Microsoft Security Copilot no Informações sobre Ameaças do Microsoft Defender
Importante
A 30 de junho de 2024, o portal autónomo do Informações sobre Ameaças do Microsoft Defender (Defender TI) foihttps://ti.defender.microsoft.com descontinuado e já não está acessível. Os clientes podem continuar a utilizar o Defender TI no portal do Microsoft Defender ou com Microsoft Security Copilot.
Saiba mais
Microsoft Security Copilot é uma plataforma de IA baseada na cloud que proporciona uma experiência de copilot de linguagem natural. Pode ajudar a apoiar profissionais de segurança em diferentes cenários, como resposta a incidentes, investigação de ameaças e recolha de informações. Para obter mais informações sobre o que pode fazer, leia O que é Microsoft Security Copilot?.
Security Copilot os clientes ganham para cada um dos utilizadores autenticados da Copilot acesso ao Informações sobre Ameaças do Microsoft Defender (Defender TI). Para garantir que tem acesso à Copilot, veja as informações de compra e licenciamento Security Copilot.
Assim que tiver acesso ao Security Copilot, as principais funcionalidades abordadas neste artigo tornam-se acessíveis no portal do Security Copilot ou no portal do Microsoft Defender.
Saiba antes de começar
Se não estiver familiarizado com Security Copilot, deve familiarizar-se com o mesmo ao ler estes artigos:
- O que é Microsoft Security Copilot?
- experiências de Microsoft Security Copilot
- Introdução ao Microsoft Security Copilot
- Compreender a autenticação no Microsoft Security Copilot
- Pedido em Microsoft Security Copilot
integração do Security Copilot no Defender TI
Security Copilot fornece informações sobre atores de ameaças, indicadores de compromisso (IOCs), ferramentas e vulnerabilidades, bem como informações contextuais sobre ameaças do Defender TI. Pode utilizar os pedidos e os pedidobooks para investigar incidentes, enriquecer os fluxos de investigação com informações sobre informações sobre ameaças ou obter mais conhecimentos sobre o panorama das ameaças globais ou da sua organização.
Seja claro e específico com as suas instruções. Poderá obter melhores resultados se incluir nomes específicos de atores de ameaças ou IOCs nos seus pedidos. Também pode ajudar se adicionar informações sobre ameaças ao seu pedido, por exemplo:
- Mostre-me dados de informações sobre ameaças para a Aqua Blizzard.
- Resumir os dados de inteligência contra ameaças para "malicious.com".
Seja específico ao fazer referência a um incidente (por exemplo, "incidente ID 15324").
Experimente diferentes pedidos e variações para ver o que funciona melhor para o seu caso de utilização. Os modelos de IA de chat variam, pelo que deve iterar e aperfeiçoar os seus avisos com base nos resultados que recebe.
O Copilot guarda as suas sessões de pedidos. Para ver as sessões anteriores, no menu Security Copilot Base, aceda a As minhas sessões.
Nota
Para obter instruções sobre o Copilot, incluindo a funcionalidade afixar e partilhar, leia Navegar Microsoft Security Copilot.
Saiba mais sobre como criar pedidos eficazes
Funcionalidades principais
Security Copilot permite que as equipas de segurança compreendam, priorizem e tomem medidas sobre informações sobre ameaças imediatamente.
Pode perguntar sobre um agente de ameaça, uma campanha de ataque ou qualquer outra inteligência contra ameaças sobre a qual queira saber mais, e o Copilot gera respostas com base em relatórios de análise de ameaças, perfis e artigos de inteligência e outros conteúdos do Defender TI.
Também pode selecionar qualquer um dos pedidos incorporados que estão disponíveis no portal do Defender para efetuar as seguintes ações:
- Resuma as ameaças mais recentes relacionadas com a sua organização
- Priorizar as ameaças em que se deve concentrar com base no nível de exposição mais elevado do seu ambiente a estas ameaças
- Perguntar sobre os atores de ameaças direcionados para a indústria da infraestrutura de comunicações
Saiba mais sobre como utilizar o Copilot no Defender para obter informações sobre ameaças
Ativar a integração do Security Copilot no Defender TI
Aceda a Microsoft Security Copilot e inicie sessão com as suas credenciais.
Certifique-se de que o plug-in do Microsoft Threat Intelligence está ativado. Na barra de pedido, selecione o ícone Fontes
.
Na janela de pop-up Gerir origens apresentada, em Plug-ins, confirme que o botão de alternar Informações sobre Ameaças da Microsoft está ativado e, em seguida, feche a janela.
Nota
Algumas funções podem ativar ou desativar o seletor para plug-ins como o Microsoft Threat Intelligence. Para obter mais informações, leia Gerir plug-ins no Microsoft Security Copilot.
Introduza a sua mensagem na barra de mensagens.
Características do sistema incorporadas
Security Copilot tem funcionalidades de sistema incorporadas que podem obter dados dos diferentes plug-ins que estão ativados.
Para ver a lista de capacidades de sistema incorporadas para o Defender TI:
Na barra de pedidos, selecione o ícone pedidos
.
Selecionar Ver todas as capacidades do sistema. A secção Informações sobre Ameaças da Microsoft lista todas as capacidades disponíveis para o Defender TI que pode utilizar.
