Compartilhar via

Triagem e investigação de incidentes com respostas guiadas do Microsoft Copilot no Microsoft Defender

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR
  • Plataforma do Centro de Operações de Segurança Unificada (SOC) do Microsoft Defender

O Microsoft Copilot for Security no portal do Microsoft Defender suporta equipas de resposta a incidentes na resolução imediata de incidentes com respostas guiadas. O Copilot no Defender utiliza funcionalidades de IA e machine learning para contextualizar um incidente e aprender com investigações anteriores para gerar ações de resposta adequadas.

Responder a incidentes no portal do Microsoft Defender requer muitas vezes estar familiarizado com as ações disponíveis do portal para parar os ataques. Além disso, os novos respondentes de incidentes podem ter ideias diferentes sobre onde e como começar a responder. A capacidade de resposta orientada do Copilot no Defender permite que as equipas de resposta a incidentes a todos os níveis apliquem ações de resposta com confiança e rapidez para resolver incidentes com facilidade.

As respostas guiadas estão disponíveis no portal do Microsoft Defender através da licença Copilot for Security. As respostas guiadas também estão disponíveis na experiência autónoma copilot for Security através do plug-in Defender XDR.

Este guia descreve como aceder à capacidade de resposta orientada, incluindo informações sobre como fornecer feedback sobre as respostas.

Aplicar respostas guiadas para resolver incidentes

As respostas guiadas recomendam ações nas seguintes categorias:

  • Triagem – inclui uma recomendação para classificar incidentes como informativos, verdadeiros positivos ou falsos positivos
  • Contenção – inclui ações recomendadas para conter um incidente
  • Investigação – inclui ações recomendadas para investigação adicional
  • Correção – inclui ações de resposta recomendadas para serem aplicadas a entidades específicas envolvidas em um incidente

Cada cartão contém informações sobre a ação recomendada, incluindo a entidade onde a ação tem de ser aplicada e o motivo pelo qual a ação é recomendada. Os cartões também realçam quando uma ação recomendada foi feita por uma investigação automatizada, como interrupção de ataques ou resposta automatizada de investigação.

Os cartões de resposta orientados podem ser ordenados com base no estado disponível para cada cartão. Pode selecionar um estado específico ao ver as respostas guiadas ao clicar em Estado e selecionar o estado adequado que pretende ver. Todos os cartões de resposta guiados, independentemente do estado, são apresentados por predefinição.

Captura de ecrã que mostra o estado das respostas no painel Copilot na página de incidentes do Microsoft Defender.

Para usar as respostas guiadas, execute as seguintes etapas:

  1. Abra uma página de incidentes. O Copilot gera automaticamente respostas guiadas ao abrir uma página de incidente. O painel Copilot é apresentado no lado direito da página do incidente, com os cartões de resposta guiados.

    Captura de ecrã que mostra o painel Copilot com as respostas guiadas na página de incidentes do Microsoft Defender.

  2. Reveja cada cartão antes de aplicar as recomendações. Selecione as reticências mais ações (...) sobre um cartão de resposta para ver as opções disponíveis para cada recomendação. Aqui estão alguns exemplos.

    Captura de ecrã que mostra as opções disponíveis para os utilizadores num cartão de resposta guiado no painel lateral copilot.

    Captura de ecrã que mostra as opções disponíveis para os utilizadores num cartão de resposta de automatização no painel Copilot no Microsoft Defender XDR.

  3. Para aplicar uma ação, selecione a ação pretendida encontrada em cada cartão. A ação de resposta orientada em cada cartão é adaptada ao tipo de incidente e à entidade específica envolvida.

    Captura de ecrã que mostra os cartões de resposta guiados no painel Copilot no Microsoft Defender.

  4. Pode fornecer feedback a cada cartão de resposta para melhorar continuamente as respostas futuras da Copilot. Para fornecer feedback, selecione o ícone de feedback Captura de ecrã que mostra o ícone de feedback de Copilot nos cartões do Defender encontrados no canto inferior direito de cada cartão.

Observação

Os botões de ação desativados significam que estas ações são limitadas pela sua permissão. Consulte a página de permissões de RBAC (acesso baseado em função) unificada para obter mais informações.

O Copilot no Defender suporta equipas de resposta a incidentes ao permitir que os analistas obtenham mais contexto sobre as ações de resposta com informações adicionais. Para respostas de correção, as equipes de resposta a incidentes podem visualizar informações adicionais com opções como Exibir incidentes semelhantes ou Exibir emails semelhantes.

A ação Exibir incidentes semelhantes fica disponível quando há outros incidentes dentro da organização semelhantes ao incidente atual. A guia Incidentes Semelhantes lista incidentes semelhantes que você pode examinar. O Microsoft Defender identifica automaticamente incidentes semelhantes na organização através da aprendizagem automática. As equipes de resposta a incidentes podem usar as informações desses incidentes semelhantes para classificar incidentes e examinar ainda mais as ações realizadas nos semelhantes.

A ação Exibir emails semelhantes, que é específica para incidentes de phishing, leva você para a página de busca avançada de ameaças, onde uma consulta KQL para listar emails semelhantes dentro da organização é gerada automaticamente. Essa geração de consulta automática relacionada a um incidente ajuda as equipes de resposta a incidentes a investigar ainda mais outros emails que possam estar relacionados. É possível examinar a consulta e modificá-la conforme necessário.

Confira também

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.