Security Copilot casi d'uso per i ruoli di sicurezza e IT

Security Copilot consente agli utenti di eseguire i seguenti casi d'uso chiave, in quanto si applicano ai diversi utenti o ruoli di un centro operativo per la sicurezza o di un team IT.

Analizzare e correggere le minacce alla sicurezza

Ottenere il contesto per gli eventi imprevisti per valutare rapidamente gli avvisi di sicurezza complessi in riepiloghi interattivi e correggere più rapidamente con indicazioni dettagliate sulla risposta.

• SOC : ricevere istruzioni dettagliate e interattive per la risposta agli eventi imprevisti, incluse indicazioni per la valutazione, l'indagine, il contenimento e la correzione.
• Amministratori delle identità : semplificare la risoluzione degli eventi imprevisti riepilogando rapidamente informazioni critiche come ruoli utente, log di firma e fattori di rischio per aiutare gli analisti a comprendere l'ambito e le specifiche delle potenziali compromissioni.
• CISO: ottenere informazioni sulle minacce aggiornate e riepilogate da Microsoft e open source, fornendo informazioni contestuali su esposizioni e attori delle minacce rilevanti, strumenti e tecniche.

Leggere le risorse correlate seguenti:

• Caso d'uso: risposta e correzione degli eventi imprevisti
• Caso d'uso: valutare gli eventi imprevisti in base all'arricchimento da intelligence sulle minacce
• Promptbook di indagine sugli eventi imprevisti
• Valutare e analizzare gli incidenti con risposte guidate di Microsoft Copilot in Microsoft Defender

Compilare query KQL o analizzare script sospetti

Eliminare la necessità di scrivere manualmente script del linguaggio di query o di decodificare script malware con la traduzione in linguaggio naturale per consentire a ogni membro del team di eseguire attività tecniche.

• Analisti TI : compilare query KQL per individuare le minacce nell'organizzazione in modo più rapido e semplice.
• Amministratori della sicurezza dei dati - Semplificare l'analisi di eDiscovery traducendo le richieste dal linguaggio di query naturale a quello con parole chiave (KeyQL). Richiedi in linguaggio naturale di rendere le iterazioni di ricerca più veloci e accurate. Rafforzare l'esperienza del team e consentire una ricerca più assertiva delle prove.
• Amministratori IT : creare ed eseguire query KQL per ottenere i dettagli del dispositivo da dispositivi singoli e multipli.
• Amministratori della sicurezza cloud : risolvere i problemi nell'infrastruttura distribuita come codice inviando richieste pull agli sviluppatori con istruzioni dettagliate per la correzione e il codice necessario da Copilot.

Leggere le risorse correlate seguenti:

• Promptbook di analisi di script sospetti
• Caso d'uso: analizzare un evento imprevisto e le entità sospette associate
• Generare query KQL con Security Copilot in Microsoft Defender

Comprendere i rischi e gestire il comportamento di sicurezza dell'organizzazione

Ottieni un quadro generale dell'ambiente con rischi con priorità per scoprire le opportunità di migliorare la postura più facilmente.

• Amministratori della sicurezza cloud : comprendere i rischi multicloud completi e ricevere istruzioni dettagliate per la correzione dei rischi, inclusi gli script generati dall'intelligenza artificiale. Facilitare la correzione dei rischi tra i team con funzionalità di creazione di richieste pull e delega.
• Amministratori IT : ottenere una visualizzazione completa dell'ambiente con rischi con priorità e riepiloghi generati dall'IA per identificare le impostazioni sovrapposte, evitare conflitti di criteri e ridurre al minimo le vulnerabilità durante la creazione o gli aggiornamenti dei criteri.
• Amministratori della sicurezza dei dati: valutare e gestire il comportamento di sicurezza dei dati dell'organizzazione esaminando e affrontando i rischi di sicurezza dei dati con priorità con un dashboard di sicurezza dei dati centralizzato per ridurre i tempi di indagine.
• Analisti TI : ottenere informazioni sulle minacce riepilogate rilevanti per un artefatto per contestualizzare rapidamente un evento imprevisto ed estrarre tecniche, tattiche e procedure MITRE per comprendere l'attività di minaccia associata.

Leggere le risorse correlate seguenti:

• Controllare l'impatto di un prompt degli articoli sulle minacce esterne
• Report di Threat Intelligence 360 basato su un promptbook dell'articolo MDTI

Risolvere i problemi IT più velocemente

Sintetizzare rapidamente le informazioni rilevanti e ricevere informazioni dettagliate interattive per identificare e risolvere rapidamente i problemi IT.

• Amministratori IT : ridurre il tempo medio dall'individuazione alla risposta agli eventi imprevisti IT analizzando i codici di errore e riepilogando il contesto del dispositivo.
• Amministratori delle identità : semplificano la risoluzione dei problemi relativi ai log di accesso automatizzando la raccolta e la correlazione dei dati in riepiloghi delle informazioni rilevanti, ad esempio tentativi di autenticazione a più fattori non riusciti e modifiche ai criteri. Ottenere raccomandazioni per risolvere i problemi di accesso in modo efficiente, ad esempio la registrazione dei dispositivi o la modifica dei criteri.

Definire e gestire i criteri di sicurezza

Definire un nuovo criterio, farvi riferimento incrociato con altri utenti per i conflitti e riepilogare i criteri esistenti per gestire il contesto aziendale complesso in modo rapido e semplice.

• Amministratori IT : ridurre il rischio di interruzioni operative e vulnerabilità analizzando criteri in conflitto o non configurati correttamente e ottenere indicazioni per le impostazioni dei criteri consigliate.
• Amministratori della sicurezza dei dati : semplificano l'ottimizzazione dei criteri DLP e la pianificazione dei criteri del panorama dei dati per migliorare la copertura e i controlli.

Configurare flussi di lavoro del ciclo di vita sicuri

Creare gruppi e impostare i parametri di accesso con indicazioni dettagliate per garantire una configurazione semplice per evitare vulnerabilità di sicurezza.

• Amministratori delle identità : configurare rapidamente i flussi di lavoro in base ai ruoli utente, ai gruppi e ai parametri del pacchetto di accesso, fornendo indicazioni dettagliate per garantire una configurazione completa e accurata.

Sviluppare report per gli stakeholder

Ottenere un report chiaro e conciso che riepiloga il contesto e l'ambiente, i problemi aperti e le misure protettive preparate per il tono e il linguaggio del pubblico del report.

• SOC : riepilogare le indagini in Copilot sui report in linguaggio naturale esportabili per semplificare la comunicazione con gli stakeholder della sicurezza.
• CISO : ottenere un report chiaro e conciso che copre le minacce, gli attori delle minacce, il lavoro degli analisti e le misure protettive, su misura per il consiglio di amministrazione nelle loro lingue native.

Leggere le risorse correlate seguenti:

• Controllare l'impatto di un prompt degli articoli sulle minacce esterne
• Promptbook di indagine sugli eventi imprevisti
• Report di Threat Intelligence 360 basato su un promptbook dell'articolo MDTI
• Riepilogare un incidente con Microsoft Copilot in Microsoft Defender