O Copilot também tem os seguintes livros de apoio que também fornecem informações da Defender TI:
- Verificar o impacto de um artigo sobre ameaças externas – analisa um artigo externo ou de terceiros (ou seja, não publicado no Defender TI) para extrair IOCs relacionados, resumir as informações e gerar consultas de investigação para que possa avaliar o impacto potencial da ameaça comunicada no artigo à sua organização.
- Perfil de ator de ameaças – gera um relatório que cria perfis para um ator de ameaças conhecido, incluindo sugestões para se defender das suas ferramentas e táticas comuns.
- Relatório do Threat Intelligence 360 baseado no artigo MDTI – analisa um artigo do Defender TI para extrair IOCs relacionados, resumir as informações e gerar consultas de investigação para que possa avaliar o impacto potencial da ameaça comunicada no artigo à sua organização.
- Avaliação do impacto de vulnerabilidades – gera um relatório que resume a inteligência de uma vulnerabilidade conhecida, incluindo passos sobre como resolvê-la.
Para ver estes livros de sugestões, na barra de sugestões, selecione o ícone Pedidos e, em seguida, selecione Ver todos os livros de pedidos.
Pedidos de TI do Defender de Exemplo
Pode utilizar vários avisos para obter informações do Defender TI. Esta secção apresenta algumas ideias e exemplos.
Informações gerais sobre tendências de inteligência contra ameaças
Obtenha informações sobre ameaças a partir de artigos sobre ameaças e agentes de ameaças.
Exemplos de pedidos :
- Resumir as informações recentes sobre ameaças.
- Mostrem-me os artigos mais recentes sobre ameaças.
- Obter artigos sobre ameaças relacionadas com ransomware nos últimos seis meses.
Mapeamento de atores de ameaças e infra-estruturas
Obter informações sobre agentes de ameaças e as táticas, técnicas e procedimentos (TTPs), estados patrocinados, indústrias e IOCs a eles associados.
Exemplos de avisos:
- Conte-me mais sobre o Silk Typhoon.
- Partilhar os COI associados ao Silk Typhoon.
- Partilhar as TTP associadas ao Silk Typhoon.
- Partilhar os atores de ameaças associados à Rússia.
Dados de vulnerabilidade por CVE
Obtenha informações contextuais e informações sobre ameaças sobre Vulnerabilidades e Exposições Comuns (CVEs), que derivam de artigos do Defender TI, relatórios de análise de ameaças e dados de Gestão de vulnerabilidades do Microsoft Defender e Gestão da superfície de ataques externos do Microsoft Defender.
Exemplos de avisos:
- Partilhe as tecnologias que são suscetíveis à vulnerabilidade CVE-2021-44228.
- Resumir a vulnerabilidade CVE-2021-44228.
- Mostra-me os últimos CVEs.
- Mostre-me os atores de ameaças associados ao CVE-2021-44228.
- Mostre-me os artigos sobre ameaças associados ao CVE-2021-44228.
Dados de indicador em relação às informações sobre ameaças
Obtenha informações detalhadas sobre um indicador (por exemplo, endereços IP, domínios e hashes de ficheiros) com base nos vários conjuntos de dados disponíveis no Defender TI, incluindo classificações de reputação, informações whois, sistema de nomes de domínio (DNS), pares de anfitriões e certificados.
Exemplos de avisos:
- O que me pode dizer sobre o nome> de domínio<?
- Mostrar indicadores relacionados com o <nome> de domínio.
- Mostrar-me todas as resoluções para <o nome> de domínio.
- Mostrar pares de anfitriões relacionados com o <nome> de domínio.
- Mostrar-me a reputação do <nome do anfitrião>.
- Mostrar-me todas as resoluções para o endereço IP do endereço<> IP.
- Mostre-me os serviços abertos no <endereço> IP.
Fornecer comentários
O seu feedback sobre a integração do Defender TI no Security Copilot ajuda no desenvolvimento. Para fornecer feedback, em Copilot, selecione Como está esta resposta? Na parte inferior de cada pedido concluído e escolha qualquer uma das seguintes opções:
- Parece correto - Selecione este botão se os resultados forem exatos, com base na sua avaliação.
- Precisa de ser melhorado - Selecione este botão se algum detalhe dos resultados estiver incorreto ou incompleto, com base na sua avaliação.
- Inapropriado - Selecione este botão se os resultados contiverem informações questionáveis, ambíguas ou potencialmente prejudiciais.
Para cada botão de feedback, pode fornecer mais informações na caixa de diálogo seguinte que aparece. Sempre que possível, e quando o resultado for Necessidades de melhoria, escreva algumas palavras explicando o que pode ser feito para melhorar o resultado. Se introduziu pedidos específicos do Defender TI e os resultados não estão relacionados, inclua essa informação.
Privacidade e segurança de dados no Security Copilot
Quando interage com Security Copilot para obter dados do Defender TI, o Copilot obtém esses dados do Defender TI. Os avisos, os dados recuperados e a saída apresentada nos resultados dos avisos são processados e armazenados no serviço Copilot. Saiba mais sobre privacidade e segurança de dados no Microsoft Security Copilot