Partilhar via

Triagem e investigação de incidentes com respostas orientadas do Microsoft Copilot no Microsoft Defender

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR
  • Plataforma do centro de operações de segurança (SOC) unificado do Microsoft Defender

O Microsoft Copilot para Security no portal do Microsoft Defender suporta as equipas de resposta a incidentes na resolução imediata de incidentes com respostas orientadas. O Copilot no Defender utiliza funcionalidades de IA e aprendizagem automática para contextualizar um incidente e aprender com investigações anteriores para gerar ações de resposta adequadas.

Responder a incidentes no portal do Microsoft Defender muitas vezes requer familiaridade com as ações disponíveis do portal para parar os ataques. Além disso, novas pessoas que respondem a incidentes podem ter ideias diferentes sobre onde e como começar a responder a incidentes. A capacidade de resposta orientada do Copilot no Defender permite que as equipas de resposta a incidentes em todos os níveis apliquem ações de resposta com confiança e rapidez para resolver incidentes com facilidade.

As respostas orientadas estão disponíveis no portal do Microsoft Defender através da licença do Copilot para Security. As respostas orientadas também estão disponíveis na experiência autónoma do Copilot para Security através do plug-in do Defender XDR.

Este guia descreve como aceder à capacidade de resposta orientada, incluindo informações sobre como fornecer feedback sobre as respostas.

Aplicar respostas orientadas para resolver incidentes

As respostas orientadas recomendam ações nas seguintes categorias:

  • Triagem - inclui uma recomendação para classificar incidentes como informativos, verdadeiros positivos ou falsos positivos
  • Contenção - inclui ações recomendadas para conter um incidente
  • Investigação - inclui ações recomendadas para uma investigação adicional
  • Remediação – inclui ações de resposta recomendadas para aplicar a entidades específicas envolvidas num incidente

Cada cartão contém informações sobre a ação recomendada, incluindo a entidade onde a ação precisa ser aplicada e o motivo pelo qual a ação é recomendada. Os cartões também enfatizam quando uma ação recomendada foi realizada por uma investigação automatizada, como a interrupção de ataques ou a resposta automatizada a investigações.

Os cartões de resposta orientada podem ser ordenados com base no estado disponível para cada cartão. Pode selecionar um estado específico ao ver as respostas orientadas ao clicar em Estado e selecionar o estado adequado que pretende ver. Todos os cartões de resposta orientada, independentemente do estado, são apresentados por predefinição.

Captura de ecrã que mostra o estado das respostas no painel Copilot na página de incidentes do Microsoft Defender.

Para utilizar respostas orientadas, execute os seguintes passos:

  1. Abra uma página de incidente. O Copilot gera automaticamente respostas orientadas ao abrir uma página de incidente. O painel Copilot aparece no lado direito da página de incidente, a mostrar os cartões de resposta orientada.

    Captura de ecrã que mostra o painel Copilot com as respostas guiadas na página de incidentes do Microsoft Defender.

  2. Reveja cada cartão antes de aplicar as recomendações. Selecione a elipse Mais ações (...) na parte superior de um cartão de resposta para ver as opções disponíveis para cada recomendação. Eis alguns exemplos.

    Captura de ecrã que mostra as opções disponíveis para os utilizadores num cartão de resposta guiado no painel lateral copilot.

    Captura de ecrã que mostra as opções disponíveis para os utilizadores num cartão de resposta de automatização no painel Copilot no Microsoft Defender XDR.

  3. Para aplicar uma ação, selecione a ação desejada encontrada em cada cartão. A ação de resposta orientada em cada cartão é adaptada ao tipo de incidente e à entidade específica envolvida.

    Captura de ecrã que mostra os cartões de resposta guiados no painel Copilot no Microsoft Defender.

  4. Pode fornecer feedback a cada cartão de resposta para melhorar continuamente as respostas futuras do Copilot. Para fornecer feedback, selecione o ícone de feedback Captura de ecrã que mostra o ícone de feedback de Copilot nos cartões do Defender encontrados no canto inferior direito de cada cartão.

Nota

Os botões de ação a cinzento significam que estas ações estão limitadas pela sua permissão. Consulte a página de permissões unificadas de acesso baseado em funções (RBAC) para obter mais informações.

O Copilot no Defender suporta as equipas de resposta a incidentes ao permitir que os analistas obtenham mais contexto sobre as ações de resposta com informações adicionais. Para respostas de remediação, as equipas de resposta a incidentes podem ver informações adicionais com opções como Ver incidentes semelhantes ou Ver e-mails semelhantes.

A ação Ver incidentes semelhantes fica disponível quando existem outros incidentes na organização semelhantes ao incidente atual. O separador Incidentes semelhantes lista incidentes semelhantes que pode rever. O Microsoft Defender identifica automaticamente incidentes semelhantes na organização através da aprendizagem automática. As equipas de resposta a incidentes podem utilizar as informações destes incidentes semelhantes para classificar incidentes e rever ainda mais as ações realizadas nesses incidentes semelhantes.

A ação Ver e-mails semelhantes, que é específica para incidentes de phishing, leva-o para a página de investigação avançada, onde é gerada automaticamente uma consulta KQL para listar e-mails semelhantes dentro da organização. Esta geração automática de consultas relacionada com um incidente ajuda as equipas de resposta a incidentes a investigarem ainda mais outros e-mails que possam estar relacionados com o incidente. Pode rever a consulta e modificá-la conforme necessário.

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.