Microsoft Copilot dans Microsoft Defender
Notes
Microsoft Defender XDR offre une expérience XDR unifiée pour Microsoft Defender pour point de terminaison, Microsoft Defender pour Identity, Microsoft Defender pour Office 365, Microsoft Defender for Cloud Apps et Microsoft Defender pour la gestion des vulnérabilités. Pour en savoir plus sur cette suite de défense pré-violation et post-violation, consultez Qu’est-ce que Microsoft Defender XDR ?
Cet article fournit une vue d’ensemble pour les utilisateurs de Microsoft Copilot dans Microsoft Defender, y compris les étapes d’accès, les fonctionnalités clés et les liens vers les détails de ces fonctionnalités.
Bon à savoir avant de commencer
Si vous débutez avec Security Copilot, vous devez vous y familiariser en lisant les articles suivants :
- Qu’est-ce que Security Copilot ?
- Security Copilot expériences
- Bien démarrer avec Sécurité Copilot
- Comprendre l’authentification dans Security Copilot
- Invite dans Security Copilot
intégration Microsoft Copilot dans Microsoft Defender
Microsoft Security Copilot réunit la puissance de l’IA et de l’expertise humaine pour aider les équipes de sécurité à répondre aux attaques plus rapidement et plus efficacement. Security Copilot est incorporé dans le portail Microsoft Defender pour aider à fournir aux équipes de sécurité des capacités améliorées pour enquêter sur les incidents et y répondre, rechercher les menaces et protéger leurs organization avec des informations pertinentes sur les menaces. Copilot dans Defender est disponible pour les utilisateurs qui ont un accès provisionné à Security Copilot.
Principales fonctionnalités
Examiner et répondre aux incidents comme un expert
Permettre aux équipes de sécurité de s’attaquer aux enquêtes sur les attaques en temps voulu avec facilité et précision. Copilot permet aux équipes de comprendre immédiatement les attaques, d’analyser rapidement les fichiers et les scripts suspects, et d’évaluer et d’appliquer rapidement les atténuations appropriées pour arrêter et contenir des attaques.
Résumer rapidement les incidents
L’examen des incidents avec plusieurs alertes peut être une tâche ardue. Pour comprendre immédiatement un incident, vous pouvez appuyer sur Copilot pour résumer un incident pour vous. Copilot crée une vue d’ensemble de l’attaque. La vue d’ensemble contient des informations essentielles pour vous permettre de comprendre ce qui s’est passé dans l’attaque, les ressources impliquées et les chronologie de l’attaque. Copilot crée automatiquement un résumé lorsque vous accédez à la page d’un incident.
Prendre des mesures sur les incidents par le biais de réponses guidées
La résolution des incidents nécessite que les analystes comprennent une attaque pour savoir quelles solutions sont appropriées. Copilot recommande des solutions via réponses guidées spécifiques à chaque incident.
Exécutez facilement l’analyse des scripts
La plupart des attaquants s’appuient sur des logiciels malveillants sophistiqués lors du lancement d’attaques pour éviter la détection et l’analyse. Ces programmes malveillants sont généralement masqués et peuvent se trouver sous la forme de scripts ou de lignes de commande dans PowerShell. Copilot peut rapidement analyser les scripts, ce qui réduit le temps d’investigation.
Générer des résumés d'appareils
L’examen des appareils impliqués dans les incidents peut être un travail de tâche. Pour évaluer rapidement un appareil, Copilot peut résumer les informations d’un appareil, notamment la posture de sécurité de l’appareil, tous les comportements inhabituels, une liste de logiciels vulnérables et des informations Microsoft Intune pertinentes.
Analyser les fichiers rapidement
Copilot aide les équipes de sécurité à évaluer et à comprendre rapidement les fichiers suspects grâce à l'analyse des fichiers. Copilot fournit le résumé d’un fichier, notamment des informations de détection, des certificats de fichier associés, une liste d’appels d’API et des chaînes trouvées dans le fichier.
Examiner immédiatement les identités
Évaluez rapidement le risque d’un utilisateur en générant un résumé d’identité avec Copilot. Identifiez quand une identité est à risque ou suspecte à l’aide d’informations contextuelles sur les changements de rôle et de rôle d’un utilisateur, les comportements de connexion, les appareils connectés et les informations de contact pertinentes.
Écrire des rapports d’incident efficacement
Les équipes des opérations de sécurité écrivent généralement des rapports pour enregistrer des informations importantes, notamment les actions de réponse prises et les résultats correspondants, les membres de l’équipe impliqués et d’autres informations pour faciliter les décisions et l’apprentissage futurs en matière de sécurité. Souvent, la documentation des incidents peut prendre beaucoup de temps. Pour qu’un rapport d’incident soit efficace, il doit contenir le résumé d’un incident, ainsi que les actions entreprises, y compris les actions qui ont été prises par qui et quand. Copilot génère un rapport d’incident en consolidant rapidement ces informations.
Chassez comme un professionnel
Copilot dans Defender aide les équipes de sécurité à rechercher de manière proactive les menaces dans leur réseau en créant rapidement des requêtes KQL appropriées.
