Condividi tramite

Microsoft Copilot in Microsoft Defender

  • Articolo
  • Si applica a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Nota

Microsoft Defender XDR offre un'esperienza XDR unificata per Microsoft Defender per endpoint, Microsoft Defender per identità, Microsoft Defender per Office 365, Microsoft Defender for Cloud Apps e Microsoft Defender per gestione delle vulnerabilità. Altre informazioni su questa suite di difesa pre e post-violazione sono disponibili in Che cos'è Microsoft Defender XDR?

Questo articolo offre una panoramica per gli utenti di Microsoft Copilot in Microsoft Defender, inclusi i passaggi per accedere, le funzionalità chiave e i collegamenti ai dettagli di queste funzionalità.

Sapere prima di iniziare

Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con questo articolo leggendo gli articoli seguenti:

integrazione Microsoft Copilot in Microsoft Defender

Microsoft Security Copilot unisce la potenza dell'intelligenza artificiale e delle competenze umane per aiutare i team di sicurezza a rispondere agli attacchi in modo più rapido ed efficace. Security Copilot è incorporato nel portale di Microsoft Defender per fornire ai team di sicurezza funzionalità avanzate per analizzare e rispondere agli eventi imprevisti, cercare le minacce e proteggere l'organizzazione con informazioni sulle minacce pertinenti. Copilot in Defender è disponibile per gli utenti che hanno effettuato il provisioning dell'accesso a Security Copilot.

Funzionalità principali

Indagare e rispondere a incidenti come un esperto

Copilot consente ai team addetti alla sicurezza di affrontare le indagini sugli attacchi in modo tempestivo, con facilità e precisione. Copilot Aiuta i team a comprendere immediatamente gli attacchi, analizzare rapidamente file e script sospetti e valutare e applicare tempestivamente la mitigazione appropriata per arrestare e contenere gli attacchi.

Riepilogare rapidamente gli incidenti

Indagare sugli incidenti con più avvisi può essere un'attività molto complessa. Per comprendere immediatamente un evento imprevisto, basta toccare Copilot per ottenere un riepilogo dell'incidente. Copilot crea una panoramica dell'attacco. La panoramica contiene informazioni essenziali per comprendere cosa è accaduto nell'attacco, quali asset sono coinvolti e la sequenza temporale dell'attacco. Copilot crea automaticamente un riepilogo quando si passa alla pagina di un incidente.

Screenshot della scheda di riepilogo dell'incidente nel riquadro Copilot, come visibile nella pagina degli incidenti di Microsoft Defender.

Intervenire sugli incidenti tramite risposte guidate

Per risolvere un incidente, gli analisti devono comprendere l'attacco per sapere quali sono le soluzioni appropriate. Copilot consiglia soluzioni tramite risposte guidate specifiche per ogni incidente.

Screenshot che evidenzia il riquadro Copilot con le risposte guidate nella pagina degli incidenti di Microsoft Defender.

Eseguire facilmente l'analisi degli script

La maggior parte degli utenti malintenzionati si serve di malware sofisticati durante il lancio di attacchi, per evitare il rilevamento e l'analisi. In genere, i malware sono offuscati e potrebbero assumere la forma di script o righe di comando in PowerShell. Copilot può analizzare gli script rapidamente, riducendo i tempi di indagine.

Screenshot che evidenzia il pulsante di analisi dello script nella vista Storia dell'attacco nella pagina degli incidenti.

Generare riepiloghi dei dispositivi

L'analisi dei dispositivi coinvolti in incidenti può comportare l'assegnazione di più attività. Per valutare rapidamente un dispositivo, Copilot può riepilogare le informazioni di un dispositivo, includendo ad esempio la postura di sicurezza del dispositivo, eventuali comportamenti insoliti, un elenco di software vulnerabili e le informazioni rilevanti di Microsoft Intune.

Screenshot dei risultati del riepilogo del dispositivo in Copilot in Defender.

Analizzare i file in modo tempestivo

Copilot consente ai team addetti alla sicurezza di valutare e comprendere rapidamente i file sospetti con l'analisi dei file. Copilot fornisce il riepilogo di un file, che include informazioni di rilevamento, certificati dei file correlati, un elenco di chiamate API e stringhe trovate nel file.

Screenshot dei risultati dell'analisi dei file in Copilot in Defender con l'opzione Nascondi dettagli evidenziata.

Analizzare immediatamente le identità

Valutare rapidamente il rischio di un utente generando un riepilogo dell'identità con Copilot. Identificare quando un'identità è a rischio o sospetta con informazioni contestualizzate sul ruolo e le modifiche del ruolo di un utente, comportamenti di accesso, dispositivi connessi e informazioni di contatto pertinenti.

Screenshot che mostra l'opzione Riepilogo nel riquadro dei dettagli utente.

Scrivere report degli incidenti in modo efficiente

I team delle operazioni per la sicurezza in genere scrivono report per registrare informazioni importanti, tra cui le azioni di risposta intraprese e i risultati corrispondenti, i membri del team coinvolti e altre informazioni per facilitare le future decisioni sulla sicurezza e l'apprendimento. Spesso, la documentazione degli incidenti richiede molto tempo. Affinché un report sugli eventi imprevisti sia efficace, deve contenere il riepilogo di un evento imprevisto insieme alle azioni eseguite, incluse le azioni eseguite da chi e quando. Copilot genera un report sugli incidenti consolidando rapidamente queste informazioni.

Screenshot della scheda del report degli incidenti nella pagina degli incidenti che mostra la metà superiore della scheda.

Rilevare da professionista

Copilot in Defender consente ai team addetti alla sicurezza di rilevare in modo proattivo le minacce nella rete creando rapidamente query KQL appropriate.

