Descrivere Copilot in Microsoft Defender XDR

  • 9 minuti

Microsoft Security Copilot è incorporato in Microsoft Defender XDR per consentire ai team di sicurezza di analizzare e rispondere in modo rapido ed efficiente agli eventi imprevisti. Microsoft Copilot per Microsoft Defender XDR supporta le funzionalità seguenti.

  • Riepilogare gli eventi imprevisti
  • Risposte guidate
  • Analisi degli script
  • Linguaggio naturale per le query KQL
  • Report degli incidenti
  • Analizzare i file
  • Riepilogo dispositivi

Esistono anche alcune opzioni comuni in tutte queste funzionalità, ad esempio la possibilità di fornire feedback sulle risposte alle richieste e passare facilmente all'esperienza autonoma.

Come descritto nell'unità introduttiva, nell'esperienza incorporata Copilot è in grado di richiamare direttamente le funzionalità specifiche del prodotto, offrendo efficienza di elaborazione. Detto questo, per garantire l'accesso a tali funzionalità di Microsoft Security Copilot, il plug-in Microsoft Defender XDR deve essere abilitato e questo viene eseguito tramite l'esperienza autonoma. Per altre informazioni, vedere Descrivere le funzionalità disponibili nell'esperienza autonoma di Microsoft Security Copilot.

Screenshot della finestra Gestisci plug-in che evidenzia il plug-in XDR di Microsoft Defender.

Riepilogare gli eventi imprevisti

Per comprendere immediatamente un evento imprevisto, puoi usare Microsoft Copilot in Microsoft Defender XDR per riepilogare un evento imprevisto. Copilot crea una panoramica dell'attacco, contenente informazioni essenziali per comprendere cosa è successo durante l'attacco, quali risorse sono coinvolte e la sequenza temporale dell'attacco. Copilot crea automaticamente un riepilogo quando si accede alla pagina di un evento imprevisto.

Acquisizione dello schermo dell'esperienza incorporata di Security Copilot in Microsoft Defender XDR, che mostra un riepilogo degli eventi imprevisti.

Gli eventi imprevisti contenenti fino a 100 avvisi possono essere riepilogati in un unico riepilogo degli eventi imprevisti. Un riepilogo degli eventi imprevisti, a seconda della disponibilità dei dati, include quanto segue:

  • Ora e data di inizio di un attacco.
  • Entità o asset in cui è iniziato l'attacco.
  • Riepilogo delle sequenze temporali di come si è svolto l'attacco.
  • Asset coinvolti nell'attacco.
  • Indicatori di compromissione (IOC).
  • Nomi degli attori delle minacce coinvolti.

Risposte guidate

Copilot in Microsoft Defender XDR usa funzionalità di intelligenza artificiale e apprendimento automatico per contestualizzare un evento imprevisto e apprendere dalle indagini precedenti per generare azioni di risposta appropriate, che vengono visualizzate come risposte guidate. La funzionalità di risposta guidata di Copilot consente ai team di risposta agli eventi imprevisti a tutti i livelli di applicare con sicurezza e rapidità le azioni di risposta per risolvere gli eventi imprevisti con facilità.

Le risposte guidate consigliano azioni nelle categorie seguenti:

  • Valutazione: include un consiglio per classificare gli incidenti come informativi, veri positivi o falsi positivi
  • Contenimento: include le azioni consigliate per contenere un incidente
  • Indagine: include le azioni consigliate per un'ulteriore indagine
  • Rimedio: include azioni di risposta consigliate da applicare a entità specifiche coinvolte in un incidente

Ogni scheda contiene informazioni sull'azione consigliata, tra cui il motivo per cui è consigliata l'azione, eventi imprevisti simili e altro ancora. Ad esempio, l'azione Visualizza eventi imprevisti simili diventa disponibile quando all'interno dell'organizzazione sono presenti altri eventi imprevisti simili a quello attuale. I team di risposta agli eventi imprevisti possono anche visualizzare le informazioni utente per azioni correttive, ad esempio la reimpostazione delle password.

Acquisizione dello schermo che mostra le informazioni incluse in una risposta guidata.

Non tutti gli eventi imprevisti/avvisi forniscono risposte guidate. Le risposte guidate sono disponibili per i tipi di eventi imprevisti, come ad esempio phishing, compromissione della posta elettronica aziendale e ransomware.

Analizzare script e codici

Gli attacchi più complessi e sofisticati come il ransomware eludono il rilevamento attraverso numerosi modi, tra cui l'uso di script e PowerShell. Inoltre, questi script sono spesso offuscati, il che aumenta la complessità del rilevamento e dell'analisi. I team addetti alle operazioni di sicurezza devono analizzare rapidamente gli script e il codice per comprenderne le capacità al fine di applicare le opportune misure di mitigazione per impedire agli attacchi di progredire ulteriormente all'interno della rete.

La funzionalità di analisi degli script di Copilot in Microsoft Defender XDR offre ai team di sicurezza la capacità aggiuntiva di esaminare script e codice senza usare strumenti esterni. Questa capacità riduce anche la complessità dell'analisi, minimizzando le sfide e consentendo ai team di sicurezza di valutare e identificare rapidamente uno script come dannoso o benigno.

