidente
Ogni scheda contiene informazioni sull'azione consigliata, tra cui l'entità in cui è necessario applicare l'azione e il motivo per cui l'azione è consigliata. Le schede evidenziano anche quando un'azione consigliata è stata eseguita da un'indagine automatizzata, ad esempio un'interruzione dell'attacco o una risposta di indagine automatizzata.
Le schede delle risposte guidate possono essere ordinate in base allo stato disponibile per ogni scheda. È possibile selezionare uno stato specifico quando si visualizzano le risposte guidate facendo clic su Stato e selezionando lo stato appropriato da visualizzare. Tutte le schede delle risposte guidate vengono visualizzate per impostazione predefinita indipendentemente dallo stato.
Per usare le risposte guidate, seguire questa procedura:
Aprire la pagina di un incidente. Copilot genera automaticamente risposte guidate all'apertura di una pagina degli incidenti. Il riquadro Copilot viene visualizzato sul lato destro della pagina degli incidenti e mostra le schede delle risposte guidate.
Esaminare ogni scheda prima di applicare i suggerimenti. Selezionare i puntini di sospensione Altre azioni (...) nella parte superiore di una scheda di risposta per visualizzare le opzioni disponibili per ogni suggerimento. Ecco alcuni esempi.
Per applicare un'azione, selezionare l'azione desiderata trovata in ogni scheda. L'azione di risposta guidata in ogni scheda è personalizzata in base al tipo di incidente e alla specifica entità coinvolta.
È possibile fornire feedback a ogni scheda di risposta per migliorare continuamente le risposte future di Copilot. Per inviare commenti e suggerimenti, selezionare l'icona di feedback disponibili in basso a destra di ogni scheda.
Nota
I pulsanti di azione disattivati indicano che queste azioni sono limitate in base alle autorizzazioni impostate. Vedere la pagina sulle autorizzazioni del Controllo degli accessi in base al ruolo unificato per altre informazioni.
Copilot consente di velocizzare le attività di indagine degli analisti. Quando un evento imprevisto richiede ulteriori indagini su un'attività utente, Copilot suggerisce il testo che gli analisti possono usare per comunicare con un utente. La scheda di risposta guidata include un utente contatto in Teams o un'azioneCopia negli Appunti che copia il testo suggerito negli Appunti. Gli analisti possono quindi incollare il testo in un messaggio di posta elettronica o in un altro strumento di comunicazione. L'analista può anche ottenere più contesto sull'utente tramite l'azione Visualizza utente .
Copilot supporta anche i team di risposta agli eventi imprevisti consentendo agli analisti di ottenere più contesto sulle azioni di risposta con informazioni dettagliate aggiuntive. Per le risposte di rimedio, i team di risposta agli incidenti possono visualizzare altre informazioni con opzioni come Visualizza incidenti simili o Visualizza messaggi di posta elettronica simili.
L'azione Visualizza incidenti simili diventa disponibile quando all'interno dell'organizzazione sono presenti altri incidenti simili a quello corrente. Nella scheda Incidenti simili sono elencati gli eventi imprevisti simili che è possibile esaminare. Microsoft Defender identifica automaticamente gli incidenti simili all'interno dell'organizzazione tramite le funzionalità di apprendimento automatico. I team di risposta agli incidenti possono usare le informazioni relative a questi eventi simili per classificare gli incidenti ed esaminare ulteriormente le azioni eseguite in quelle circostante.
L'azione Visualizza messaggi di posta elettronica simili, specifica degli incidenti di phishing, consente di passare alla pagina di rilevazione avanzata, in cui viene generata automaticamente una query KQL per elencare i messaggi di posta elettronica simili all'interno dell'organizzazione. Questa generazione automatica di query correlate consente ai team di risposta di indagare ulteriormente su altri messaggi di posta elettronica che potrebbero essere correlati all'incidente in questione. È possibile esaminare la query e modificarla in base alle esigenze.
Vedere anche
- Riepilogare un incidente
- Analizzare i file
- Eseguire l'analisi dello script
- Creare un report degli incidenti
- Generare query KQL
- Introduzione a Microsoft Copilot per la sicurezza.
- Informazioni su altre esperienze incorporate di Copilot per la sicurezza
- Altre informazioni sui plug-in preinstallati in Copilot per la sicurezza.
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.