Décrire l’intégration de Copilot avec Microsoft Defender XDR

  • 12 minutes

Microsoft Defender XDR s’intègre à Microsoft Security Copilot. L’intégration à Security Copilot peut être effectuée via une expérience autonome et une expérience incorporée.

L’expérience autonome

Pour les entreprises qui sont intégrées à Microsoft Security Copilot, l’intégration se fait via des plug-ins accessibles dans le portail Copilot (expérience autonome). Il existe deux plug-ins distincts qui prennent en charge l’intégration à Microsoft Defender XDR :

  • Microsoft Defender XDR
  • Nouveau langage dans KQL pour Microsoft Defender XDR

Capture d’écran du plug-in Microsoft Defender XDR et du plug-in Langage naturel vers KQL pour Microsoft Defender XDR, dans Microsoft Security Copilot.

Plug-in Microsoft Defender XDR

Le plug-in Microsoft Defender XDR comprend des fonctionnalités qui permettent aux utilisateurs d’effectuer ce qui suit :

  • Analyser les fichiers
  • Générer un rapport d’incident
  • Générer une réponse guidée
  • Lister des incidents et les alertes associées
  • Résumer l’état de la sécurité de l’appareil
  • plus...

Les fonctionnalités de Microsoft Defender XDR dans Copilot sont des invites intégrées que vous pouvez utiliser, mais vous pouvez également entrer vos propres invites selon les fonctionnalités prises en charge.

Copilot inclut également une séquence de prompts intégrée pour examiner des incidents Microsoft Defender XDR que vous pouvez utiliser pour obtenir un rapport sur un incident particulier avec les alertes, scores de réputation, utilisateurs et appareils associés.

Langage naturel vers le plug-in KQL pour Microsoft Defender

Le plug-in Langage naturel vers KQL pour Microsoft Defender active la fonctionnalité de l’Assistant Requête qui convertit des questions en langage naturel dans le contexte du repérage des menaces en une requête Kusto Query Language (KQL) prête à l’emploi. L’Assistant requête permet aux équipes de sécurité de gagner du temps en générant une requête KQL qui peut ensuite être exécutée automatiquement ou modifiée en fonction des besoins de l’analyste.

L’expérience incorporée

Une fois le plug-in activé, l’intégration de Copilot à Microsoft Defender XDR peut également être expérimentée via l’expérience incorporée, appelée Copilot dans Microsoft Defender XDR.

Copilot dans Microsoft Defender XDR permet aux équipes de sécurité d'enquêter, et de répondre rapidement et efficacement aux incidents via le portail Microsoft Defender XDR. Copilot dans Microsoft Defender XDR prend en charge les fonctionnalités suivantes.

  • Résumer des incidents
  • Réponses guidées
  • Analyse de script
  • Requêtes en langage naturel à KQL
  • Rapports d’incidents
  • Analyser les fichiers
  • Résumés des appareils et des identités

Les utilisateurs peuvent également pivoter de manière transparente de l’expérience incorporée à l’expérience autonome.

Résumer des incidents

Pour comprendre immédiatement un incident, vous pouvez utiliser Copilot dans Microsoft Defender XDR pour qu’il résume un incident à votre place. Copilot crée une vue d’ensemble de l’attaque avec des informations essentielles pour comprendre son déroulement, sa chronologie, les ressources concernées, et plus encore. La solution génère automatiquement un résumé lorsque vous accédez à la page d’un incident. Les incidents contenant jusqu'à 100 alertes peuvent être résumés dans un seul résumé d'incident.

Capture d’écran de l’expérience incorporée Security Copilot dans Microsoft Defender XDR, montrant un résumé des incidents.

Réponses guidées

Copilot dans Microsoft Defender XDR utilise des fonctionnalités d’apprentissage automatique capables de contextualiser un incident et d’apprendre des enquêtes précédentes pour générer des actions de réponse appropriées, lesquelles sont illustrées comme réponses guidées. La capacité de réponse guidée de Copilot permet aux équipes de réponse aux incidents de tous les niveaux d’appliquer rapidement et en toute confiance des actions de réponse pour résoudre des incidents avec facilité.

