Descrever a integração do Copilot ao Microsoft Defender XDR
O Microsoft Defender XDR se integra ao Microsoft Security Copilot. A integração ao Microsoft Security Copilot pode ser experimentada por meio de experiências autônomas e integradas.
A experiência independente
Para empresas integradas ao Security Copilot, a integração é habilitada por meio de plug-ins acessados pelo portal do Copilot (a experiência autônoma). Há dois plug-ins separados que dão suporte à integração com o Microsoft Defender XDR:
- Microsoft Defender XDR
- Lingugem natural para KQL do Microsoft Defender XDR
Plug-in do Microsoft Defender XDR
O plug-in do Microsoft Defender XDR inclui recursos que permitem aos usuários:
- Analisar arquivos
- Gerar um relatório de incidentes
- Gerar uma resposta guiada
- Listar incidentes e alertas relacionados
- Resumir o estado de segurança do dispositivo
- mais...
As funcionalidades do Microsoft Defender XDR no Copilot são prompts internos que você pode usar, mas você também pode inserir os próprios prompts com base nas funcionalidades com suporte.
O Copilot também inclui um promptbook interno para investigação de incidentes do Microsoft Defender XDR que pode ser usado para obter um relatório sobre um incidente específico, com alertas relacionados, pontuações de reputação, usuários e dispositivos.
Linguagem natural para KQL do Microsoft Defender XDR
O plugin Natural language to KQL for Microsoft Defender habilita a funcionalidade do assistente de consulta que converte qualquer pergunta em linguagem natural no contexto de busca de ameaças em uma consulta Kusto Query Language (KQL) pronta para execução. O assistente de consultas economiza o tempo das equipes de segurança ao gerar uma consulta KQL que pode ser executada automaticamente ou ajustada de acordo com as necessidades do analista.
A experiência integrada
Com o plug-in habilitado, a integração do Copilot com o Defender XDR também pode ser experimentada por meio da experiência inserida, que é conhecida como Copilot no Microsoft Defender XDR.
O Copilot no Microsoft Defender XDR permite que as equipes de segurança investiguem e respondam de forma rápida e eficiente a incidentes por meio do portal do Microsoft Defender XDR. O Microsoft Copilot para Microsoft Defender XDR dá suporte aos seguintes recursos.
- Resumir incidentes
- Respostas guiadas
- Análise de script
- Idioma natural para consultas KQL
- Relatórios de incidentes
- Analisar os arquivos
- Resumos de dispositivo e identidade
Os usuários também podem dinamizar diretamente da experiência inserida para a experiência autônoma.
Resumir incidentes
Para entender imediatamente um incidente, você pode usar o Security Copilot no Microsoft Defender XDR para resumir um incidente para você. O Copilot cria uma visão geral do ataque contendo informações essenciais para você entender o que aconteceu no ataque, quais ativos estão envolvidos e a linha do tempo do ataque. O Copilot cria automaticamente um resumo quando você navega até a página de um incidente. Incidentes que contêm até 100 alertas podem ser resumidos em um resumo de incidentes.
Respostas guiadas
O Copilot no Microsoft Defender XDR usa recursos de IA e aprendizado de máquina para contextualizar um incidente e aprender com investigações anteriores para gerar ações de resposta apropriadas, que são mostradas como respostas guiadas. A capacidade de resposta guiada do Copilot permite que as equipes de resposta a incidentes em todos os níveis apliquem ações de resposta com confiança e rapidez para resolver incidentes com facilidade.
As respostas guiadas recomendam ações nas seguintes categorias:
- Triagem – inclui uma recomendação para classificar incidentes como informativos, verdadeiros positivos ou falsos positivos
- Contenção – inclui ações recomendadas para conter um incidente
- Investigação – inclui ações recomendadas para investigação adicional
- Correção – inclui ações de resposta recomendadas para serem aplicadas a entidades específicas envolvidas em um incidente
Cada cartão contém informações sobre a ação recomendada, incluindo o motivo pelo qual a ação é recomendada, incidentes semelhantes e muito mais. Por exemplo, a ação Exibir incidentes semelhantes fica disponível quando há outros incidentes na organização que são semelhantes ao incidente atual. As equipes de resposta a incidentes também podem visualizar as informações do usuário para ações de correção, como redefinição de senhas.
Nem todos os incidentes/alertas fornecem respostas guiadas. As respostas guiadas estão disponíveis para tipos de incidentes, como phishing, comprometimento de email comercial e ransomware.
Analisar scripts e códigos
A funcionalidade de análise de script do Copilot no Microsoft Defender XDR fornece às equipes de segurança capacidade adicional para inspecionar scripts e código sem usar ferramentas externas. Essa funcionalidade também reduz a complexidade da análise, minimizando os desafios e permitindo que as equipes de segurança avaliem e identifiquem rapidamente um script como mal-intencionado ou benigno.
