Descrever o Copilot no Microsoft Defender XDR

Concluído

O Microsoft Security Copilot está inserido no Microsoft Defender XDR para permitir que as equipes de segurança investiguem e respondam a incidentes de forma rápida e eficiente. O Microsoft Copilot para Microsoft Defender XDR dá suporte aos seguintes recursos.

  • Resumir incidentes
  • Respostas guiadas
  • Análise de script
  • Idioma natural para consultas KQL
  • Relatórios de incidentes
  • Analisar os arquivos
  • Resumo do dispositivo

Há também algumas opções que são comuns em todos esses recursos, incluindo a capacidade de fornecer comentários sobre respostas à solicitação e passar diretamente para a experiência autônoma.

Conforme descrito na unidade de introdução, na experiência inserida, o Copilot é capaz de invocar os recursos específicos do produto diretamente, fornecendo eficiência de processamento. Dito isto, para garantir o acesso a esses recursos do Microsoft Security Copilot, o plug-in do Microsoft Defender XDR precisa ser habilitado e isso é feito por meio da experiência autônoma. Para saber mais, confira Descrever os recursos disponíveis na experiência autônoma do Microsoft Security Copilot.

Captura de tela da janela Gerenciar plug-ins que realça o plug-in do Microsoft Defender XDR.

Resumir incidentes

Para entender imediatamente um incidente, você pode usar o Microsoft Copilot no Microsoft Defender XDR para resumir um incidente para você. O Copilot cria uma visão geral do ataque contendo informações essenciais para você entender o que aconteceu no ataque, quais ativos estão envolvidos e a linha do tempo do ataque. O Copilot cria automaticamente um resumo quando você navega até a página de um incidente.

Captura de tela da experiência inserida do Security Copilot no Microsoft Defender XDR, mostrando um resumo de incidentes.

Incidentes que contêm até 100 alertas podem ser resumidos em um resumo de incidentes. Um resumo de incidentes, dependendo da disponibilidade dos dados, inclui o seguinte:

  • A hora e a data em que um ataque foi iniciado.
  • A entidade ou ativo em que o ataque foi iniciado.
  • Um resumo das linhas do tempo de como o ataque se desdobrou.
  • Os ativos envolvidos no ataque.
  • Indicadores de comprometimento (IOCs).
  • Nomes dos atores de ameaça envolvidos.

Respostas guiadas

O Copilot no Microsoft Defender XDR usa recursos de IA e aprendizado de máquina para contextualizar um incidente e aprender com investigações anteriores para gerar ações de resposta apropriadas, que são mostradas como respostas guiadas. A capacidade de resposta guiada do Copilot permite que as equipes de resposta a incidentes em todos os níveis apliquem ações de resposta com confiança e rapidez para resolver incidentes com facilidade.

As respostas guiadas recomendam ações nas seguintes categorias:

  • Triagem – inclui uma recomendação para classificar incidentes como informativos, verdadeiros positivos ou falsos positivos
  • Contenção – inclui ações recomendadas para conter um incidente
  • Investigação – inclui ações recomendadas para investigação adicional
  • Correção – inclui ações de resposta recomendadas para serem aplicadas a entidades específicas envolvidas em um incidente

Cada cartão contém informações sobre a ação recomendada, incluindo o motivo pelo qual a ação é recomendada, incidentes semelhantes e muito mais. Por exemplo, a ação Exibir incidentes semelhantes fica disponível quando há outros incidentes na organização que são semelhantes ao incidente atual. As equipes de resposta a incidentes também podem visualizar as informações do usuário para ações de correção, como redefinição de senhas.

Captura de tela mostrando as informações incluídas em uma resposta guiada.

Nem todos os incidentes/alertas fornecem respostas guiadas. As respostas guiadas estão disponíveis para tipos de incidentes, como phishing, comprometimento de email comercial e ransomware.

Analisar scripts e códigos

Ataques mais complexos e sofisticados, como ransomware, escaparam da detecção de várias maneiras, incluindo o uso de scripts e do PowerShell. Além disso, esses scripts geralmente são ofuscados, o que aumenta a complexidade da detecção e da análise. As equipes de operações de segurança precisam analisar rapidamente scripts e códigos para entender seus recursos e aplicar a mitigação adequada para que os ataques não avancem mais em uma rede.

O recurso de análise de scripts do Copilot no Microsoft Defender XDR fornece às equipes de segurança maior capacidade de inspecionar scripts e códigos sem usar ferramentas externas. Essa funcionalidade também reduz a complexidade da análise, minimizando os desafios e permitindo que as equipes de segurança avaliem e identifiquem rapidamente um script como mal-intencionado ou benigno.

