Resumir la información de identidad con Microsoft Copilot en Microsoft Defender

• Se aplica a:

  Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Los equipos de operaciones de seguridad que investigan a los usuarios pueden comprender fácilmente la información de identidad con la funcionalidad de resumen de identidad en Microsoft Security Copilot en Microsoft Defender. A través de la inteligencia artificial generativa y aprovechando el poder de Microsoft Defender for Identity, Copilot crea información contextual sobre una identidad en una organización, lo que ayuda a los analistas a comprender rápidamente los datos importantes para acelerar su investigación.

Con la funcionalidad de resumen de identidad, los analistas pueden identificar inmediatamente cambios y acciones sospechosos o de riesgo relacionados con la identidad que pueden afectar negativamente a una organización. El resumen también incluye posibles configuraciones incorrectas que afectan a una identidad. Con el lenguaje natural, Copilot proporciona información de usuario clara y accionable que los analistas pueden usar en sus actividades de investigación de incidentes. La funcionalidad se centra actualmente en los usuarios y incluirá las cuentas de servicio en su siguiente iteración.

En esta guía se describe cuál es la funcionalidad de resumen de identidades y cómo funciona, incluido cómo puede proporcionar comentarios sobre los resultados generados.

Saber antes de empezar

Si no está familiarizado con Security Copilot, debe familiarizarse con él leyendo los artículos siguientes:

• ¿Qué es Security Copilot?
• experiencias de Security Copilot
• Introducción a Seguridad de Copilot
• Descripción de la autenticación en Security Copilot
• Preguntar en Security Copilot

Con la funcionalidad de resumen de identidad, los analistas pueden identificar inmediatamente cambios y acciones sospechosos o de riesgo relacionados con la identidad que pueden afectar negativamente a una organización. El resumen también incluye posibles configuraciones incorrectas que afectan a una identidad. Con el lenguaje natural, Copilot proporciona información de usuario clara y accionable que los analistas pueden usar en sus actividades de investigación de incidentes. La funcionalidad se centra actualmente en los usuarios y incluirá las cuentas de servicio en su siguiente iteración.

integración Security Copilot en Microsoft Defender

La funcionalidad de resumen de identidad está disponible en el portal de Microsoft Defender para los clientes que han aprovisionado el acceso a Security Copilot.

Los usuarios que acceden a la Security Copilot portal independiente pueden usar esta funcionalidad a través del complemento Microsoft Defender XDR. Más información sobre los complementos preinstalados en Security Copilot.

Características principales

El resumen de identidad contiene información esencial sobre una identidad, como:

• La fecha en que se crea una cuenta de usuario y si la cuenta de usuario es de importancia alta, media o baja.
• Cualquier patrón de comportamiento inusual relacionado con las ubicaciones de inicio de sesión, la frecuencia de inicio de sesión o la frecuencia de los intentos de inicio de sesión erróneos
• El rol actual de un usuario, incluido su departamento y posición, y si hay cambios de rol notables en comparación con el puesto de trabajo y el departamento del usuario para resaltar incoherencias
• Datos sobre el último inicio de sesión de un usuario en un dispositivo, independientemente de si el dispositivo está asociado al usuario, en los últimos 30 días
• Métodos de autenticación y aplicaciones usadas
• Riesgos asociados a un usuario en función de Microsoft Entra ID
• Información general como el título profesional de un usuario y la información de contacto, el departamento y la información de contacto de su administrador

Puede acceder a la funcionalidad de resumen de identidad de las siguientes maneras:

• En una página de incidente, elija una identidad en el gráfico de incidentes y, a continuación, (1) seleccione Detalles del usuario. En el panel de detalles del usuario, (2) seleccione Resumir. Los resultados se muestran en el panel lateral de Copilot.

  

• Como alternativa, puede seleccionar Ir a la página de usuario en la parte inferior del panel de detalles del usuario para abrir la página de usuario. Copilot genera automáticamente el resumen de identidad y muestra el panel lateral al abrir la página del usuario.

• También puede acceder a la funcionalidad de resumen de identidad si elige un usuario en la pestaña Activos de un incidente. Seleccione Resumir en el panel de detalles del usuario para generar el resumen de identidad.

  

• En una página de alertas, seleccione un usuario y, a continuación, seleccione Resumir en el panel de detalles del usuario para generar el resumen de identidad.

• En la página búsqueda avanzada, puede acceder a la funcionalidad de resumen de identidad seleccionando un usuario en la tabla de resultados y, a continuación, seleccionando el vínculo a la página de usuario. Copilot genera automáticamente el resumen de identidad y muestra el panel lateral al abrir la página del usuario.

• En el menú principal, vaya a Identidades de recursos>. Seleccione un nombre de usuario de la lista y, a continuación, seleccione Ver página de usuario para abrir la página de usuario. Copilot genera automáticamente el resumen de identidad y muestra el panel lateral al abrir la página del usuario.

  

• Escriba un nombre de usuario en el cuadro de búsqueda del portal de Microsoft Defender y, a continuación, seleccione el nombre de usuario en los resultados de la búsqueda. En el panel lateral de detalles del usuario, seleccione Resumir para generar el resumen de identidad.

Revise los resultados del resumen de identidad. Puede copiar los resultados en el Portapapeles, regenerar los resultados o abrir Security Copilot seleccionando los puntos suspensivos Más acciones (...) encima de la tarjeta de resumen de identidad. Puede ampliar la investigación de la identidad mediante mensajes y otros complementos en el portal de Security Copilot.

Solicitud de resumen de identidad de ejemplo

En el Security Copilot portal independiente, puede usar el siguiente mensaje para generar un resumen de identidad:

• Muestra el resumen de Defender de este usuario en el último {período de tiempo}.

Sugerencia

Al investigar usuarios en el portal de Security Copilot, Microsoft recomienda incluir la palabra Defender en los mensajes para asegurarse de que la funcionalidad de resumen de identidad entrega los resultados. Puede especificar hasta 120 días en el período de tiempo de la investigación, siendo el valor predeterminado 30 días cuando no se indica uno.

Enviar comentarios

Microsoft le anima encarecidamente a proporcionar comentarios a Copilot, ya que es fundamental para la mejora continua de una funcionalidad. Para proporcionar comentarios, vaya a la parte inferior del panel lateral de Copilot y seleccione el icono de comentarios .

Rellene el cuadro de texto dedicado para compartir sus pensamientos, experiencias y solicitudes. Microsoft valora sus comentarios y lo toma en serio en nuestro compromiso de mejorar el rendimiento y la experiencia del usuario de Copilot.

Recursos adicionales

• Obtener más información acerca de otras experiencias insertadas de Seguridad de Copilot
• Privacidad y seguridad de los datos en Security Copilot

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.