Share via

Riepilogare un evento imprevisto con Microsoft Copilot in Microsoft Defender

  • Articolo

Si applica a:

  • Microsoft Defender XDR
  • Microsoft Defender piattaforma SOC (Unified Security Operations Center)

Microsoft Defender XDR applica le funzionalità di Copilot per la sicurezza per riepilogare gli eventi imprevisti, fornendo informazioni di impatto e informazioni dettagliate per semplificare le attività di indagine. L'indagine sull'attacco è una fase cruciale per i team di risposta agli eventi imprevisti per difendere con successo un'organizzazione da ulteriori danni causati da una minaccia informatica. Le indagini possono spesso richiedere molto tempo, in quanto implicano numerosi passaggi. I team di risposta agli eventi imprevisti devono capire come si è verificato l'attacco: ordinare i numerosi avvisi, identificare gli asset e le entità coinvolte e valutare la portata e l'impatto di un attacco.

I risponditori di eventi imprevisti possono facilmente ottenere il contesto giusto per analizzare e correggere gli eventi imprevisti tramite le funzionalità di correlazione di Defender XDR e l'elaborazione e la contestualizzazione dei dati basati sull'intelligenza artificiale di Copilot per la sicurezza. Con un riepilogo dell'evento imprevisto, i tecnici possono ottenere rapidamente informazioni importanti per le indagini.

La funzionalità di riepilogo degli eventi imprevisti è disponibile nel portale di Microsoft Defender tramite la licenza Copilot per la sicurezza. Questa funzionalità è disponibile anche nell'esperienza autonoma Copilot per la sicurezza tramite il plug-in Microsoft Defender XDR.

Questa guida descrive cosa aspettarsi e come accedere alla funzionalità di riepilogo di Copilot in Defender, incluse informazioni su come fornire feedback.

Riepilogare un evento imprevisto

Gli eventi imprevisti contenenti fino a 100 avvisi possono essere riepilogati in un unico riepilogo degli eventi imprevisti. Un riepilogo degli eventi imprevisti, a seconda della disponibilità dei dati, include quanto segue:

  • Ora e data di inizio di un attacco.
  • Entità o asset in cui è iniziato l'attacco.
  • Riepilogo delle sequenze temporali di come si è svolto l'attacco.
  • Asset coinvolti nell'attacco.
  • Indicatori di compromissione (IoC).
  • Nomi degli attori delle minacce coinvolti.

Per riepilogare un evento imprevisto, seguire questa procedura:

  1. Aprire la pagina di un evento imprevisto. Copilot crea automaticamente un riepilogo degli eventi imprevisti all'apertura della pagina. È possibile arrestare la creazione del riepilogo selezionando Annulla o riavviare la creazione selezionando Rigenera.

  2. La scheda di riepilogo degli eventi imprevisti viene caricata nel riquadro Copilot. Esaminare il riepilogo generato nella scheda. Screenshot della scheda di riepilogo degli eventi imprevisti nel riquadro Copilot, come illustrato nella pagina dell'evento imprevisto Microsoft Defender.

    Consiglio

    È possibile passare a una pagina di file, IP o URL dal riquadro dei risultati di Copilot facendo clic sull'evidenza nei risultati.

  3. Selezionare i puntini di sospensione Altre azioni (...) nella parte superiore della scheda di riepilogo degli eventi imprevisti per copiare o rigenerare il riepilogo oppure visualizzare il riepilogo nel portale di Copilot per la sicurezza. Selezionando Apri in Copilot per la sicurezza viene aperta una nuova scheda per il portale autonomo Copilot per la sicurezza in cui è possibile immettere richieste e accedere ad altri plug-in. Screenshot che evidenzia le azioni disponibili nella scheda di riepilogo degli eventi imprevisti.

  4. Esaminare il riepilogo e usare le informazioni per guidare l'indagine e la risposta all'evento imprevisto. È possibile fornire commenti e suggerimenti sul riepilogo selezionando l'icona di feedback Screenshot dell'icona di feedback per Copilot nelle schede defender disponibili nella parte inferiore del riquadro Copilot.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.