Você pode acessar o recurso de análise de script na linha do tempo do alerta dentro de um incidente, para uma entrada de linha do tempo que consiste em script ou código. Na imagem a seguir, a linha do tempo mostra uma entrada do powershell.exe.

Observação

As funções de análise de script estão continuamente em desenvolvimento. A análise de scripts em linguagens diferentes do PowerShell, lote e bash está sendo avaliada.

Captura de tela mostrando a opção de analisar um script do PowerShell.

O Copilot analisa o script e exibe os resultados no cartão de análise de script. Os usuários podem selecionar Mostrar código para ver linhas específicas de código relacionadas à análise. Para ocultar o código, os usuários precisam apenas selecionar Ocultar código.

Captura de tela mostrando as linhas de código relacionadas à análise de script.

Gerar consultas KQL

O Copilot no Microsoft Defender XDR vem com um recurso de assistente de consulta na busca avançada.

Os buscadores de ameaças ou os analistas de segurança que ainda não estão familiarizados com o KQL ou que ainda não aprenderam a usá-lo podem fazer uma solicitação ou uma pergunta em linguagem natural (por exemplo, Obter todos os alertas envolvendo o administrador do usuário123). O Copilot então gera uma consulta KQL que corresponde à solicitação usando o esquema de dados de busca avançado.

Esse recurso reduz o tempo necessário para escrever uma consulta de busca do zero, para que os buscadores de ameaças e os analistas de segurança possam se concentrar na busca e na investigação de ameaças.

Para acessar a linguagem natural do assistente de consulta KQL, os usuários com acesso ao Copilot selecionam a busca avançada no painel de navegação esquerdo do portal do Defender XDR.

Captura de tela mostrando a tela do assistente de consulta do Copilot inserida no Defender XDR.

Usando a : barra de prompts, o usuário pode solicitar uma consulta de busca a ameaças, usando linguagem natural, como, por exemplo, "Forneça todos os dispositivos que entraram nos últimos 10 minutos".

Captura de tela mostrando a consulta KQL gerada a partir de uma solicitação de linguagem natural.

O usuário pode então optar por executar a consulta selecionando Adicionar e executar. A consulta gerada aparecerá como a última consulta no editor de consultas. Para fazer mais ajustes, selecione Adicionar ao editor.

A opção de executar a consulta gerada também pode ser definida automaticamente por meio do ícone de configurações.

Captura de tela mostrando a opção de executar a consulta gerada automaticamente.

Criar relatórios de incidentes

Um relatório de incidentes abrangente e claro é uma referência essencial para as equipes de segurança e para o gerenciamento de operações de segurança. No entanto, redigir um relatório abrangente com os detalhes importantes presentes pode ser uma tarefa demorada para as equipes de operações de segurança, pois envolve a coleta, a organização e o resumo de informações de incidentes de várias fontes. As equipes de segurança agora podem criar instantaneamente um extenso relatório de incidentes no portal.

Utilizando o processamento de dados da plataforma AI do Copilot, as equipes de segurança poderão criar relatórios de incidentes imediatamente com o clique de um botão no Microsoft Defender XDR.

Enquanto um resumo do incidente fornece uma visão geral de um incidente e como ele ocorreu, um relatório de incidentes consolida as informações de incidentes de várias fontes de dados disponíveis no Microsoft Sentinel e no Microsoft Defender XDR. O relatório de incidentes também inclui todas as etapas orientadas por analistas e ações automatizadas, os analistas envolvidos na resposta e os comentários dos analistas.

O Copilot cria um relatório de incidente com as informações a seguir:

  • Os registros de data e hora das principais ações de gerenciamento de incidentes, inclusive:
    • Criação e encerramento de incidentes
    • Primeiro e último registros, independentemente de o registro ter sido conduzido por analistas ou automatizado, capturados no incidente
  • Os analistas envolvidos na resposta a incidentes.
  • Classificação do incidente, incluindo comentários dos analistas sobre como o incidente foi avaliado e classificado.
  • Ações de investigação aplicadas pelos analistas e anotadas nos registros de incidentes
  • Ações de remediação realizadas, incluindo:
    • Ações manuais aplicadas por analistas e anotadas nos log de incidentes
    • Ações automatizadas aplicadas pelo sistema, incluindo os Guias Estratégicos do Microsoft Sentinel executados e as ações do Microsoft Defender XDR aplicadas
  • Ações de acompanhamento, como recomendações, problemas em aberto ou próximas etapas anotadas pelos analistas nos registros de incidentes.

