Triagem e investigação de incidentes com respostas orientadas do Microsoft Copilot no Microsoft Defender
O Microsoft Copilot para Security no portal do Microsoft Defender suporta as equipas de resposta a incidentes na resolução imediata de incidentes com respostas orientadas. O Copilot no Defender utiliza funcionalidades de IA e aprendizagem automática para contextualizar um incidente e aprender com investigações anteriores para gerar ações de resposta adequadas.
Responder a incidentes no portal do Microsoft Defender muitas vezes requer familiaridade com as ações disponíveis do portal para parar os ataques. Além disso, novas pessoas que respondem a incidentes podem ter ideias diferentes sobre onde e como começar a responder a incidentes. A capacidade de resposta orientada do Copilot no Defender permite que as equipas de resposta a incidentes em todos os níveis apliquem ações de resposta com confiança e rapidez para resolver incidentes com facilidade.
As respostas orientadas estão disponíveis no portal do Microsoft Defender através da licença do Copilot para Security. As respostas orientadas também estão disponíveis na experiência autónoma do Copilot para Security através do plug-in do Defender XDR.
Este guia descreve como aceder à capacidade de resposta orientada, incluindo informações sobre como fornecer feedback sobre as respostas.
Aplicar respostas orientadas para resolver incidentes
As respostas orientadas recomendam ações nas seguintes categorias:
- Triagem - inclui uma recomendação para classificar incidentes como informativos, verdadeiros positivos ou falsos positivos
- Contenção - inclui ações recomendadas para conter um incidente
- Investigação - inclui ações recomendadas para uma investigação adicional
- Remediação – inclui ações de resposta recomendadas para aplicar a entidades específicas envolvidas num incidente
Cada cartão contém informações sobre a ação recomendada, incluindo a entidade onde a ação precisa ser aplicada e o motivo pelo qual a ação é recomendada. Os cartões também enfatizam quando uma ação recomendada foi realizada por uma investigação automatizada, como a interrupção de ataques ou a resposta automatizada a investigações.
Os cartões de resposta orientada podem ser ordenados com base no estado disponível para cada cartão. Pode selecionar um estado específico ao ver as respostas orientadas ao clicar em Estado e selecionar o estado adequado que pretende ver. Todos os cartões de resposta orientada, independentemente do estado, são apresentados por predefinição.
Para utilizar respostas orientadas, execute os seguintes passos:
Abra uma página de incidente. O Copilot gera automaticamente respostas orientadas ao abrir uma página de incidente. O painel Copilot aparece no lado direito da página de incidente, a mostrar os cartões de resposta orientada.
Reveja cada cartão antes de aplicar as recomendações. Selecione a elipse Mais ações (...) na parte superior de um cartão de resposta para ver as opções disponíveis para cada recomendação. Eis alguns exemplos.
Para aplicar uma ação, selecione a ação desejada encontrada em cada cartão. A ação de resposta orientada em cada cartão é adaptada ao tipo de incidente e à entidade específica envolvida.
Pode fornecer feedback a cada cartão de resposta para melhorar continuamente as respostas futuras do Copilot. Para fornecer feedback, selecione o ícone de feedback encontrados no canto inferior direito de cada cartão.
Nota
Os botões de ação a cinzento significam que estas ações estão limitadas pela sua permissão. Consulte a página de permissões unificadas de acesso baseado em funções (RBAC) para obter mais informações.
O Copilot ajuda a acelerar as tarefas de investigação dos analistas. Quando um incidente requer uma investigação mais aprofundada sobre uma atividade de utilizador, a Copilot sugere texto que os analistas podem utilizar para comunicar com um utilizador. O cartão de resposta guiada inclui uma ação Contactar utilizador no Teams ou Copiar para a área de transferência que copia o texto sugerido para a área de transferência. Em seguida, os analistas podem colar o texto num e-mail ou noutra ferramenta de comunicação. O analista também pode obter mais contexto sobre o utilizador através da ação Ver utilizador .
O Copilot também suporta equipas de resposta a incidentes ao permitir que os analistas obtenham mais contexto sobre as ações de resposta com informações adicionais. Para respostas de remediação, as equipas de resposta a incidentes podem ver informações adicionais com opções como Ver incidentes semelhantes ou Ver e-mails semelhantes.
A ação Ver incidentes semelhantes fica disponível quando existem outros incidentes na organização semelhantes ao incidente atual. O separador Incidentes semelhantes lista incidentes semelhantes que pode rever. O Microsoft Defender identifica automaticamente incidentes semelhantes na organização através da aprendizagem automática. As equipas de resposta a incidentes podem utilizar as informações destes incidentes semelhantes para classificar incidentes e rever ainda mais as ações realizadas nesses incidentes semelhantes.
A ação Ver e-mails semelhantes, que é específica para incidentes de phishing, leva-o para a página de investigação avançada, onde é gerada automaticamente uma consulta KQL para listar e-mails semelhantes dentro da organização. Esta geração automática de consultas relacionada com um incidente ajuda as equipas de resposta a incidentes a investigarem ainda mais outros e-mails que possam estar relacionados com o incidente. Pode rever a consulta e modificá-la conforme necessário.
Consulte também
- Resumir um incidente
- Analisar ficheiros
- Executar uma análise de script
- Criar um relatório de incidente
- Gerar consultas KQL
- Começar a utilizar o Microsoft Copilot para Security
- Saiba mais sobre outras experiências incorporadas do Copilot para Security
- Saiba mais sobre plug-ins pré-instalados no Copilot para Security
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.