Security Copilot cas d’usage pour les rôles informatiques et de sécurité

Security Copilot permet aux utilisateurs d’accomplir les cas d’usage clés suivants à mesure qu’ils s’appliquent aux différents personnages ou rôles d’un centre des opérations de sécurité ou d’une équipe informatique.

Examiner et corriger les menaces de sécurité

Obtenez du contexte pour les incidents afin de trier rapidement les alertes de sécurité complexes en résumés actionnables et de corriger plus rapidement avec des instructions de réponse pas à pas.

• SOC : recevez des instructions pas à pas exploitables pour la réponse aux incidents, notamment des instructions pour le triage, l’investigation, l’endiguement et la correction.
• Administrateurs d’identité : simplifiez la résolution des incidents en résumant rapidement les informations critiques telles que les rôles d’utilisateur, les journaux de signature et les facteurs de risque pour aider les analystes à comprendre l’étendue et les spécificités des compromissions potentielles.
• CISO : obtenez des informations sur les menaces actualisées et résumées auprès de Microsoft et open source, en fournissant des insights contextuels sur les expositions et les acteurs des menaces, les outils et les techniques pertinents.

Lisez les ressources associées suivantes :

• Cas d’usage : Réponse et correction aux incidents
• Cas d’usage : triage des incidents en fonction de l’enrichissement à partir du renseignement sur les menaces
• Promptbook d’investigation des incidents
• Trier et examiner les incidents avec des réponses guidées de Microsoft Copilot dans Microsoft Defender

Générer des requêtes KQL ou analyser des scripts suspects

Éliminez la nécessité d’écrire manuellement des scripts de langage de requête ou des scripts de logiciels malveillants d’ingénierie inverse avec la traduction en langage naturel pour permettre à chaque membre de l’équipe d’effectuer des tâches techniques.

• Analystes TI : créez des requêtes KQL pour chasser les menaces dans votre organization plus rapidement et plus facilement.
• Administrateurs de la sécurité des données : simplifiez l’investigation eDiscovery en traduisant les requêtes du langage de requête naturel au langage de requête mot clé (KeyQL). Invite en langage naturel pour rendre vos itérations de recherche plus rapides et plus précises. Renforcer l’expertise de l’équipe et permettre une recherche de preuves plus assertive.
• Administrateurs informatiques : construisez et exécutez des requêtes KQL pour obtenir les détails des appareils à partir d’un ou plusieurs appareils.
• Administrateurs de la sécurité cloud : corrigez les problèmes liés à l’infrastructure en tant que code (IaC) en envoyant des demandes de tirage aux développeurs avec des conseils de correction pas à pas et le code nécessaire de Copilot.

Lisez les ressources associées suivantes :

• Promptbook d’analyse de script suspecte
• Cas d’usage : Examiner un incident et les entités suspectes associées
• Générer des requêtes KQL avec Security Copilot dans Microsoft Defender

Comprendre les risques et gérer la posture de sécurité du organization

Obtenez une vue d’ensemble de votre environnement avec des risques hiérarchisés pour découvrir les opportunités d’améliorer la posture plus facilement.

• Administrateurs de sécurité cloud : comprenez vos risques multiclouds complets et recevez des instructions pas à pas exploitables pour la correction des risques, y compris les scripts générés par l’IA. Facilitez la correction des risques entre les équipes avec des fonctionnalités de délégation et de création de demandes de tirage.
• Administrateurs informatiques : obtenez une vue complète de votre environnement avec des risques hiérarchisés et des résumés générés par l’IA pour identifier les paramètres qui se chevauchent, éviter les conflits de stratégie et réduire les vulnérabilités lors de la création ou des mises à jour de stratégie.
• Administrateurs de la sécurité des données : évaluez et gérez la posture de sécurité des données des organization en examinant et en abordant les risques de sécurité des données prioritaires avec un tableau de bord de sécurité des données centralisé pour réduire le temps d’investigation.
• Analystes TI : obtenez une synthèse des informations sur les menaces pertinentes pour un artefact afin de contextualiser rapidement un incident et d’extraire les techniques, tactiques et procédures MITRE (TTPs) pour comprendre l’activité des menaces associée.

Lisez les ressources associées suivantes :

• Vérifier l’impact d’un promptbook d’article sur les menaces externes
• Rapport Threat Intelligence 360 basé sur un promptbook d’article MDTI

Résoudre les problèmes informatiques plus rapidement

Synthétisez rapidement les informations pertinentes et recevez des informations exploitables pour identifier et résoudre rapidement les problèmes informatiques.

• Administrateurs informatiques : réduisez le temps moyen entre la découverte et la réponse aux incidents informatiques en analysant les codes d’erreur et en résumant le contexte de l’appareil.
• Administrateurs d’identité : simplifiez la résolution des problèmes de journal de connexion en automatisant la collecte et la corrélation des données en résumés des informations pertinentes (par exemple, échec des tentatives d’authentification multifacteur et des modifications de stratégie). Obtenez des recommandations pour résoudre efficacement les problèmes d’accès, tels que la réinscription des appareils ou l’ajustement des stratégies.

Définir et gérer des stratégies de sécurité

Définissez une nouvelle stratégie, faites-la référence à d’autres pour les conflits et résumez les stratégies existantes pour gérer rapidement et facilement le contexte organisationnel complexe.

• Administrateurs informatiques : réduisez le risque d’interruptions et de vulnérabilités opérationnelles en analysant les stratégies en conflit ou mal configurées et obtenez des conseils pour les paramètres de stratégie recommandés.
• Administrateurs de la sécurité des données : simplifiez le paramétrage des stratégies DLP et la planification des stratégies du paysage des données pour améliorer la couverture et les contrôles.

Configurer des workflows de cycle de vie sécurisés

Créez des groupes et définissez des paramètres d’accès avec des instructions pas à pas pour garantir une configuration transparente afin d’éviter les vulnérabilités de sécurité.

• Administrateurs d’identité : configurez rapidement des flux de travail en fonction des rôles d’utilisateur, des groupes et des paramètres de package d’accès, en fournissant des instructions pas à pas pour garantir une configuration complète et précise.

Développer des rapports pour les parties prenantes

Obtenez un rapport clair et concis qui résume le contexte et l’environnement, les questions ouvertes et les mesures de protection préparés pour le ton et le langage du public du rapport.

• SOC - Résumer les enquêtes dans Copilot en rapports exportables en langage naturel pour simplifier la communication avec les parties prenantes de la sécurité.
• RSSI - Obtenez un rapport clair et concis qui couvre les menaces, les acteurs des menaces, le travail des analystes et les mesures de protection, adaptés au conseil d’administration dans leur langue maternelle.

Lisez les ressources associées suivantes :

• Vérifier l’impact d’un promptbook d’article sur les menaces externes
• Promptbook d’investigation des incidents
• Rapport Threat Intelligence 360 basé sur un promptbook d’article MDTI
• Résumer un incident avec Microsoft Copilot dans Microsoft Defender