Há várias maneiras de acessar a funcionalidade de análise de script. A imagem a seguir mostra a árvore de processo de um alerta que inclui a execução de um script do PowerShell. Selecionar o botão analisar gera a análise de script do Copilot.
Gerar consultas KQL
O Copilot no Microsoft Defender XDR vem com um recurso de assistente de consulta na busca avançada.
Para acessar a linguagem natural do assistente de consulta KQL, os usuários com acesso ao Copilot selecionam a busca avançada no painel de navegação esquerdo do portal do Defender XDR.
O Copilot fornece prompts que você pode usar para começar a procurar ameaças com o Copilot ou pode escrever sua própria pergunta de linguagem natural, na barra de prompts, para gerar uma consulta KQL. Por exemplo, "Mostre todos os dispositivos que se conectaram nos últimos 10 minutos." O Copilot então gera uma consulta KQL que corresponde à solicitação usando o esquema de dados de busca avançado.
O usuário pode então optar por executar a consulta selecionando Adicionar e executar. A consulta gerada aparecerá como a última consulta no editor de consultas. Para fazer mais ajustes, selecione Adicionar ao editor.
Criar relatórios de incidentes
Um relatório de incidentes abrangente e claro é uma referência essencial para as equipes de segurança e para o gerenciamento de operações de segurança. No entanto, redigir um relatório abrangente com os detalhes importantes presentes pode ser uma tarefa demorada para as equipes de operações de segurança, pois envolve a coleta, a organização e o resumo de informações de incidentes de várias fontes. As equipes de segurança agora podem criar instantaneamente um extenso relatório de incidentes no portal.
Enquanto um resumo do incidente fornece uma visão geral de um incidente e como ele ocorreu, um relatório de incidentes consolida as informações de incidentes de várias fontes de dados disponíveis no Microsoft Sentinel e no Microsoft Defender XDR. O relatório de incidentes também inclui todas as etapas orientadas por analistas e ações automatizadas, os analistas envolvidos na resposta e os comentários dos analistas.
Para criar um relatório de incidente, o usuário seleciona Gerar relatório de incidente no canto superior direito da página do incidente ou o ícone no painel do Copilot. Depois que o relatório de incidentes é gerado, selecionar as reticências no relatório de incidentes apresenta ao usuário a opção de copiar o relatório para a área de transferência, postar em um log de atividades, regenerar o relatório ou optar por abrir na experiência autônoma do Copilot.
Analisar arquivos
Ataques sofisticados geralmente usam arquivos que imitam arquivos legítimos ou do sistema para evitar serem detectados. O Copilot no Microsoft Defender XDR permite que as equipes de segurança identifiquem rapidamente arquivos mal-intencionados e suspeitos por meio de recursos de análise de arquivos da plataforma de IA.
Há várias maneiras de acessar a página de perfil detalhada de um arquivo específico. Neste exemplo, você navega até os arquivos por meio do grafo de incidentes de um incidente com arquivos afetados. O grafo de incidentes mostra o escopo completo do ataque, como o ataque se espalhou pela rede ao longo do tempo, onde começou e até onde o invasor chegou.
No grafo de incidentes, a seleção de arquivos exibe a opção de exibir arquivos. Selecionar arquivos de exibição abre um painel no lado direito da tela listando arquivos afetados. Selecionar qualquer arquivo exibe uma visão geral dos detalhes do arquivo e a opção para analisar o arquivo. Selecionar Analisar abre a análise de arquivo do Copilot.
Resumir dispositivos e identidades
A funcionalidade de resumo do dispositivo do Copilot no Defender permite que as equipes de segurança obtenham a postura de segurança de um dispositivo, informações de software vulnerável e quaisquer comportamentos incomuns. Os analistas de segurança podem usar o resumo de um dispositivo para acelerar a investigação de incidentes e alertas.
Há muitas maneiras de acessar um resumo do dispositivo. Neste exemplo, você navega até o resumo do dispositivo por meio da página de ativos de incidente. Selecionar a guia ativos para um incidente exibe todos os ativos. No painel de navegação esquerdo, selecione Dispositivos e selecione um nome de dispositivo específico. Na página de visão geral que é aberta à direita há a opção de selecionar o Copilot.
Da mesma forma, o Copilot no Microsoft Defender XDR pode resumir identidades.
Mover para a experiência autônoma
Como analista usando o Microsoft Defender XDR, é provável que você gaste um bom tempo no Defender XDR, portanto, a experiência inserida é um ótimo lugar para iniciar uma investigação de segurança. Dependendo do que você aprender, poderá determinar que é necessária uma investigação mais profunda. Nesse cenário, você pode facilmente fazer a transição para a experiência autônoma para realizar uma investigação mais detalhada e cruzada de produtos que utilize todos os recursos do Copilot habilitados para sua função.
Para o conteúdo gerado por meio da experiência inserida, você pode fazer a transição facilmente para a experiência autônoma. Para ir para a experiência autônoma, selecione as reticências na janela de conteúdo gerada e escolha “Abrir no Copilot de Segurança”.