È possibile accedere alla funzionalità di analisi degli script nella sequenza temporale degli avvisi all'interno di un evento imprevisto, per una voce della sequenza temporale costituita da script o codice. Nell'immagine seguente la sequenza temporale mostra una voce powershell.exe.

Nota

Le funzioni di analisi degli script sono in continuo sviluppo. L'analisi di script in linguaggi diversi da PowerShell, batch e bash è in fase di valutazione.

Acquisizione dello schermo che mostra l'opzione per analizzare uno script di PowerShell.

Copilot analizza lo script e mostra i risultati nella scheda di analisi dello script. Gli utenti possono selezionare Mostra codice per visualizzare le righe di codice specifiche correlate all'analisi. Per nascondere il codice, gli utenti devono solo selezionare Nascondi codice.

Screenshot che mostra le righe di codice relative all'analisi degli script.

Generare query KQL

Copilot in Microsoft Defender XDR include una funzionalità di assistente query nella ricerca avanzata.

I ricercatori di minacce o gli analisti della sicurezza che non hanno ancora familiarità con KQL o che devono ancora conoscerlo possono effettuare una richiesta o fare una domanda in un linguaggio naturale (ad esempio, Ottieni tutti gli avvisi che coinvolgono l'utente admin123). Copilot genera quindi una query KQL che corrisponde alla richiesta usando lo schema dei dati di ricerca avanzata.

Questa funzionalità riduce il tempo necessario per scrivere una query di ricerca da zero in modo che i cercatori di minacce e gli analisti della sicurezza possano concentrarsi sulla ricerca e l'analisi delle minacce.

Per accedere al linguaggio naturale all'assistente query KQL, gli utenti con accesso a Copilot selezionano la ricerca avanzata nel riquadro di spostamento sinistro del portale di Defender XDR.

Acquisizione dello schermo che mostra la schermata dell'assistente query Copilot incorporata in Defender XDR.

Usando la barra dei prompt, l'utente può richiedere una query di ricerca delle minacce, usando un linguaggio naturale, ad esempio "Dammi tutti i dispositivi che hanno eseguito l'accesso negli ultimi 10 minuti".

Acquisizione dello schermo che mostra la query KQL generata da una richiesta di linguaggio naturale.

L'utente può quindi scegliere di eseguire la query selezionando Aggiungi ed esegui. La query generata viene quindi visualizzata come ultima query nell'editor di query. Per apportare ulteriori modifiche, selezionare Aggiungi all'editor.

L'opzione per eseguire la query generata può anche essere impostata automaticamente tramite l'icona delle impostazioni.

Screenshot che mostra l'opzione per eseguire automaticamente la query generata.

Creare report sugli eventi imprevisti

Un report completo e chiaro sugli eventi imprevisti è un riferimento essenziale per i team di sicurezza e la gestione delle operazioni di sicurezza. Tuttavia, la scrittura di un report completo con i dettagli importanti presenti può essere un'attività dispendiosa in termini di tempo per i team delle operazioni di sicurezza in quanto comporta la raccolta, l'organizzazione e il riepilogo delle informazioni sugli eventi imprevisti da più origini. I team di sicurezza possono ora creare istantaneamente un report completo sugli incidenti all'interno del portale.

Usando l'elaborazione dei dati basata sull'intelligenza artificiale di Copilot, i team di sicurezza possono creare immediatamente report sugli eventi imprevisti con un semplice clic su Microsoft Defender XDR.

Mentre un riepilogo degli eventi imprevisti fornisce una panoramica di un evento imprevisto e di come si è verificato, un report sugli eventi imprevisti consolida le informazioni sugli eventi imprevisti di varie origini dati disponibili in Microsoft Sentinel e Microsoft Defender XDR. Il report sugli eventi imprevisti include anche tutti i passaggi guidati dall'analista e le azioni automatizzate, gli analisti coinvolti nella risposta e i commenti degli analisti.

Copilot crea un report sugli eventi imprevisti contenente le informazioni seguenti:

  • I timestamp delle principali azioni di gestione degli eventi imprevisti, tra cui:
    • Creazione e chiusura di eventi imprevisti
    • Il primo e l'ultimo log, a prescindere dal fatto che il log sia stato guidato da un analista o sia stato automatizzato, sono stati acquisiti nell'evento imprevisto
  • Gli analisti coinvolti nella risposta agli eventi imprevisti.
  • Classificazione degli eventi imprevisti, inclusi i commenti degli analisti su come l'evento imprevisto è stato valutato e classificato.
  • Azioni di indagine applicate dagli analisti e annotate nei log degli eventi imprevisti
  • Azioni di correzione eseguite, tra cui:
    • Azioni manuali applicate dagli analisti e annotate nei log degli eventi imprevisti
    • Azioni automatizzate applicate dal sistema, inclusi i playbook di Microsoft Sentinel eseguiti e le azioni XDR di Microsoft Defender applicate
  • Eseguire azioni come raccomandazioni, problemi aperti o passaggi successivi annotati dagli analisti nei log degli eventi imprevisti.

