Microsoft Copilot per la sicurezza e Microsoft Defender Threat Intelligence

Importante

Il 30 giugno 2024 il portale autonomo Microsoft Defender Threat Intelligence (Defender TI) (https://ti.defender.microsoft.com) è stato ritirato e non è più accessibile. I clienti possono continuare a usare Defender TI nel portale di Microsoft Defender o con Microsoft Copilot per la sicurezza. Altre informazioni

Microsoft Copilot per la sicurezza è una piattaforma di intelligenza artificiale basata sul cloud che offre un'esperienza copilot in linguaggio naturale. Può aiutare a supportare i professionisti della sicurezza in scenari diversi, ad esempio la risposta agli eventi imprevisti, la ricerca delle minacce e la raccolta di informazioni. Per altre informazioni sulle operazioni che può eseguire, vedere Che cos'è Microsoft Copilot per la sicurezza?.

Copilot per la sicurezza si integra con Microsoft Defender Threat Intelligence

Copilot per la sicurezza fornisce informazioni sugli attori delle minacce, sugli indicatori di compromissione (IPC), sugli strumenti e sulle vulnerabilità, nonché sull'intelligence contestuale sulle minacce di Microsoft Defender Threat Intelligence (Defender TI). È possibile usare i prompt e i promptbook per analizzare gli eventi imprevisti, arricchire i flussi di ricerca con informazioni di intelligence sulle minacce o acquisire maggiori informazioni sul panorama globale delle minacce o dell'organizzazione.

Questo articolo presenta Copilot e include richieste di esempio che possono aiutare gli utenti di Defender TI.

Sapere prima di iniziare

• È possibile usare le funzionalità di Copilot per esporre l'intelligence sulle minacce nel portale di Copilot per la sicurezza o nel portale di Microsoft Defender. Scopri di più sull'esperienza Copilot per la sicurezza

• Essere chiari e specifici con le richieste. È possibile ottenere risultati migliori se si includono nomi di attori di minacce o IPC specifici nelle richieste. Può essere utile anche se si aggiunge intelligence sulle minacce alla richiesta, ad esempio:

  • Mostrami i dati di intelligence sulle minacce per Aqua Blizzard.
  • Riepilogare i dati di intelligence sulle minacce per "malicious.com".

• Specificare quando si fa riferimento a un evento imprevisto, ad esempio "ID evento imprevisto 15324".

• Sperimentare diverse richieste e varianti per vedere cosa funziona meglio per il caso d'uso. I modelli di intelligenza artificiale della chat variano, quindi è possibile eseguire l'iterazione e perfezionare le richieste in base ai risultati ricevuti.

• Copilot per la sicurezza salva le sessioni di richiesta. Per visualizzare le sessioni precedenti, dal menu Home di Copilot passare a Le mie sessioni.

  

  Nota

  Per una procedura dettagliata su Copilot, inclusa la funzionalità aggiungi e condividi, leggi Utilizzare Microsoft Copilot per la sicurezza.

Altre informazioni sulla creazione di richieste efficaci

Uso del portale autonomo di Copilot per la sicurezza per ottenere intelligence sulle minacce

1. Accedere a Microsoft Copilot per la sicurezza con le credenziali di amministratore.

2. Assicurati che il plug-in Defender TI sia attivato. Nella barra dei prompt selezionare l'icona Origini .

   

   Nella finestra popup Gestisci origini visualizzata, in Plug-in, verificare che l'interruttore di Microsoft Threat Intelligence sia attivato e quindi chiudere la finestra.

   

   Nota

   Alcuni ruoli possono attivare o disattivare l'interruttore per plug-in come Defender TI. Per altre informazioni, vedere Gestire i plug-in Microsoft Copilot per la sicurezza.

3. Immettere il prompt nella barra dei prompt.

Funzionalità di sistema predefinite

Copilot per la sicurezza include funzionalità di sistema predefinite che possono ottenere dati dai diversi plug-in attivati.

Per visualizzare l'elenco delle funzionalità di sistema predefinite per Defender TI:

1. Nella barra dei prompt selezionare l'icona Richiesta .

   

2. Selezionare Visualizza tutte le funzionalità di sistema. La sezione Microsoft Defender Threat Intelligence elenca tutte le funzionalità disponibili per Defender TI che è possibile usare.

Copilot include anche i promptbook seguenti che forniscono anche informazioni da Defender TI:

• Profilo dell'attore di minacce: genera un report di profilatura di un attore di minacce noto, inclusi suggerimenti per proteggersi dagli strumenti e dalle tattiche comuni.
• Valutazione dell'impatto della vulnerabilità: genera un report che riepiloga l'intelligence per una vulnerabilità nota, inclusi i passaggi per risolverla.

Per visualizzare questi promptbook, nella barra dei prompt selezionare l'icona Richieste, quindi selezionare Visualizza tutti i promptbook.

Richieste di esempio per Defender TI

Puoi usare molte richieste per ottenere informazioni da Defender TI. Questa sezione elenca alcune idee ed esempi.

Informazioni generali sulle tendenze di intelligence sulle minacce

Ottieni intelligence sulle minacce dagli articoli sulle minacce e dagli attori delle minacce.

