Resumir um incidente com o Microsoft Copilot no Microsoft Defender
Aplica-se a:
- Microsoft Defender XDR
- Plataforma do Centro de Operações de Segurança Unificada (SOC) do Microsoft Defender
O Microsoft Defender XDR aplica as capacidades do Copilot for Security para resumir incidentes, fornecendo informações e informações com impacto para simplificar as tarefas de investigação. A investigação de ataques é uma etapa crucial para que as equipes de resposta a incidentes defendam com êxito uma organização contra danos adicionais de uma ameaça cibernética. Muitas vezes, as investigações podem ser morosas, uma vez que envolvem vários passos. As equipes de resposta a incidentes precisam entender como o ataque aconteceu: classificar vários alertas, identificar quais ativos e entidades estão envolvidos e avaliar o escopo e o impacto de um ataque.
Os participantes a incidentes podem facilmente obter o contexto certo para investigar e remediar incidentes através das capacidades de correlação do Defender XDR e do Copilot para processamento e contextualização de dados baseados em IA da Segurança. Com um resumo de incidentes, os respondentes podem obter informações importantes rapidamente para ajudar na investigação.
A capacidade de resumo de incidentes está disponível no portal do Microsoft Defender através da licença Copilot for Security. Esta capacidade também está disponível na experiência autónoma do Copilot for Security através do plug-in do Microsoft Defender XDR.
Este guia descreve o que esperar e como aceder à capacidade de resumo do Copilot no Defender, incluindo informações sobre como fornecer comentários.
Resumir um incidente
Incidentes que contêm até 100 alertas podem ser resumidos em um resumo de incidentes. Um resumo de incidentes, dependendo da disponibilidade dos dados, inclui o seguinte:
- A hora e a data em que um ataque foi iniciado.
- A entidade ou ativo em que o ataque foi iniciado.
- Um resumo das linhas do tempo de como o ataque se desdobrou.
- Os ativos envolvidos no ataque.
- Indicadores de compromisso (IoCs).
- Nomes dos atores de ameaça envolvidos.
Para resumir um incidente, execute as seguintes etapas:
Abra uma página de incidentes. O Copilot cria automaticamente um resumo de incidentes ao abrir a página. Você pode interromper a criação do resumo selecionando Cancelar ou reiniciar a criação selecionando Regenerar.
O cartão de resumo do incidente é carregado no painel Copilot. Examine o resumo gerado no cartão.
Dica
Pode navegar para uma página de ficheiro, IP ou URL a partir do painel de resultados do Copilot ao clicar nas provas nos resultados.
Selecione as reticências de Mais ações (...) na parte superior do cartão de resumo do incidente para copiar ou regenerar o resumo ou ver o resumo no portal Copilot for Security. Selecionar Abrir no Copilot for Security abre um novo separador para o portal autónomo Copilot for Security, onde pode introduzir pedidos e aceder a outros plug-ins.
Reveja o resumo e utilize as informações para orientar a investigação e a resposta ao incidente. Pode fornecer feedback sobre o resumo ao selecionar o ícone de feedback
que se encontra na parte inferior do painel Copilot.
Confira também
- Executar a análise de script
- Analisar arquivos
- Gerar resumo do dispositivo
- Usar respostas guiadas ao responder ameaças
- Gerar consultas KQL
- Criar relatórios de incidentes
- Introdução ao Microsoft Copilot para Segurança
- Saiba mais sobre outras experiências incorporadas do Copilot for Security
- Saiba mais sobre plug-ins pré-instalados no Copilot for Security
- Investigar incidentes no Microsoft Defender XDR
Dica
Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de