Per creare un report sugli eventi imprevisti, l'utente seleziona Genera report eventi imprevisti nell'angolo superiore destro della pagina dell'evento imprevisto o l'icona nel riquadro di Copilot.

Acquisizione dello schermo che mostra le due opzioni per la generazione di un report sugli eventi imprevisti.

Il report generato dipende dalle informazioni sugli eventi imprevisti disponibili da Microsoft Defender XDR e Microsoft Sentinel. Selezionando i puntini di sospensione nella scheda del report degli eventi imprevisti, l'utente può copiare il report negli Appunti, pubblicarlo in un log attività, rigenerare il report o scegliere di aprirlo nell'esperienza autonoma di Copilot.

Acquisizione schermo che mostra il report degli eventi imprevisti generati e il menu a discesa delle opzioni disponibili selezionando i puntini di sospensione.

Analizzare i file

Gli attacchi sofisticati usano spesso file che simulano file legittimi o di sistema in modo da evitare il rilevamento. Copilot in Microsoft Defender XDR consente ai team della sicurezza di identificare rapidamente file dannosi e sospetti tramite funzionalità di analisi dei file basate sull'intelligenza artificiale.

Ci sono diversi modi per accedere alla pagina del profilo dettagliata per un file specifico. Ad esempio, è possibile usare la funzionalità di ricerca, selezionare i file dalla scheda prova e risposta di un evento imprevisto oppure usare il grafico Eventi imprevisti.

In questo esempio si passa ai file tramite il grafico degli eventi imprevisti tramite i file interessati. Il grafico degli eventi mostra l'ambito completo dell'attacco, il modo in cui l'attacco si diffonde attraverso la rete nel corso del tempo, dove è iniziato e quanto è avanzato l'utente malintenzionato.

Nel grafico degli eventi imprevisti, se si selezionano i file viene visualizzata l'opzione per visualizzarli. Se si seleziona Visualizza file, si apre un pannello sul lato destro dello schermo che riporta i file interessati. Se si seleziona un file, viene visualizzata una panoramica dei dettagli del file e l'opzione per analizzarlo. Selezionando Analizza si apre l'analisi dei file di Copilot.

Riepilogare dispositivi e identità

La funzionalità di riepilogo dei dispositivi di Copilot in Defender consente ai team della sicurezza di ottenere il comportamento di sicurezza di un dispositivo, le informazioni su software vulnerabili e qualsiasi comportamento insolito. Gli analisti della sicurezza possono usare il riepilogo di un dispositivo per velocizzare l'analisi degli eventi imprevisti e degli avvisi.

Esistono molti modi per accedere a un riepilogo dei dispositivi. In questo esempio si passa al riepilogo del dispositivo tramite la pagina degli asset degli eventi imprevisti. Se si seleziona la scheda degli asset per un evento imprevisto, vengono visualizzati tutti gli asset. Nel pannello di spostamento a sinistra, selezionare Dispositivi e quindi selezionare un nome di dispositivo specifico. Nella pagina di panoramica visualizzata a destra è possibile selezionare Copilot.

Analogamente, Copilot in Microsoft Defender XDR può riepilogare le identità.

Funzionalità comuni tra quelle principali

Esistono alcune opzioni comuni tra le funzionalità di Copilot per Microsoft Defender XDR.

Commenti e suggerimenti

Come per l'esperienza autonoma, l'esperienza integrata offre agli utenti un meccanismo per fornire feedback sull'accuratezza della risposta generata dall'intelligenza artificiale. Per qualsiasi contenuto generato dall'intelligenza artificiale, è possibile selezionare la richiesta di feedback nella parte inferiore destra della finestra del contenuto e selezionare tra le opzioni disponibili.

Screenshot dell'icona di feedback per il contenuto generato dall'intelligenza artificiale e le tre opzioni. Le opzioni sono: confermato, ottimo, fuori tema, impreciso e potenzialmente dannoso, inappropriato.

Passare all'esperienza autonoma

Gli analisti che usano Microsoft Defender XDR possono dedicare molto tempo a Defender XDR, quindi l'esperienza incorporata è un ottimo punto di partenza per avviare un'indagine sulla sicurezza. A seconda di ciò che ne ricavi, potresti ritenere necessaria un'indagine più approfondita. In questo scenario, puoi passare facilmente all'esperienza autonoma per eseguire un'indagine più dettagliata su più prodotti, che offre tutte le funzionalità di Copilot abilitate per il tuo ruolo.

Per il contenuto generato tramite l'esperienza incorporata, è possibile passare facilmente all'esperienza autonoma. Per passare all'esperienza autonoma, selezionare i puntini di sospensione nella finestra del contenuto generato, quindi scegliere Apri in Security Copilot.

Acquisizione dello schermo che mostra l'opzione per aprire in Security Copilot, disponibile selezionando i puntini di sospensione nella finestra contenuto generato dall'intelligenza artificiale.