Descripción de la integración de Copilot con Microsoft Defender XDR

  • 12 minutos

Microsoft Defender XDR se integra con Microsoft Security Copilot. La integración con Security Copilot se puede experimentar mediante las experiencias independientes e insertadas.

Experiencia independiente

Para las empresas que se han incorporado a Microsoft Security Copilot, la integración se habilita mediante complementos a los que se accede desde el portal de Copilot (la experiencia independiente). Hay dos complementos independientes que admiten la integración con Microsoft Defender XDR:

  • Microsoft Defender XDR
  • Lenguaje natural a KQL para XDR de Microsoft Defender

Captura de pantalla del complemento Microsoft Defender XDR y del lenguaje natural a KQL para el complemento Microsoft Defender XDR, en Microsoft Security Copilot.

Complemento Microsoft Defender XDR

El complemento Microsoft Defender XDR incluye funcionalidades que permiten a los usuarios:

  • Análisis de archivos
  • Generar un informe de incidentes
  • Generar una respuesta guiada
  • Enumerar incidentes y alertas relacionadas
  • Resumir el estado de seguridad del dispositivo
  • más...

Las funcionalidades de Microsoft Defender XDR en Copilot son indicaciones integradas que puede usar, pero también puede escribir sus propias indicaciones en función de las funcionalidades admitidas.

Copilot también incluye un libro de mensajes integrado para la investigación de incidentes de Microsoft Defender XDR que puede usar para obtener un informe sobre un incidente específico, con alertas relacionadas, puntuaciones de reputación, usuarios y dispositivos.

Complemento Lenguaje natural a KQL para Microsoft Defender

El complemento Lenguaje natural a KQL para Microsoft Defender habilita la funcionalidad de asistente de consultas que convierte cualquier pregunta en lenguaje natural en el contexto de la búsqueda de amenazas, en una consulta de Lenguaje de consulta Kusto (KQL) lista para ejecutarse. El asistente de consultas ahorra tiempo a los equipos de seguridad al generar una consulta KQL que puede ejecutarse automáticamente o ajustarse en función de las necesidades del analista.

La experiencia insertada

Con el complemento habilitado, la integración de Copilot con Defender XDR también se puede experimentar mediante la experiencia insertada, que se denomina Copilot en Microsoft Defender XDR.

Copilot en Microsoft Defender XDR permite que los equipos de seguridad investiguen y respondan a incidentes de forma rápida y eficaz, desde el portal de Microsoft Defender XDR. Copilot en Microsoft Defender XDR admite las siguientes características.

  • Resumen de incidentes
  • Respuestas guiadas
  • Análisis de scripts
  • Lenguaje natural para consultas KQL
  • Informes de incidentes
  • Análisis de archivos
  • Resúmenes de dispositivos e identidades

Los usuarios pueden moverse fácilmente desde la experiencia insertada a la experiencia independiente.

Resumen de incidentes

Para comprender inmediatamente un incidente, puede usar Copilot en Microsoft Defender XDR para que resuma un incidente automáticamente. Copilot crea una visión general del ataque con información esencial para que comprenda lo que ha ocurrido en el ataque, qué recursos están implicados, la escala de tiempo del ataque y mucho más. Copilot crea automáticamente un resumen al navegar a la página de un incidente. Los incidentes que contengan hasta 100 alertas pueden resumirse en un resumen de incidente.

Recorte de pantalla de la experiencia insertada de Copilot para seguridad en Microsoft Defender XDR, en la que se muestra un resumen de incidentes.

Respuestas guiadas

Copilot en Microsoft Defender XDR usa la inteligencia artificial y funcionalidades de aprendizaje automático para contextualizar un incidente y aprender de investigaciones anteriores para generar acciones de respuesta adecuadas, que se muestran como respuestas guiadas. La funcionalidad de respuesta guiada de Copilot permite a los equipos de respuesta a incidentes en todos los niveles aplicar de forma segura y rápida acciones de respuesta para resolver incidentes con facilidad.

Las respuestas guiadas recomiendan acciones en las siguientes categorías:

  • Clasificación: incluye una recomendación para clasificar los incidentes como informativos, verdaderos positivos o falsos positivos
  • Contención: incluye acciones recomendadas para contener un incidente
  • Investigación: incluye acciones recomendadas para una investigación más detallada
  • Corrección: incluye acciones de respuesta recomendadas que se aplican a entidades específicas implicadas en un incidente

Cada tarjeta contiene información sobre la acción recomendada, incluido el motivo por el que se recomienda la acción, incidentes similares, etc. Por ejemplo, la acción Ver incidentes similares está disponible cuando hay otros incidentes dentro de la organización que son similares al incidente actual. Los equipos de respuesta a incidentes también pueden ver información del usuario para las acciones de corrección, como el restablecimiento de contraseñas.

Recorte de pantalla en el que se muestra la información incluida en una respuesta guiada.

No todos los incidentes o alertas proporcionan respuestas guiadas. Las respuestas guiadas están disponibles para tipos de incidentes, como phishing, riesgo de correo electrónico empresarial y ransomware.

Análisis de scripts y códigos

La funcionalidad de análisis de scripts de Copilot en Microsoft Defender XDR proporciona una capacidad adicional a los equipos de seguridad para inspeccionar scripts y código sin usar herramientas externas. Esta funcionalidad también reduce la complejidad del análisis, minimizando los desafíos y permitiendo a los equipos de seguridad evaluar e identificar rápidamente un script como malintencionado o benigno.