Générer des requêtes KQL à partir d’une entrée en langage naturel
Les équipes de sécurité qui utilisent la chasse avancée pour rechercher de manière proactive les menaces dans leur réseau peuvent désormais utiliser une assistant de requête qui convertit toute question en langage naturel, dans le contexte de la chasse aux menaces, en une requête KQL prête à être exécutée. La requête assistant permet aux équipes de sécurité de gagner du temps en générant une requête KQL qui peut ensuite être exécutée automatiquement ou modifiée en fonction des besoins de l’analyste. En savoir plus sur la assistant de requête dans Securité Copilot dans la chasse avancée.
Protégez votre organisation avec des renseignements pertinents sur les menaces
Donnez à votre organisation de sécurité les moyens de prendre des décisions éclairées avec les dernières informations sur les menaces. Copilot consolide et résume les renseignements sur les menaces pour aider les équipes de sécurité à hiérarchiser et à répondre efficacement aux menaces.
Surveiller les renseignements sur les menaces
Demandez à Copilot de résumer les menaces pertinentes qui affectent votre environnement, de hiérarchiser la résolution des menaces en fonction de vos niveaux d’exposition ou de trouver des acteurs de menace susceptibles de cibler votre secteur d’activité. En savoir plus sur Security Copilot dans le renseignement sur les menaces.
Accéder à Copilot dans Defender
Pour vous assurer que vous avez accès à Copilot dans Defender, consultez les informations Security Copilot d’achat et de licence. Une fois que vous avez accès à Security Copilot, les fonctionnalités clés sont disponibles dans le portail Microsoft Defender.
Exemples d’invites dans Copilot
Dans le portail Microsoft Defender, vous trouverez des exemples d’invites pour vous aider à naviguer et à utiliser certaines fonctionnalités de Copilot. Les invites sont conçues pour vous aider à comprendre ces fonctionnalités et à les utiliser efficacement. Voici quelques exemples d’invites que vous pouvez voir dans le portail :
Invites de repérage avancées :
Informations sur les menaces :
Vous pouvez étendre votre investigation dans le portail autonome Security Copilot à l’aide d’invites en langage naturel. Voici des exemples d’invites que vous pouvez taper dans la barre d’invite pour vous aider à résumer un incident avec des recommandations :
- Tapez Résumer l’incident {numéro d’incident} et terminez par un ensemble de recommandations pour générer le résumé de l’incident et les recommandations.
- Tapez Que pouvez-vous me dire sur la réputation des indicateurs dans le script ? Sont-ils malveillants ? Si oui, pourquoi ? pour analyser le script et générer des détails sur le script.
L’invite dans Copilot vous permet de naviguer et d’utiliser efficacement les fonctionnalités. Vous pouvez également utiliser la barre d’invite pour générer des requêtes KQL, résumer les incidents et analyser des fichiers. Consultez des conseils pour créer des invites efficaces dans l’invite effective. Vous pouvez également utiliser des promptbooks prédéfinis pour vous aider à démarrer avec Copilot. Pour en savoir plus sur les promptbooks, consultez promptbooks dans Copilot.
Envoyer des commentaires
Toutes les fonctionnalités de Copilot dans Defender ont une option pour fournir des commentaires. Pour fournir des commentaires, procédez comme suit :
- Sélectionnez l’icône de commentaires Située en bas des résultats carte dans le panneau latéral Copilot.
- Sélectionnez Apparence correcte si vous estimez que les résultats sont exacts. Vous pouvez fournir plus d’informations dans la boîte de dialogue suivante.
- Sélectionnez Amélioration nécessaire si vous avez évalué le résultat comme manquant ou incomplet. Vous pouvez fournir plus d’informations sur votre évaluation dans la boîte de dialogue suivante et envoyer cette évaluation à Microsoft.
- Vous pouvez également signaler les résultats s’il contient des informations douteuses ou ambiguës en sélectionnant Inapproprié. Fournissez plus d’informations sur les résultats dans la boîte de dialogue suivante, puis sélectionnez Envoyer.
Confidentialité et sécurité des données
Copilot évolue continuellement à l'aide de donnéesstockées, traitées et partagées en fonction des paramètres définis par votre administrateur. Microsoft garantit que vos données sont toujours protégées et sécurisées lors de l’utilisation de Copilot. Pour en savoir plus sur la sécurité et la confidentialité des données dans Copilot, consultez Confidentialité et sécurité des données dans Copilot.
En raison de son évolution continue, Copilot peut manquer certaines choses. Examiner et fournir des commentaires sur les résultats permet d’améliorer les réponses futures de Copilot.
Plug-ins dans Security Copilot
Copilot utilise plug-ins Microsoft préinstallés tels que Microsoft Defender XDR, Defender Threat Intelligence et Natural Language pour les plug-ins Microsoft Sentinel et Defender XDR pour générer des informations pertinentes, fournir plus de contexte aux incidents et générer des résultats plus précis. Vérifiez que plug-ins sont activés dans Copilot pour autoriser l’accès aux données pertinentes et générer le contenu demandé à partir d’autres services Microsoft de votre organisation.
Étapes suivantes
- Découvrez comment résumer les incidents
- Utiliser des réponses guidées lors de la réponse aux incidents
- Exécuter l'analyse du script
- Analyser les fichiers
- Générer des résumés d'appareils
- Générer des résumés d’identité
- Générer des requêtes KQL
- Créer des rapports d'incidents
- Utiliser les renseignements sur les menaces
Voir aussi
- Bien démarrer avec Securité Copilot
- Confidentialité et sécurité des données dans Copilot
- FAQ sur l’IA responsable
- Autres expériences incorporées Security Copilot
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.