Richieste di esempio:

• Riepilogare l'intelligence sulle minacce recente.
• Mostra gli articoli più recenti sulle minacce.
• Ottieni articoli sulle minacce correlati al ransomware negli ultimi sei mesi.

Informazioni contestuali sull'indirizzo IP e sull'host in relazione all'intelligence sulle minacce

Ottenere informazioni sui set di dati associati a indirizzi IP e host, ad esempio porte, punteggi di reputazione, componenti, certificati, cookie, servizi e coppie host.

Richieste di esempio:

• Mostra la reputazione dell'host <nome host>.
• Ottenere le risoluzioni per l'indirizzo IP dell' <Indirizzo IP>.

Mapping e infrastruttura dell'attore delle minacce

Ottieni informazioni sugli attori delle minacce e sulle tattiche, le tecniche e le procedure (TTP), gli stati sponsorizzati, i settori e i CPC associati.

Richieste di esempio:

• Altre informazioni su Silk Typhoon.
• Condividere le operazioni di I/O associate a Silk Typhoon.
• Condividere i TTP associati a Silk Typhoon.
• Condividere gli attori di minaccia associati alla Russia.

Dati di vulnerabilità di CVE

Ottieni informazioni contestuali e informazioni sulle minacce su vulnerabilità ed esporsi comuni (CVE).

Richieste di esempio:

• Condividere le tecnologie soggette alla vulnerabilità CVE-2021-44228.
• Riepilogare la vulnerabilità CVE-2021-44228.
• Mostra gli ultimi CVE.
• Mostra gli attori di minaccia associati a CVE-2021-44228.
• Mostra gli articoli sulle minacce associati a CVE-2021-44228.

Inviare feedback

Il tuo feedback sull'integrazione di Defender TI con Copilot per la sicurezza è utile per lo sviluppo. Per fornire commenti e suggerimenti, in Copilot selezionare Qual è la risposta? Nella parte inferiore di ogni richiesta completata scegliere una delle opzioni seguenti:

• Sembra corretta: selezionare questo pulsante se i risultati sono accurati, in base alla valutazione.
• C'è da migliorare: selezionare questo pulsante se i dettagli nei risultati non sono corretti o incompleti, in base alla valutazione.
• Inappropriata : selezionare questo pulsante se i risultati contengono informazioni dubbie, ambigue o potenzialmente dannose.

Per ogni pulsante di feedback, è possibile fornire altre informazioni nella finestra di dialogo successiva visualizzata. Quando possibile, e quando il risultato è C'è da migliorare, scrivere alcune parole che spiegano cosa è possibile fare per migliorare il risultato. Se hai immesso richieste specifiche per Defender TI e i risultati non sono correlati, includi tali informazioni.

Uso di Microsoft Copilot in Defender per ottenere intelligence sulle minacce

I clienti di Copilot per la sicurezza ottengono l'accesso a Defender TI all'interno del portale di Microsoft Defender per ogni utente di Copilot autenticato. Per assicurarsi di avere accesso a Copilot, vedere le informazioni sull'acquisto e sulle licenze di Copilot per la sicurezza.

Dopo aver accesso a Copilot per la sicurezza, le funzionalità principali descritte nella sezione successiva diventano accessibili nelle sezioni intelligence sulle minacce seguenti del portale di Defender:

• Analisi delle minacce
• Profili Intel
• Intel Explorer
• Progetti Intel

Funzionalità principali

Copilot in Defender offre la funzionalità di Copilot for Security per cercare informazioni sulle minacce nel portale, consentendo ai team di sicurezza di comprendere, assegnare priorità e intervenire immediatamente sulle informazioni di intelligence sulle minacce.

È possibile chiedere informazioni su un attore di minacce, una campagna di attacco o qualsiasi altra intelligence sulle minacce di cui si vuole ottenere maggiori informazioni e Copilot genera risposte basate su report di analisi delle minacce, profili e articoli intel e altri contenuti ti di Defender. È anche possibile selezionare uno dei prompt predefiniti disponibili che consentono di eseguire le azioni seguenti:

• Riepilogare le minacce più recenti correlate all'organizzazione
• Assegnare priorità alle minacce su cui concentrarsi in base al livello di esposizione più elevato dell'ambiente a queste minacce
• Chiedere informazioni sugli attori delle minacce destinati al settore dell'infrastruttura di comunicazione

Scopri di più sull'uso di Copilot in Defender per intelligence sulle minacce

Trattamento dei dati e privacy

Quando interagisci con Copilot per la sicurezza per ottenere i dati di Defender TI, Copilot esegue il pull di tali dati da Defender TI. Le richieste, i dati recuperati e l'output visualizzato nei risultati della richiesta vengono elaborati e archiviati all'interno del servizio Copilot. Altre informazioni sulla privacy e sulla sicurezza dei dati in Microsoft Copilot per la sicurezza

Vedere anche

• Che cos'è Microsoft Copilot per la sicurezza?
• Privacy e sicurezza dei dati in Microsoft Copilot per la sicurezza
• Uso di Microsoft Copilot per la sicurezza per l'intelligence sulle minacce