Security Copilot casos de uso para roles de seguridad y TI

Security Copilot permite a los usuarios realizar los siguientes casos de uso clave a medida que se aplican a los distintos roles o personas de un centro de operaciones de seguridad o equipo de TI.

Investigación y corrección de amenazas de seguridad

Obtenga contexto para los incidentes para evaluar rápidamente las alertas de seguridad complejas en resúmenes accionables y corregirlos más rápidamente con instrucciones de respuesta paso a paso.

• SOC : reciba instrucciones paso a paso que requieren acción para la respuesta a incidentes, incluidas las instrucciones para la evaluación de prioridades, la investigación, la contención y la corrección.
• Administradores de identidades : optimice la resolución de incidentes resumiendo rápidamente información crítica como roles de usuario, registros de inicio de sesión y factores de riesgo para ayudar a los analistas a comprender el ámbito y los detalles de posibles riesgos.
• CISO: obtenga información actualizada y resumida sobre amenazas de Microsoft y código abierto, proporcionando información contextual sobre las exposiciones pertinentes y los actores de amenazas, las herramientas y las técnicas.

Lea los siguientes recursos relacionados:

• Caso de uso: respuesta y corrección de incidentes
• Caso de uso: Evaluar los incidentes basados en el enriquecimiento a partir de la inteligencia sobre amenazas
• Promptbook de investigación de incidentes
• Triage e investigación de incidentes con respuestas guiadas de Microsoft Copilot en Microsoft Defender

Compilación de consultas de KQL o análisis de scripts sospechosos

Elimine la necesidad de escribir manualmente scripts de lenguaje de consulta o scripts de malware de ingeniería inversa con traducción de lenguaje natural para permitir que todos los miembros del equipo realicen tareas técnicas.

• Analistas de TI : cree consultas KQL para buscar amenazas en toda la organización de forma más rápida y sencilla.
• Administradores de seguridad de datos : simplifique la investigación de exhibición de documentos electrónicos mediante la traducción de consultas de lenguaje de consulta natural a palabra clave (KeyQL). Solicite en lenguaje natural que las iteraciones de búsqueda sean más rápidas y precisas. Fortalecer la experiencia del equipo y permitir una búsqueda de pruebas más asertiva.
• Administradores de TI : construya y ejecute consultas KQL para obtener los detalles del dispositivo de uno y varios dispositivos.
• Administradores de seguridad en la nube : corrija los problemas de infraestructura como código (IaC) mediante el envío de solicitudes de incorporación de cambios a los desarrolladores con instrucciones paso a paso de corrección y el código necesario de Copilot.

Lea los siguientes recursos relacionados:

• Cuaderno de mensajes de análisis de scripts sospechoso
• Caso de uso: Investigación de un incidente y entidades sospechosas asociadas
• Generación de consultas KQL con Security Copilot en Microsoft Defender

Descripción de los riesgos y administración de la posición de seguridad de la organización

Obtenga una imagen amplia de su entorno con riesgos prioritarios para descubrir oportunidades para mejorar la posición con mayor facilidad.

• Administradores de seguridad en la nube : comprenda los riesgos de varias nubes completos y reciba instrucciones paso a paso para la corrección de riesgos, incluidos los scripts generados por IA. Facilitar la corrección de riesgos entre equipos con capacidades de creación de solicitudes de incorporación de cambios y delegación.
• Administradores de TI : obtenga una vista completa de su entorno con riesgos prioritarios y resúmenes generados por IA para identificar la configuración superpuesta, evitar conflictos de directivas y minimizar las vulnerabilidades durante la creación o las actualizaciones de directivas.
• Administradores de seguridad de datos: evalúe y administre la posición de seguridad de los datos de la organización revisando y abordando los riesgos de seguridad de datos prioritarios con un panel de seguridad de datos centralizado para reducir el tiempo de investigación.
• Analistas de TI : obtenga información de amenazas resumidas relevante para un artefacto para contextualizar rápidamente un incidente y extraer técnicas, tácticas y procedimientos (TTP) de MITRE para comprender la actividad de amenazas asociada.

Lea los siguientes recursos relacionados:

• Comprobación del impacto de una guía de avisos de un artículo de amenazas externas
• Informe de Threat Intelligence 360 basado en un cuaderno de avisos de artículos de MDTI

Solución de problemas de TI más rápido

Sintetizar rápidamente información relevante y recibir información útil para identificar y resolver problemas de TI rápidamente.

• Administradores de TI : reduzca el tiempo medio de detección a respuesta de incidentes de TI mediante el análisis de códigos de error y el resumen del contexto del dispositivo.
• Administradores de identidades : simplifique la solución de problemas del registro de inicio de sesión mediante la automatización de la recopilación de datos y la correlación en resúmenes de información pertinente (por ejemplo, intentos de MFA fallidos y cambios en la directiva). Obtenga recomendaciones para resolver problemas de acceso de forma eficaz, como volver a registrar dispositivos o ajustar directivas.

Definición y administración de directivas de seguridad

Defina una nueva directiva, haga referencia cruzada a ella con otros usuarios para los conflictos y resuma las directivas existentes para administrar el contexto organizativo complejo de forma rápida y sencilla.

• Administradores de TI : reduzca el riesgo de interrupciones operativas y vulnerabilidades mediante el análisis de directivas en conflicto o mal configuradas y obtenga instrucciones para la configuración de directivas recomendada.
• Administradores de seguridad de datos : optimice el ajuste de directivas DLP y el planeamiento de directivas del panorama de datos para mejorar la cobertura y los controles.

Configuración de flujos de trabajo de ciclo de vida seguros

Cree grupos y establezca parámetros de acceso con instrucciones paso a paso para garantizar una configuración sin problemas para evitar vulnerabilidades de seguridad.

• Administradores de identidades : configure rápidamente flujos de trabajo basados en roles de usuario, grupos y parámetros de paquete de acceso, lo que proporciona instrucciones paso a paso para garantizar una configuración completa y precisa.

Desarrollo de informes para las partes interesadas

Obtenga un informe claro y conciso que resuma el contexto y el entorno, los problemas abiertos y las medidas de protección preparados para el tono y el idioma de la audiencia del informe.

• SOC : resumen de las investigaciones en Copilot en informes de lenguaje natural exportables para simplificar la comunicación con las partes interesadas de seguridad.
• CISO : obtenga un informe claro y conciso que cubra las amenazas, los actores de amenazas, el trabajo de los analistas y las medidas de protección, adaptadas para el consejo de administración en sus idiomas nativos.

Lea los siguientes recursos relacionados:

• Comprobación del impacto de una guía de avisos de un artículo de amenazas externas
• Promptbook de investigación de incidentes
• Informe de Threat Intelligence 360 basado en un cuaderno de avisos de artículos de MDTI
• Resumir un incidente con Microsoft Copilot en Microsoft Defender