Para criar um relatório de incidente, o usuário seleciona Gerar relatório de incidente no canto superior direito da página do incidente ou o ícone no painel do Copilot.

Captura de tela mostrando as duas opções para gerar um relatório de incidentes.

O relatório gerado depende das informações de incidentes disponíveis no Microsoft Defender XDR e no Microsoft Sentinel. Ao selecionar as elipses no cartão de relatório de incidentes, o usuário poderá copiar o relatório para a área de transferência, postar em um log de atividades, gerar novamente o relatório ou optar por abrir na experiência autônoma do Copilot.

Captura de tela mostrando o relatório de incidentes gerado e o menu suspenso de opções disponíveis selecionando as reticências.

Analisar arquivos

Ataques sofisticados geralmente usam arquivos que imitam arquivos legítimos ou do sistema para evitar serem detectados. O Copilot no Microsoft Defender XDR permite que as equipes de segurança identifiquem rapidamente arquivos mal-intencionados e suspeitos por meio de recursos de análise de arquivos da plataforma de IA.

Há várias maneiras de acessar a página de perfil detalhada de um arquivo específico. Por exemplo, você pode usar o recurso de pesquisa, selecionar arquivos da guia de evidência e resposta de um incidente ou usar o grafo de incidentes.

Neste exemplo, você navega até os arquivos por meio do grafo de incidentes de um incidente com arquivos afetados. O grafo de incidentes mostra o escopo completo do ataque, como o ataque se espalhou pela rede ao longo do tempo, onde começou e até onde o invasor chegou.

No grafo de incidentes, a seleção de arquivos exibe a opção de exibir arquivos. Selecionar arquivos de exibição abre um painel no lado direito da tela listando arquivos afetados. Selecionar qualquer arquivo exibe uma visão geral dos detalhes do arquivo e a opção para analisar o arquivo. Selecionar Analisar abre a análise de arquivo do Copilot.

Resumir dispositivos e identidades

A funcionalidade de resumo do dispositivo do Copilot no Defender permite que as equipes de segurança obtenham a postura de segurança de um dispositivo, informações de software vulnerável e quaisquer comportamentos incomuns. Os analistas de segurança podem usar o resumo de um dispositivo para acelerar a investigação de incidentes e alertas.

Há muitas maneiras de acessar um resumo do dispositivo. Neste exemplo, você navega até o resumo do dispositivo por meio da página de ativos de incidente. Selecionar a guia ativos para um incidente exibe todos os ativos. No painel de navegação esquerdo, selecione Dispositivos e selecione um nome de dispositivo específico. Na página de visão geral que é aberta à direita há a opção de selecionar o Copilot.

Da mesma forma, o Copilot no Microsoft Defender XDR pode resumir identidades.

Funcionalidade comum entre os principais recursos

Há algumas opções que são comuns entre os recursos do Copilot para Microsoft Defender XDR.

Enviando comentários

Assim como na experiência autônoma, a experiência inserida oferece aos usuários um mecanismo para fornecer comentários sobre a precisão da resposta gerada pela IA. Para qualquer conteúdo gerado por IA, você pode selecionar o prompt de comentários no canto inferior direito da janela de conteúdo e escolher entre as opções disponíveis.

Captura de tela do ícone de comentários para o conteúdo gerado por IA e as três opções. As opções são confirmadas, parece ótimo, fora do alvo, impreciso e potencialmente prejudicial, inadequado.

Mover para a experiência autônoma

Como analista usando o Microsoft Defender XDR, é provável que você gaste um bom tempo no Defender XDR, portanto, a experiência inserida é um ótimo lugar para iniciar uma investigação de segurança. Dependendo do que você aprender, poderá determinar que é necessária uma investigação mais profunda. Nesse cenário, você pode facilmente fazer a transição para a experiência autônoma para realizar uma investigação mais detalhada e cruzada de produtos que utilize todos os recursos do Copilot habilitados para sua função.

Para o conteúdo gerado por meio da experiência inserida, você pode fazer a transição facilmente para a experiência autônoma. Para ir para a experiência autônoma, selecione as reticências na janela de conteúdo gerada e escolha “Abrir no Copilot de Segurança”.

Captura de tela mostrando a opção de abrir no Security Copilot, que está disponível selecionando as reticências na janela de conteúdo gerado pela IA.