Microsoft Copilot in Microsoft Defender

  • Articolo

Si applica a:

  • Microsoft Defender XDR
  • Microsoft Defender piattaforma SOC (Unified Security Operations Center)

Microsoft Copilot per la sicurezza unisce la potenza dell'intelligenza artificiale e delle competenze umane per aiutare i team di sicurezza a rispondere agli attacchi in modo più rapido ed efficace. Copilot per la sicurezza è incorporato nel portale di Microsoft Defender per consentire ai team di sicurezza di riepilogare in modo efficiente gli eventi imprevisti, analizzare script e codici, analizzare i file, riepilogare le informazioni sul dispositivo, usare risposte guidate per risolvere gli eventi imprevisti, generare query KQL, creare report sugli eventi imprevisti.

Questo articolo offre una panoramica per gli utenti di Copilot in Defender, tra cui passaggi per l'accesso, funzionalità chiave e collegamenti ai dettagli di queste funzionalità.

Accedere a Copilot in Defender

Per assicurarsi di avere accesso a Copilot in Defender, vedere le informazioni sull'acquisto e la licenza Copilot per la sicurezza. Dopo aver accesso a Copilot per la sicurezza, le funzionalità chiave descritte di seguito diventano accessibili nel portale di Microsoft Defender.

Indagare e rispondere a eventi imprevisti come un esperto

Consente ai team di sicurezza di affrontare le indagini degli attacchi in modo tempestivo con facilità e precisione. Copilot aiuta i team a comprendere immediatamente gli attacchi, analizzare rapidamente file e script sospetti e valutare e applicare tempestivamente la mitigazione appropriata per arrestare e contenere gli attacchi.

Riepilogare rapidamente gli incidenti

Indagare sugli incidenti con più avvisi può essere un'attività molto complessa. Per comprendere immediatamente un evento imprevisto, è possibile toccare Copilot per riepilogare un evento imprevisto . Copilot crea una panoramica dell'attacco contenente informazioni essenziali per comprendere cosa è accaduto nell'attacco, quali asset sono coinvolti e la sequenza temporale dell'attacco. Copilot crea automaticamente un riepilogo quando si passa alla pagina di un evento imprevisto.

Screenshot della scheda di riepilogo degli eventi imprevisti nel riquadro Copilot, come illustrato nella pagina dell'evento imprevisto Microsoft Defender.

Intervenire sugli incidenti tramite risposte guidate

La risoluzione degli eventi imprevisti richiede agli analisti di comprendere un attacco per sapere quali soluzioni sono appropriate. Copilot consiglia soluzioni tramite risposte guidate specifiche per ogni evento imprevisto.

Screenshot che evidenzia il riquadro Copilot con le risposte guidate nella pagina dell'evento imprevisto Microsoft Defender.

Eseguire facilmente l'analisi degli script

La maggior parte degli utenti malintenzionati si serve di malware sofisticati durante il lancio di attacchi, per evitare il rilevamento e l'analisi. Questi malware sono in genere offuscati e potrebbero essere sotto forma di script o righe di comando in PowerShell. Copilot può analizzare rapidamente gli script, riducendo il tempo per l'indagine.

Screenshot che evidenzia il pulsante di analisi dello script nella visualizzazione del brano di attacco nella pagina dell'evento imprevisto.

Generare riepiloghi dei dispositivi

L'analisi dei dispositivi coinvolti in eventi imprevisti può essere un processo di tasking. Per valutare rapidamente un dispositivo, Copilot può riepilogare le informazioni di un dispositivo, tra cui il comportamento di sicurezza del dispositivo, eventuali comportamenti insoliti, un elenco di software vulnerabili e informazioni Microsoft Intune pertinenti.

Screenshot dei risultati del riepilogo del dispositivo in Copilot in Defender.

Analizzare i file in modo tempestivo

Copilot consente ai team di sicurezza di valutare e comprendere rapidamente i file sospetti con l'analisi dei file. Copilot fornisce il riepilogo di un file, tra cui informazioni di rilevamento, certificati file correlati, un elenco di chiamate API e stringhe trovate nel file.

Screenshot dei risultati dell'analisi dei file in Copilot in Defender con l'opzione Nascondi dettagli evidenziata.

