Valutare e analizzare gli incidenti con risposte guidate di Microsoft Copilot in Microsoft Defender
Microsoft Security Copilot nel portale di Microsoft Defender supporta i team di risposta agli eventi imprevisti nella risoluzione immediata degli eventi imprevisti con risposte guidate. Copilot in Defender usa funzionalità di intelligenza artificiale e apprendimento automatico per contestualizzare un incidente e apprendere dalle indagini precedenti per generare azioni di risposta appropriate.
Questa guida illustra come accedere alla funzionalità di risposta guidata e include informazioni su come fornire feedback sulle risposte.
Sapere prima di iniziare
Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con questo articolo leggendo gli articoli seguenti:
- Che cos'è Security Copilot?
- esperienze Security Copilot
- Introduzione a Security Copilot
- Informazioni sull'autenticazione in Security Copilot
- Richiesta in Security Copilot
Per rispondere agli incidenti nel portale di Microsoft Defender spesso è necessaria familiarità con le azioni disponibili nel portale per arrestare gli attacchi. Inoltre, i nuovi incaricati della risposta agli incidenti potrebbero avere idee diverse su dove e come iniziare a rispondere agli incidenti. La funzionalità di risposta guidata di Copilot in Defender consente ai team di risposta agli incidenti a tutti i livelli di applicare in modo rapido e sicuro azioni di risposta per risolvere gli incidenti con facilità.
integrazione Security Copilot in Microsoft Defender
Le risposte guidate sono disponibili nel portale di Microsoft Defender per i clienti che hanno effettuato il provisioning dell'accesso a Security Copilot.
Le risposte guidate sono disponibili anche nell'esperienza autonoma Security Copilot tramite il plug-in Microsoft Defender XDR. Altre informazioni sui plug-in preinstallati in Security Copilot.
Funzionalità principali
Le risposte guidate consigliano azioni nelle categorie seguenti:
- Valutazione: include un consiglio per classificare gli incidenti come informativi, veri positivi o falsi positivi
- Contenimento: include le azioni consigliate per contenere un incidente
- Indagine: include le azioni consigliate per un'ulteriore indagine
- Rimedio: include azioni di risposta consigliate da applicare a entità specifiche coinvolte in un incidente
Ogni scheda contiene informazioni sull'azione consigliata, tra cui l'entità in cui è necessario applicare l'azione e il motivo per cui l'azione è consigliata. Le schede evidenziano anche quando un'azione consigliata è stata eseguita da un'indagine automatizzata, ad esempio un'interruzione dell'attacco o una risposta di indagine automatizzata.
Le schede delle risposte guidate possono essere ordinate in base allo stato disponibile per ogni scheda. È possibile selezionare uno stato specifico quando si visualizzano le risposte guidate facendo clic su Stato e selezionando lo stato appropriato da visualizzare. Tutte le schede delle risposte guidate vengono visualizzate per impostazione predefinita indipendentemente dallo stato.
Per usare le risposte guidate, seguire questa procedura:
Aprire la pagina di un incidente. Copilot genera automaticamente risposte guidate all'apertura di una pagina degli incidenti. Il riquadro Copilot viene visualizzato sul lato destro della pagina degli incidenti e mostra le schede delle risposte guidate.
Esaminare ogni scheda prima di applicare i suggerimenti. Selezionare i puntini di sospensione Altre azioni (...) nella parte superiore di una scheda di risposta per visualizzare le opzioni disponibili per ogni suggerimento. Ecco alcuni esempi.
Per applicare un'azione, selezionare l'azione desiderata trovata in ogni scheda. L'azione di risposta guidata in ogni scheda è personalizzata in base al tipo di incidente e alla specifica entità coinvolta.
È possibile fornire feedback a ogni scheda di risposta per migliorare continuamente le risposte future di Copilot. Per inviare commenti e suggerimenti, selezionare l'icona di feedback disponibili in basso a destra di ogni scheda.
Nota
I pulsanti di azione disattivati indicano che queste azioni sono limitate in base alle autorizzazioni impostate. Vedere la pagina sulle autorizzazioni del Controllo degli accessi in base al ruolo unificato per altre informazioni.
Copilot consente di velocizzare le attività di indagine degli analisti. Quando un evento imprevisto richiede ulteriori indagini su un'attività utente, Copilot suggerisce il testo che gli analisti possono usare per comunicare con un utente. La scheda di risposta guidata include un utente contatto in Teams o un'azioneCopia negli Appunti che copia il testo suggerito negli Appunti. Gli analisti possono quindi incollare il testo in un messaggio di posta elettronica o in un altro strumento di comunicazione. L'analista può anche ottenere più contesto sull'utente tramite l'azione Visualizza utente .
Copilot supporta anche i team di risposta agli eventi imprevisti consentendo agli analisti di ottenere più contesto sulle azioni di risposta con informazioni dettagliate aggiuntive. Per le risposte di rimedio, i team di risposta agli incidenti possono visualizzare altre informazioni con opzioni come Visualizza incidenti simili o Visualizza messaggi di posta elettronica simili.
L'azione Visualizza incidenti simili diventa disponibile quando all'interno dell'organizzazione sono presenti altri incidenti simili a quello corrente. Nella scheda Incidenti simili sono elencati gli eventi imprevisti simili che è possibile esaminare. Microsoft Defender identifica automaticamente gli incidenti simili all'interno dell'organizzazione tramite le funzionalità di apprendimento automatico. I team di risposta agli incidenti possono usare le informazioni relative a questi eventi simili per classificare gli incidenti ed esaminare ulteriormente le azioni eseguite in quelle circostante.
L'azione Visualizza messaggi di posta elettronica simili, specifica degli incidenti di phishing, consente di passare alla pagina di rilevazione avanzata, in cui viene generata automaticamente una query KQL per elencare i messaggi di posta elettronica simili all'interno dell'organizzazione. Questa generazione automatica di query correlate consente ai team di risposta di indagare ulteriormente su altri messaggi di posta elettronica che potrebbero essere correlati all'incidente in questione. È possibile esaminare la query e modificarla in base alle esigenze.
Richiesta di risposte guidate di esempio
Nel portale autonomo Security Copilot è possibile usare la richiesta seguente per generare risposte guidate:
- Generare risposte guidate e raccomandazioni per l'evento imprevisto di Defender {ID evento imprevisto}.
Consiglio
Quando si generano risposte guidate nel portale di Security Copilot, Microsoft consiglia di includere la parola Defender nelle richieste per assicurarsi che la funzionalità risposte guidate fornisca i risultati.
Inviare feedback
Microsoft incoraggia vivamente l'utente a fornire feedback a Copilot, in quanto è fondamentale per il miglioramento continuo di una funzionalità. Per inviare commenti e suggerimenti, passare alla parte inferiore del pannello laterale copilot e selezionare l'icona .
Vedere anche
- Informazioni su altre esperienze Security Copilot incorporate
- Privacy e sicurezza dei dati in Security Copilot
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.