Les réponses guidées recommandent des actions dans les catégories suivantes :

  • Triage – inclut une recommandation pour classifier les incidents comme des informations, des vrais positifs ou des faux positifs
  • Confinement – inclut les actions recommandées pour contenir un incident
  • Investigation – inclut les actions recommandées pour un examen plus approfondi
  • Correction – inclut les actions de réponse recommandées à appliquer à des entités spécifiques impliquées dans un incident

Chaque carte contient des informations sur l’action recommandée, notamment la raison pour laquelle l’action est recommandée, les incidents similaires et bien plus encore. Par exemple, l’action Afficher des incidents similaires devient disponible lorsqu’il existe d’autres incidents au sein de l’organisation qui sont semblables à l’incident actuel. Les équipes de réponse aux incidents peuvent également afficher les informations utilisateur pour des actions de correction telles que la réinitialisation des mots de passe.

Capture d’écran montrant les informations incluses dans une réponse guidée.

Les incidents/alertes ne fournissent pas tous des réponses guidées. Les réponses guidées sont disponibles pour les types d’incidents comme le hameçonnage, la compromission des e-mails professionnels et les ransomwares.

Analyser les scripts et les codes

La fonctionnalité d’analyse de script de Copilot dans Microsoft Defender XDR offre une capacité supplémentaire aux équipes de sécurité pour inspecter les scripts et le code sans utiliser d’outils externes. Cette fonctionnalité réduit également la complexité de l’analyse, en réduisant les défis et en permettant aux équipes de sécurité d’évaluer et d’identifier rapidement un script comme malveillant ou sans gravité.

Il existe plusieurs façons d’accéder à la fonctionnalité d’analyse de script. L’image qui suit montre l’arborescence de processus d’une alerte qui inclut l’exécution d’un script PowerShell. La sélection du bouton Analyser génère l’analyse de script Copilot.

Capture d’écran montrant l’option permettant d’analyser un script PowerShell.

Générer des requêtes KQL

La solution Copilot dans Microsoft Defender XDR est fournie avec une fonctionnalité d’Assistant requête dans un repérage avancé.

Pour accéder au langage naturel à l’Assistant requête KQL, les utilisateurs ayant accès à Copilot sélectionnent le repérage avancé dans le volet de navigation gauche du portail Defender XDR.

Copilot fournit des invites que vous pouvez utiliser pour commencer à rechercher des menaces avec Copilot, ou vous pouvez écrire votre propre question de langage naturel, dans la barre d’invite, pour générer une requête KQL. Par exemple, « Donne-moi tous les appareils connectés au cours des 10 dernières minutes ». À l’aide du schéma de données de repérage avancé, Copilot génère ensuite une requête KQL qui correspond à la requête.

L’utilisateur peut alors choisir d’exécuter la requête en sélectionnant Ajouter et exécuter. La requête générée s’affiche ensuite comme la dernière requête dans l’éditeur de requête. Pour effectuer d’autres adaptations, sélectionnez Ajouter à l’éditeur.

Créer des rapports d'incidents

Un rapport complet et clair sur les incidents est une référence essentielle pour les équipes de sécurité et la gestion des opérations de sécurité. Toutefois, l’écriture d’un rapport complet avec les détails importants présents peut être une tâche fastidieuse pour les équipes des opérations de sécurité, car elle implique la collecte, l’organisation et la synthèse des informations sur les incidents à partir de plusieurs sources. Les équipes de sécurité peuvent désormais créer instantanément un rapport d’incident complet au sein du portail.

