Resumir um incidente com o Microsoft Copilot no Microsoft Defender

Aplica-se a:

• Microsoft Defender XDR
• Plataforma do centro de operações de segurança (SOC) unificado do Microsoft Defender

O Microsoft Defender XDR aplica os recursos do Copilot para Security para resumir incidentes, fornecendo informações e análises aprofundadas para simplificar as tarefas de investigação. A investigação de ataques é um passo crucial para as equipas de resposta a incidentes defenderem com êxito uma organização contra mais danos de uma ciberameaça. Muitas vezes, as investigações podem ser morosas, uma vez que envolvem vários passos. As equipas de resposta a incidentes têm de compreender como ocorreu o ataque: ordenar através de vários alertas, identificar que recursos e entidades estão envolvidos e avaliar o âmbito e o impacto de um ataque.

Os responsáveis pela resposta a incidentes podem facilmente obter o contexto certo para investigar e remediar incidentes através das capacidades de correlação do Defender XDR e do processamento e contextualização de dados com tecnologia de IA do Copilot para Security. Com um resumo de incidentes, os participantes podem obter rapidamente informações importantes para ajudar na sua investigação.

A capacidade de resumo de incidentes está disponível no portal do Microsoft Defender através da licença do Copilot para Security. Esta capacidade também está disponível na experiência autónoma do Copilot para Security através do plug-in Microsoft Defender XDR.

Este manual de instruções descreve o que esperar e como aceder à capacidade de resumo do Copilot no Defender, incluindo informações sobre como fornecer feedback.

Resumir um incidente

Os incidentes que contenham até 100 alertas podem ser resumidos num resumo de incidente. Um resumo de incidente, dependendo da disponibilidade dos dados, inclui o seguinte:

• A hora e a data em que um ataque foi iniciado.
• A entidade ou recurso onde o ataque foi iniciado.
• Um resumo das linhas cronológicas de como o ataque foi desvendado.
• Os recursos envolvidos no ataque.
• Indicadores de comprometimento (IOCs).
• Nomes dos agentes de ameaça envolvidos.

Para resumir um incidente, execute os seguintes passos:

1. Abra uma página de incidente. O Copilot cria automaticamente um resumo do incidente ao abrir a página. Pode parar a criação do resumo ao selecionar Cancelar ou reiniciar a criação ao selecionar Regenerar.

2. O cartão de resumo do incidente é carregado no painel do Copilot. Reveja o resumo gerado no cartão.

   

   Sugestão

   Pode navegar para uma página de ficheiros, IP ou URL a partir do painel de resultados do Copilot, ao clicar nas provas que aparecem nos resultados.

3. Selecione as reticências Mais ações (...) na parte superior do cartão de resumo do incidente para copiar ou gerar novamente o resumo, ou ver o resumo no portal do Copilot para Security. Ao selecionar Abrir no Copilot para Security será aberto um novo separador para o portal autónomo do Copilot para Security, onde pode introduzir pedidos e aceder a outros plug-ins.

   

4. Avalie o resumo e utilize as informações para orientar a sua investigação e resposta a incidentes. Pode dar feedback sobre o resumo. ao selecionar o ícone de feedback que se encontra na parte inferior do painel do Copilot.

Consulte também

• Executar uma análise de script
• Analisar ficheiros
• Gerar um resumo do dispositivo
• Utilizar respostas orientadas ao responder a ameaças
• Gerar consultas KQL
• Criar relatórios de incidentes
• Começar a utilizar o Microsoft Copilot para Security
• Saiba mais sobre outras experiências incorporadas do Copilot para Security
• Saiba mais sobre plug-ins pré-instalados no Copilot para Security
• Investigar incidentes no Microsoft Defender XDR

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.