Triagem e investigação de incidentes com respostas guiadas do Microsoft Copilot no Microsoft Defender
O Microsoft Copilot para Segurança no portal do Microsoft Defender oferece suporte às equipes de resposta a incidentes para a imediata resolução de incidentes com respostas guiadas. O Copilot no Defender usa recursos de IA e aprendizado de máquina para contextualizar um incidente e aprender com as investigações anteriores a gerar ações de resposta apropriadas.
A resposta a incidentes no portal do Defender geralmente requer familiaridade com as ações disponíveis no portal para deter os ataques. Além disso, os novos respondentes de incidentes podem ter ideias diferentes sobre onde e como começar a responder. O recurso de resposta guiada do Copilot no Defender permite que as equipes de resposta a incidentes em todos os níveis apliquem ações de resposta com confiança e rapidez para resolver os incidentes com facilidade.
As respostas guiadas estão disponíveis no portal do Microsoft Defender por meio da licença do Copilot para Segurança. As respostas guiadas também estão disponíveis na experiência autônoma do Copilot para Segurança por meio do plugin do Defender XDR.
Este guia descreve como acessar o recurso de resposta guiada, incluindo informações sobre como fornecer feedback das respostas.
Aplicar as respostas guiadas para resolver incidentes
As respostas guiadas recomendam ações nas seguintes categorias:
- Triagem – inclui uma recomendação para classificar incidentes como informativos, verdadeiros positivos ou falsos positivos
- Contenção – inclui ações recomendadas para conter um incidente
- Investigação – inclui ações recomendadas para investigação adicional
- Correção – inclui ações de resposta recomendadas para serem aplicadas a entidades específicas envolvidas em um incidente
Cada cartão contém informações sobre a ação recomendada, incluindo a entidade em que a ação precisa ser aplicada e por que essa ação é recomendada. Os cartões também enfatizam quando uma ação recomendada foi feita por uma investigação automatizada, como uma interrupção de ataque ou uma resposta de investigação automatizada.
Os cartões de resposta guiada podem ser classificados com base no status disponível para cada cartão. Você pode selecionar um status específico ao ver as respostas guiadas clicando em Status e selecionando o status apropriado que você quer ver. Todos os cartões de resposta guiada, independentemente do status, são mostrados por padrão.
Para usar as respostas guiadas, execute as seguintes etapas:
Abra uma página de incidentes. O Copilot gera respostas guiadas automaticamente quando você abre uma página de incidentes. O painel do Copilot aparece no lado direito da página de incidentes, mostrando os cartões de resposta guiada.
Reveja cada cartão antes de aplicar as recomendações. Selecione as reticências de Mais Ações (...) na parte superior de um cartão de resposta para ver as opções disponíveis para cada recomendação. Aqui estão alguns exemplos.
Para aplicar uma ação, selecione a ação desejada encontrada em cada cartão. A ação de resposta guiada em cada cartão é adaptada ao tipo de incidente e à entidade específica envolvida.
Você pode fornecer um feedback de cada cartão de resposta para aprimorar continuamente as respostas futuras do Copilot. Para fornecer feedback, selecione o ícone de feedback
encontrados na parte inferior direita de cada card.
Observação
Botões de ação em cinza significam que essas ações são limitadas por sua permissão. Consulte a página de permissões de RBAC (acesso baseado em função) unificada para obter mais informações.
O Copilot ajuda a acelerar as tarefas de investigação dos analistas. Quando um incidente requer uma investigação mais aprofundada sobre uma atividade de utilizador, a Copilot sugere texto que os analistas podem utilizar para comunicar com um utilizador. A resposta guiada card inclui uma ação Contactar utilizador no Teams ou Copiar para a área de transferência que copia o texto sugerido para a área de transferência. Em seguida, os analistas podem colar o texto num e-mail ou noutra ferramenta de comunicação. O analista também pode obter mais contexto sobre o utilizador através da ação Ver utilizador .
O Copilot também suporta equipas de resposta a incidentes ao permitir que os analistas obtenham mais contexto sobre as ações de resposta com informações adicionais. Para respostas de correção, as equipes de resposta a incidentes podem visualizar informações adicionais com opções como Exibir incidentes semelhantes ou Exibir emails semelhantes.
A ação Exibir incidentes semelhantes fica disponível quando há outros incidentes dentro da organização semelhantes ao incidente atual. A guia Incidentes Semelhantes lista incidentes semelhantes que você pode examinar. O Microsoft Defender identifica automaticamente os incidentes semelhantes dentro da organização por meio do aprendizado de máquina. As equipes de resposta a incidentes podem usar as informações desses incidentes semelhantes para classificar incidentes e examinar ainda mais as ações realizadas nos semelhantes.
A ação Exibir emails semelhantes, que é específica para incidentes de phishing, leva você para a página de busca avançada de ameaças, onde uma consulta KQL para listar emails semelhantes dentro da organização é gerada automaticamente. Essa geração de consulta automática relacionada a um incidente ajuda as equipes de resposta a incidentes a investigar ainda mais outros emails que possam estar relacionados. É possível examinar a consulta e modificá-la conforme necessário.
Confira também
- Resumir um incidente
- Analisar arquivos
- Executar a análise de script
- Criar um relatório de incidentes
- Gerar consultas KQL
- Introdução ao Microsoft Copilot para Segurança
- Saiba mais sobre outras experiências inseridas no Copilot para Segurança
- Saiba mais sobre os plugins pré-instalados no Copilot para Segurança
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.