Generare query KQL dall'input in linguaggio naturale

I team di sicurezza che usano la ricerca avanzata per cercare in modo proattivo le minacce nella propria rete possono ora usare una query assistente che converte qualsiasi domanda in linguaggio naturale, nel contesto della ricerca delle minacce, in una query KQL pronta per l'esecuzione. L'assistente query consente ai team di sicurezza di risparmiare tempo, generando una query KQL che può essere eseguita automaticamente o perfezionata in base alle esigenze degli analisti. Altre informazioni sull'assistente query sono disponibili in Security Copilot nella rilevazione avanzata.

Screenshot del riquadro Copilot nella rilevazione avanzata.

Proteggere l'organizzazione con una intelligence sulle minacce pertinente

Copilot potenzia l'organizzazione della sicurezza consentendo di prendere decisioni consapevoli grazie all'intelligence sulle minacce più recente. Copilot consolida e riepiloga l'intelligence sulle minacce per aiutare i team addetti alla sicurezza a dare priorità e a rispondere alle minacce in modo efficace.

Monitorare l'intelligence sulle minacce

È possibile chiedere a Copilot di riepilogare le minacce rilevanti che influiscono sull'ambiente, di dare priorità alla risoluzione delle minacce in base ai livelli di esposizione o di trovare attori delle minacce che potrebbero prendere di mira il settore. Altre informazioni su Security Copilot nell'intelligence sulle minacce.

Screenshot del riquadro Copilot nell'intelligence sulle minacce in Defender XDR.

Accedere a Copilot in Defender

Per assicurarsi di avere accesso a Copilot in Defender, vedere le informazioni sull'acquisto e sulle licenze Security Copilot. Dopo aver accesso a Security Copilot, le funzionalità principali diventano disponibili nel portale di Microsoft Defender.

Richieste di esempio in Copilot

Nel portale di Microsoft Defender sono disponibili richieste di esempio che consentono di esplorare e usare alcune funzionalità di Copilot. Le richieste sono progettate per aiutarti a comprendere queste funzionalità e a usarle in modo efficace. Ecco alcuni esempi di richieste che potrebbero essere visualizzate nel portale:

Richieste di ricerca avanzate:

Screenshot che evidenzia le richieste di Copilot nella pagina ricerca avanzata.

Richieste di intelligence sulle minacce:

Screenshot che evidenzia le richieste di Copilot nella pagina intelligence sulle minacce.

È possibile estendere l'analisi nel portale autonomo Security Copilot usando i prompt del linguaggio naturale. Di seguito sono riportate le richieste di esempio che è possibile digitare nella barra dei prompt per riepilogare un evento imprevisto con raccomandazioni:

  • Digitare Summarize incident {incident number} e concludere con un set di raccomandazioni per generare il riepilogo e le raccomandazioni dell'evento imprevisto.
  • Digitare What can you tell me about the reputation of the indicators in the script? Sono dannosi? In caso affermativo, perché? per analizzare lo script e generare dettagli sullo script.

La richiesta in Copilot consente di esplorare e usare le funzionalità in modo efficace. È anche possibile usare la barra dei prompt per generare query KQL, riepilogare gli eventi imprevisti e analizzare i file. Vedere i suggerimenti per creare richieste efficaci in una richiesta efficace. È anche possibile usare promptbook predefiniti per iniziare a usare Copilot. Per altre informazioni sui promptbook, vedere promptbook in Copilot.

Inviare feedback

In tutte le funzionalità di Copilot in Defender è disponibile un'opzione per fornire feedback. Per inviare feedback, seguire questa procedura:

  1. Selezionare l'icona di feedback Screenshot dell'icona di feedback per Copilot nelle schede defender. Si trova nella parte inferiore di qualsiasi scheda dei risultati nel pannello laterale copilot.
  2. Selezionare Cerca a destra se si ritiene che i risultati siano accurati. È possibile fornire altre informazioni nella finestra di dialogo successiva.
  3. Selezionare Necessita di miglioramento se il risultato è stato valutato come mancante o incompleto. È possibile fornire altre informazioni sulla propria valutazione nella finestra di dialogo successiva e inviare questa valutazione a Microsoft.
  4. È anche possibile segnalare i risultati se contiene informazioni dubbie o ambigue selezionando Inappropriato. Inserire altre informazioni sui risultati nella finestra di dialogo successiva e selezionare Invia.

Privacy e sicurezza dei dati

Copilot si evolve continuamente usando datiarchiviati, elaborati e condivisi a seconda delle impostazioni definite dall'amministratore. Microsoft garantisce che i dati siano sempre protetti e sicuri durante l'utilizzo di Copilot. Per altre informazioni sulla sicurezza e la privacy dei dati in Copilot, vedere Privacy e sicurezza dei dati in Copilot.

Proprio perché Copilot è in continua evoluzione, potrebbero esserci aspetti da migliorare. Rivedere e fornire commenti e suggerimenti sui risultati consente di migliorare le risposte future di Copilot.

Plug-in in Security Copilot

Copilot usa plug-in Microsoft preinstallati come Microsoft Defender XDR, Defender Threat Intelligence e Natural Language per KQL per i plug-in Microsoft Sentinel e Defender XDR. In questo modo, genera informazioni rilevanti, fornisce più contesto agli incidenti e offre risultati più accurati. Assicurarsi che i plug-in siano attivati in Copilot per consentire l'accesso ai dati pertinenti e generare il contenuto richiesto da altri servizi Microsoft nell'organizzazione.

Passaggi successivi

Vedere anche

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.