Compartilhar via

Resumir um incidente com o Microsoft Copilot no Microsoft Defender

  • Artigo
  • Aplica-se a:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR aplica as capacidades do Security Copilot para resumir incidentes, fornecendo informações e informações com impacto para simplificar as tarefas de investigação. A investigação de ataques é uma etapa crucial para que as equipes de resposta a incidentes defendam com êxito uma organização contra danos adicionais de uma ameaça cibernética. Muitas vezes, as investigações podem ser morosas, uma vez que envolvem vários passos. As equipes de resposta a incidentes precisam entender como o ataque aconteceu: classificar vários alertas, identificar quais ativos e entidades estão envolvidos e avaliar o escopo e o impacto de um ataque.

Estse guia descreve o que esperar e como acessar o recurso de resumo do Copilot da Segurança no Defender, incluindo informações sobre como fornecer comentários.

Antes de começar

Se não estiver familiarizado com Security Copilot, deve familiarizar-se com o mesmo ao ler os seguintes artigos:

Os participantes a incidentes podem facilmente obter o contexto certo para investigar e remediar incidentes através das capacidades de correlação do Defender XDR e do processamento e contextualização de dados baseados em IA do Security Copilot. Com um resumo de incidentes, os respondentes podem obter informações importantes rapidamente para ajudar na investigação.

integração do Security Copilot no Microsoft Defender

A capacidade de resumo de incidentes está disponível no portal do Microsoft Defender para clientes que tenham acesso a Security Copilot.

Esta capacidade também está disponível no Security Copilot experiência autónoma através do plug-in Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Security Copilot.

Principais recursos

Incidentes que contêm até 100 alertas podem ser resumidos em um resumo de incidentes. Um resumo de incidentes, dependendo da disponibilidade dos dados, inclui o seguinte:

  • A hora e a data em que um ataque foi iniciado.
  • A entidade ou ativo em que o ataque foi iniciado.
  • Um resumo das linhas do tempo de como o ataque se desdobrou.
  • Os ativos envolvidos no ataque.
  • Indicadores de comprometimento (IOCs).
  • Nomes dos atores de ameaça envolvidos.

Para resumir um incidente, execute as seguintes etapas:

  1. Abra uma página de incidentes. O Copilot cria um resumo de incidentes automaticamente ao abrir a página. Você pode interromper a criação do resumo selecionando Cancelar ou reiniciar a criação selecionando Regenerar.

  2. O cartão de resumo do incidente é carregado no painel do Copilot. Examine o resumo gerado no cartão.

    Captura de ecrã a mostrar o resumo do incidente card no painel Copilot, conforme mostrado na página Microsoft Defender incidente.

    Dica

    Você pode navegar até uma página de arquivo, IP ou URL no painel de resultados do Copilot clicando na evidência nos resultados.

  3. Selecione as reticências mais ações (...) na parte superior do resumo do incidente card para copiar ou regenerar o resumo ou ver o resumo no portal do Security Copilot. Selecionar Abrir no Copilot da Segurança abre uma nova guia para o portal autônomo do Copilot da Segurança, no qual você pode inserir prompts e acessar outros plug-ins.

    Captura de ecrã a mostrar as ações disponíveis no resumo do incidente card.

  4. Examine o resumo e use as informações para orientar sua investigação e resposta ao incidente.

Pedido de resumo de incidentes de exemplo

No portal autónomo Security Copilot, pode utilizar o seguinte pedido para gerar resumos de incidentes:

  • Forneça um resumo para o incidente do Defender {incident ID}.

Dica

Ao gerar um resumo de incidentes no portal Security Copilot, a Microsoft recomenda incluir a palavra Defender nas suas instruções para garantir que a capacidade de resumo de incidentes fornece os resultados.

Faça comentários

A Microsoft incentiva-o vivamente a fornecer feedback à Copilot, uma vez que é crucial para a melhoria contínua de uma capacidade. Você pode fornecer comentários sobre o resumo selecionando o ícone de comentários Captura de tela do ícone de comentários do Copilot nos cartões do Defender localizados na parte inferior do painel do Copilot.

Confira também

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.