Bien qu’un résumé des incidents donne une vue d’ensemble sur un incident et la façon dont il s’est produit, un rapport d’incident consolide les informations sur les incidents provenant de différentes sources de données disponibles dans Microsoft Sentinel et Microsoft Defender XDR. Le rapport sur les incidents comprend également toutes les étapes pilotées par des analystes et les actions automatisées, les analystes impliqués dans la réponse, les commentaires des analystes, et plus encore.

Pour créer un rapport sur l’incident, l’utilisateur sélectionne Générer un rapport d’incident en haut à droite de la page d’incident ou l’icône dans le volet Copilot. Une fois le rapport d’incident généré, la sélection des points de suspension dans le rapport d’incident présente à l’utilisateur la possibilité de copier le rapport dans le Presse-papiers, publier dans un journal d’activité, régénérer le rapport ou choisir d’ouvrir le rapport dans l’expérience autonome Copilot.

Analyser les fichiers

Les attaques sophistiquées utilisent souvent des fichiers qui imitent des fichiers légitimes ou des fichiers système pour éviter la détection. Copilot dans Microsoft Defender XDR permet aux équipes de sécurité d’identifier rapidement des fichiers malveillants et suspects via des fonctionnalités d’analyse de fichiers basées sur l’IA.

Il existe de nombreuses façons d’accéder à la page de profil détaillée d’un fichier spécifique. Dans cet exemple, vous accédez aux fichiers via le graphique d’un incident avec des fichiers affectés. Le graphique d’incident montre l’étendue complète de l’attaque, comment l’attaque s’est propagée dans votre réseau au fil du temps, l’emplacement de départ et la progression de l’attaquant.

Dans le graphique d’incident, la sélection de fichiers affiche l’option permettant d’afficher des fichiers. La sélection de l’option d’affichage des fichiers ouvre un panneau sur le côté droit de l’écran répertoriant les fichiers affectés. La sélection d’un fichier affiche une vue d’ensemble des détails du fichier et l’option permettant d’analyser le fichier. La sélection de l’option Analyse ouvre l’analyse du fichier Copilot.

Résumer les appareils et les identités

La fonctionnalité récapitulative de l’appareil de Copilot dans Defender permet aux équipes de sécurité d’obtenir la posture de sécurité d’un appareil, les informations sur le logiciel vulnérable et tous les comportements inhabituels. Les analystes de sécurité peuvent utiliser le résumé d’un appareil pour accélérer l’examen des incidents et des alertes.

Il existe de nombreuses façons d’accéder à un résumé d’appareil. Dans cet exemple, vous accédez au résumé de l’appareil via la page des ressources de l’incident. La sélection de l’onglet Ressources d’un incident affiche toutes les ressources. Dans le volet de navigation gauche, sélectionnez Appareils, puis un nom d’appareil spécifique. Dans la page de vue d’ensemble qui s’ouvre à droite, vous pouvez sélectionner l’option Copilot.

De même, Copilot dans Microsoft Defender XDR peut résumer les identités.

Passer à l’expérience autonome

En tant qu’analyste utilisant Microsoft Defender XDR, vous êtes susceptible de passer beaucoup de temps dans Defender XDR, de sorte que l’expérience incorporée est un excellent emplacement pour démarrer une enquête de sécurité. En fonction de ce que vous apprendrez, vous pourrez déterminer qu’une enquête plus approfondie est nécessaire. Dans ce scénario, vous pouvez facilement passer à l'expérience autonome pour mener une enquête plus détaillée sur l'ensemble des produits, qui met à profit toutes les capacités de Copilot activées dans le cadre de votre rôle.

Pour le contenu généré via l’expérience incorporée, vous pouvez facilement passer à l’expérience autonome. Pour passer à l’expérience autonome, sélectionnez les points de suspension dans la fenêtre du contenu généré, puis choisissez Ouvrir dans Sécurité Copilot.

Capture d’écran montrant l’option d’ouverture dans Security Copilot, disponible en sélectionnant les points de suspension dans la fenêtre de contenu générée par l’IA.