Scrivere report degli incidenti in modo efficiente

I team delle operazioni per la sicurezza in genere scrivono report per registrare informazioni importanti, tra cui le azioni di risposta intraprese e i risultati corrispondenti, i membri del team coinvolti e altre informazioni per facilitare le future decisioni sulla sicurezza e l'apprendimento. Spesso, la documentazione degli incidenti richiede molto tempo. Affinché i report degli incidenti siano efficaci, devono contenere il riepilogo dell'incidente insieme alle azioni intraprese, incluse informazioni su chi le ha eseguite e quando. Copilot genera un report sugli eventi imprevisti consolidando rapidamente queste informazioni.

Screenshot della scheda del report degli eventi imprevisti nella pagina degli eventi imprevisti che mostra la metà superiore della scheda.

Caccia come un professionista

Copilot in Defender consente ai team di sicurezza di cercare in modo proattivo le minacce nella rete creando rapidamente query KQL appropriate.

Generare query KQL dall'input in linguaggio naturale

I team di sicurezza che usano la rilevazione avanzata per cercare in modo proattivo le minacce nella propria rete possono ora usare un assistente query che converte qualsiasi domanda in linguaggio naturale nel contesto della rilevazione delle minacce in una query KQL pronta per l'esecuzione. L'assistente query consente ai team di sicurezza di risparmiare tempo, generando una query KQL che può essere eseguita automaticamente o perfezionata in base alle esigenze degli analisti. Altre informazioni sulla query assistente in Copilot per la sicurezza nella ricerca avanzata.

Screenshot del riquadro Copilot nella ricerca avanzata.

Proteggere l'organizzazione con informazioni sulle minacce pertinenti

Consentire all'organizzazione della sicurezza di prendere decisioni informate con l'intelligence sulle minacce più recente. Copilot consolida e riepiloga l'intelligence sulle minacce per aiutare i team di sicurezza a dare priorità e a rispondere alle minacce in modo efficace.

Monitorare l'intelligence sulle minacce

Chiedere a Copilot di riepilogare le minacce rilevanti che influiscono sull'ambiente, di dare priorità alla risoluzione delle minacce in base ai livelli di esposizione o di trovare attori delle minacce che potrebbero essere destinati al settore. Altre informazioni su Copilot per la sicurezza nell'intelligence sulle minacce.

Screenshot del riquadro Copilot nell'intelligence sulle minacce in Defender XDR.

Sicurezza dei dati e feedback in Copilot

Copilot si evolve continuamente usando datiarchiviati, elaborati e condivisi a seconda delle impostazioni definite dall'amministratore. Microsoft garantisce che i dati siano sempre protetti e protetti quando si usa Copilot. Per altre informazioni sulla sicurezza e la privacy dei dati in Copilot, vedere Privacy e sicurezza dei dati in Copilot.

A causa della sua continua evoluzione, Copilot potrebbe perdere alcune cose. Rivedere e fornire commenti e suggerimenti sui risultati consente di migliorare le risposte future di Copilot.

Tutte le funzionalità di Copilot in Defender hanno un'opzione per fornire feedback. Per inviare feedback, seguire questa procedura:

  1. Selezionare l'icona di feedback Screenshot dell'icona di feedback per Copilot nelle schede Defender che si trovano nella parte inferiore di qualsiasi scheda dei risultati nel pannello laterale copilot.
  2. Selezionare Confermato, sembra fantastico se i risultati sono accurati in base alla propria valutazione. È possibile fornire altre informazioni nella finestra di dialogo successiva.
  3. Selezionare Fuori obiettivo, non accurato se i dettagli non sono corretti o incompleti in base alla propria valutazione. È possibile fornire altre informazioni sulla propria valutazione nella finestra di dialogo successiva e inviare questa valutazione a Microsoft.
  4. È anche possibile segnalare i risultati se contengono informazioni dubbie o ambigue selezionando Potenzialmente dannoso, inappropriato. Inserire altre informazioni sui risultati nella finestra di dialogo successiva e selezionare Invia.

Plug-in in Copilot per la sicurezza

Copilot usa plug-in Microsoft preinstallati come Microsoft Defender XDR, Defender Threat Intelligence e linguaggio naturale per KQL per Microsoft Sentinel e plug-in Defender XDR per generare informazioni rilevanti, fornire più contesto agli eventi imprevisti e generare risultati più accurati. Assicurarsi che i plug-in siano attivati in Copilot per consentire l'accesso ai dati pertinenti e generare il contenuto richiesto da altri servizi Microsoft nell'organizzazione.

Passaggi successivi

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.