Riepilogare un incidente con Microsoft Copilot in Microsoft Defender

• Si applica a:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR applica le funzionalità di Security Copilot per riepilogare gli eventi imprevisti, fornendo informazioni di impatto e informazioni dettagliate per semplificare le attività di indagine. L'indagine sull'attacco è una fase cruciale per i team di risposta agli eventi imprevisti per difendere con successo un'organizzazione da ulteriori danni causati da una minaccia informatica. Le indagini possono spesso richiedere molto tempo, in quanto implicano numerosi passaggi. I team di risposta agli eventi imprevisti devono capire come si è verificato l'attacco: ordinare i numerosi avvisi, identificare gli asset e le entità coinvolte e valutare la portata e l'impatto di un attacco.

Questa guida illustra cosa aspettarsi e come accedere alla funzionalità di riepilogo di Copilot in Defender, comprese le informazioni sull'invio di feedback.

Sapere prima di iniziare

Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con questo articolo leggendo gli articoli seguenti:

• Che cos'è Security Copilot?
• esperienze Security Copilot
• Introduzione a Security Copilot
• Informazioni sull'autenticazione in Security Copilot
• Richiesta in Security Copilot

I risponditori di eventi imprevisti possono facilmente ottenere il contesto giusto per analizzare e correggere gli eventi imprevisti tramite le funzionalità di correlazione di Defender XDR e l'elaborazione e la contestualizzazione dei dati basati sull'intelligenza artificiale di Security Copilot. Con un riepilogo dell'evento imprevisto, i tecnici possono ottenere rapidamente informazioni importanti per le indagini.

integrazione Security Copilot in Microsoft Defender

La funzionalità di riepilogo degli eventi imprevisti è disponibile nel portale di Microsoft Defender per i clienti che hanno effettuato il provisioning dell'accesso a Security Copilot.

Questa funzionalità è disponibile anche nell'esperienza autonoma Security Copilot tramite il plug-in Microsoft Defender XDR. Altre informazioni sui plug-in preinstallati in Security Copilot.

Funzionalità principali

Gli eventi imprevisti contenenti fino a 100 avvisi possono essere riepilogati in un unico riepilogo degli eventi imprevisti. Un riepilogo degli eventi imprevisti, a seconda della disponibilità dei dati, include quanto segue:

• Ora e data di inizio di un attacco.
• Entità o asset in cui è iniziato l'attacco.
• Riepilogo delle sequenze temporali di come si è svolto l'attacco.
• Asset coinvolti nell'attacco.
• Indicatori di compromissione (IOC).
• Nomi degli attori delle minacce coinvolti.

Per riepilogare un evento imprevisto, seguire questa procedura:

1. Aprire la pagina di un evento imprevisto. Copilot crea automaticamente un riepilogo degli incidenti all'apertura della pagina. È possibile arrestare la creazione del riepilogo selezionando Annulla o riavviare la creazione selezionando Rigenera.

2. La scheda di riepilogo degli incidenti viene caricata nel riquadro di Copilot. Esaminare il riepilogo generato nella scheda.

   

   Consiglio

   È possibile passare a un file, IP o pagina URL dal riquadro dei risultati di Copilot facendo clic sull'evidenza nei risultati.

3. Selezionare i puntini di sospensione Altre azioni (...) nella parte superiore della scheda di riepilogo degli eventi imprevisti per copiare o rigenerare il riepilogo oppure visualizzare il riepilogo nel portale di Security Copilot. Selezionando Apri in Security Copilot viene aperta una nuova scheda per il portale autonomo Security Copilot in cui è possibile immettere richieste e accedere ad altri plug-in.

   

4. Esaminare il riepilogo e usare le informazioni per guidare l'indagine e la risposta all'incidente.

Richiesta di riepilogo degli eventi imprevisti di esempio

Nel portale autonomo Security Copilot è possibile usare la richiesta seguente per generare riepiloghi degli eventi imprevisti:

• Fornire un riepilogo per l'evento imprevisto di Defender {ID evento imprevisto}.

Consiglio

Quando si genera un riepilogo degli eventi imprevisti nel portale di Security Copilot, Microsoft consiglia di includere la parola Defender nelle richieste per assicurarsi che la funzionalità di riepilogo degli eventi imprevisti fornisca i risultati.

Inviare feedback

Microsoft incoraggia vivamente l'utente a fornire feedback a Copilot, in quanto è fondamentale per il miglioramento continuo di una funzionalità. È possibile fornire feedback sul riepilogo selezionando l'icona di feedback disponibili nella parte inferiore del riquadro Copilot.

Vedere anche

• Informazioni su altre esperienze Security Copilot incorporate
• Privacy e sicurezza dei dati in Security Copilot

Consiglio

Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.