Hay varias maneras de acceder a la funcionalidad de análisis de scripts. En la imagen siguiente se muestra el árbol de procesos de una alerta que incluye la ejecución de un script de PowerShell. Al seleccionar el botón Analizar, se genera el análisis de scripts de Copilot.

Recorte de pantalla en el que se muestra la opción para analizar un script de PowerShell.

Generación de consultas KQL

Copilot en Microsoft Defender XDR incluye una funcionalidad de asistente de consultas en la búsqueda avanzada.

Para acceder al asistente de consulta de lenguaje natural a KQL, los usuarios con acceso a Copilot seleccionan la búsqueda avanzada en el panel de navegación de la izquierda del portal de Defender XDR.

Copilot proporciona avisos que puede usar para iniciar la búsqueda de amenazas con Copilot, o bien puede escribir una pregunta propia en lenguaje natural, en la barra de mensajes, para generar una consulta KQL. Por ejemplo, "Dame todos los dispositivos que han iniciado sesión en los últimos 10 minutos". Después, Copilot genera una consulta KQL correspondiente a la solicitud mediante el esquema de datos de búsqueda avanzada.

Después, el usuario puede elegir ejecutar la consulta seleccionando Agregar y ejecutar. A continuación, la consulta generada aparece como la última consulta en el editor de consultas. Para realizar más ajustes, seleccione Agregar al editor.

Crear informes de incidentes

Un informe completo y claro de incidentes es una referencia esencial para los equipos de seguridad y la administración de operaciones de seguridad. Sin embargo, escribir un informe completo con los detalles importantes presentes puede ser una tarea que lleve mucho tiempo a los equipos de operaciones de seguridad, ya que implica recopilar, organizar y resumir información de incidentes de varios orígenes. Los equipos de seguridad ahora pueden crear instantáneamente un amplio informe de incidentes en el portal.

Aunque un resumen de incidentes proporciona información general sobre un incidente y cómo se ha producido, un informe de incidentes consolida la información de incidentes de varios orígenes de datos disponibles en Microsoft Sentinel y XDR de Microsoft Defender. El informe de incidentes también incluye todos los pasos controlados por analistas y acciones automatizadas, los analistas implicados en la respuesta, los comentarios de los analistas y mucho más.

Para crear un informe de incidentes, el usuario selecciona Generar informe de incidentes en la esquina superior derecha de la página del incidente o el icono del panel de Copilot. Una vez que se ha generado el informe, al seleccionar los puntos suspensivos en la tarjeta de informe de incidentes se muestra al usuario la opción de copiar el informe en el Portapapeles, publicarlo en un registro de actividad, volver a generar el informe u optar por abrirlo en la experiencia independiente de Copilot.

Análisis de archivos

Los ataques sofisticados suelen usar archivos que imitan archivos legítimos o del sistema para evitar la detección. Copilot en Microsoft Defender XDR permite a los equipos de seguridad identificar rápidamente archivos malintencionados y sospechosos a través de funcionalidades de análisis de archivos con tecnología de IA.

Existen muchas formas de acceder a la página de perfil detallada de un archivo específico. En este ejemplo, navegará a los archivos a través del gráfico de incidentes de un incidente con archivos afectados. En el gráfico de incidentes, se muestra el ámbito completo del ataque, cómo se propaga el ataque a través de la red a lo largo del tiempo, dónde se inició y hasta qué punto fue el atacante.

En el gráfico de incidentes, al seleccionar archivos se muestra la opción para ver los archivos. Al seleccionar ver archivos, se abre un panel en el lado derecho de la pantalla en la que se enumeran los archivos afectados. Al seleccionar cualquier archivo, se muestra información general sobre los detalles del archivo y la opción para analizar el archivo. Al seleccionar Analizar, se abre el análisis de archivos de Copilot.

Resumen de dispositivos e identidades

La funcionalidad de resumen de dispositivos de Copilot en Defender permite a los equipos de seguridad obtener la posición de seguridad de un dispositivo, la información de software vulnerable y cualquier comportamiento inusual. Los analistas de seguridad pueden usar el resumen de un dispositivo para acelerar su investigación de incidentes y alertas.

Hay muchas maneras de acceder a un resumen del dispositivo. En este ejemplo, navegarás al resumen del dispositivo a través de la página de recursos de incidentes. Al seleccionar la pestaña de recursos de un incidente, se muestran todos los recursos. En el panel de navegación izquierdo, selecciona Dispositivos y, a continuación, selecciona un nombre de dispositivo específico. En la página de información general que se abre a la derecha, se ve la opción para seleccionar Copilot.

Del mismo modo, Copilot en Microsoft Defender XDR puede resumir las identidades.

Pasar a la experiencia independiente

Como analista que usa Microsoft Defender XDR, es probable que pase una buena cantidad de tiempo en Defender XDR, por lo que la experiencia integrada es un excelente lugar para iniciar una investigación de seguridad. En función de lo que averigüe, puede determinar que se necesita una investigación más profunda. En este caso, puede pasar fácilmente a la experiencia independiente para realizar una investigación más detallada de todos los productos que aproveche todas las funcionalidades de Copilot habilitadas para su rol.

Para el contenido generado a través de la experiencia integrada, puede realizar fácilmente la transición a la experiencia independiente. Para pasar a la experiencia independiente, seleccione los puntos suspensivos dentro de la ventana de contenido generado y elija Abrir en Security Copilot.

Recorte de pantalla en el que se muestra la opción de abrir en Copilot para seguridad, que está disponible al seleccionar los puntos suspensivos en la ventana de contenido generado por IA.