Descrever a integração do Copilot com o Microsoft Defender XDR
O Microsoft Defender XDR integra-se com o Microsoft Security Copilot. A integração com o Security Copilot pode ser experimentada através das experiências autónomas e incorporadas.
A experiência independente
Para empresas que estão integradas ao Microsoft Security Copilot, a integração é habilitada por meio de plugins acessados através do portal Copilot (a experiência autônoma). Existem dois plugins separados que suportam a integração com o Microsoft Defender XDR:
- Microsoft Defender XDR
- Linguagem natural para KQL para Microsoft Defender XDR
Plug-in do Microsoft Defender XDR
O plug-in Microsoft Defender XDR inclui recursos que permitem aos usuários:
- Analise arquivos
- Gerar um relatório de incidente
- Gerar uma resposta guiada
- Listar incidentes e alertas relacionados
- Resumir o estado de segurança do dispositivo
- saiba mais...
Os recursos do Microsoft Defender XDR no Copilot são prompts internos que você pode usar, mas você também pode inserir seus próprios prompts com base nos recursos suportados.
O Copilot também inclui um promptbook interno para a investigação de incidentes do Microsoft Defender XDR que você pode usar para obter um relatório sobre um incidente específico, com alertas relacionados, pontuações de reputação, usuários e dispositivos.
Linguagem natural para o plugin KQL for Microsoft Defender
O plug-in de linguagem natural para KQL para Microsoft Defender permite a funcionalidade de assistente de consulta que converte qualquer pergunta de linguagem natural no contexto da caça a ameaças em uma consulta KQL (Kusto Query Language) pronta para ser executada. O assistente de consulta economiza tempo das equipes de segurança, gerando uma consulta KQL que pode ser executada automaticamente ou ajustada de acordo com as necessidades do analista.
A experiência incorporada
Com o plug-in ativado, a integração do Copilot com o Defender XDR também pode ser experimentada através da experiência incorporada, que é conhecida como Copilot no Microsoft Defender XDR.
O copiloto no Microsoft Defender XDR permite que as equipes de segurança investiguem e respondam a incidentes de forma rápida e eficiente, por meio do portal Microsoft Defender XDR. Copilot no Microsoft Defender XDR suporta os seguintes recursos.
- Resumir incidentes
- Respostas guiadas
- Análise de scripts
- Linguagem natural para consultas KQL
- Relatórios de incidentes
- Analise arquivos
- Resumos de dispositivos e identidades
Os usuários também podem alternar perfeitamente da experiência incorporada para a experiência autônoma.
Resumir incidentes
Para entender imediatamente um incidente, você pode usar o Copilot no Microsoft Defender XDR para resumir um incidente para você. O Copilot cria uma visão geral do ataque contendo informações essenciais para você entender o que aconteceu no ataque, quais ativos estão envolvidos, a linha do tempo do ataque e muito mais. O Copilot cria automaticamente um resumo quando você navega para a página de um incidente. Os incidentes que contenham até 100 alertas podem ser resumidos num resumo de incidente.
Respostas guiadas
O copiloto no Microsoft Defender XDR usa recursos de IA e aprendizado de máquina para contextualizar um incidente e aprender com investigações anteriores para gerar ações de resposta apropriadas, que são mostradas como respostas guiadas. A capacidade de resposta guiada do Copilot permite que as equipes de resposta a incidentes em todos os níveis apliquem com confiança e rapidez ações de resposta para resolver incidentes com facilidade.
As respostas orientadas recomendam ações nas seguintes categorias:
- Triagem - inclui uma recomendação para classificar incidentes como informativos, verdadeiros positivos ou falsos positivos
- Contenção - inclui ações recomendadas para conter um incidente
- Investigação - inclui ações recomendadas para uma investigação adicional
- Remediação – inclui ações de resposta recomendadas para aplicar a entidades específicas envolvidas num incidente
Cada cartão contém informações sobre a ação recomendada, incluindo por que a ação é recomendada, incidentes semelhantes e muito mais. Por exemplo, a ação Exibir incidentes semelhantes fica disponível quando há outros incidentes na organização semelhantes ao incidente atual. As equipes de resposta a incidentes também podem exibir informações do usuário para ações de correção, como redefinir senhas.
Nem todos os incidentes/alertas fornecem respostas guiadas. As respostas guiadas estão disponíveis para tipos de incidentes, como phishing, comprometimento de e-mail comercial e ransomware.
Analisar scripts e códigos
O recurso de análise de scripts do Copilot no Microsoft Defender XDR fornece às equipes de segurança capacidade adicional para inspecionar scripts e código sem usar ferramentas externas. Esta capacidade também reduz a complexidade da análise, minimizando os desafios e permitindo que as equipas de segurança avaliem e identifiquem rapidamente um script como malicioso ou benigno.
Há várias maneiras de acessar o recurso de análise de script. A imagem a seguir mostra a árvore de processos de um alerta que inclui a execução de um script do PowerShell. Selecionar o botão analisar gera a análise do script Copilot.
Gerar consultas KQL
O Copilot no Microsoft Defender XDR vem com um recurso de assistente de consulta em caça avançada.
Para acessar a linguagem natural para o assistente de consulta KQL, os usuários com acesso ao Copilot selecionam caça avançada no painel de navegação esquerdo do portal Defender XDR.
O Copilot fornece prompts que você pode usar para começar a caçar ameaças com o Copilot, ou você pode escrever sua própria pergunta em linguagem natural, na barra de prompts, para gerar uma consulta KQL. Por exemplo,"Dê-me todos os dispositivos que entraram nos últimos 10 minutos." Em seguida, o copiloto gera uma consulta KQL que corresponde à solicitação usando o esquema de dados de caça avançado.
O usuário pode então optar por executar a consulta selecionando Adicionar e executar. A consulta gerada aparece como a última consulta no editor de consultas. Para fazer mais ajustes, selecione Adicionar ao editor.
Criar relatórios de incidente
Um relatório de incidentes abrangente e claro é uma referência essencial para as equipas de segurança e a gestão de operações de segurança. No entanto, escrever um relatório abrangente com os detalhes importantes presentes pode ser uma tarefa demorada para as equipes de operações de segurança, pois envolve coletar, organizar e resumir informações de incidentes de várias fontes. As equipas de segurança podem agora criar instantaneamente um extenso relatório de incidentes no portal.
Enquanto um resumo de incidente fornece uma visão geral de um incidente e como ele aconteceu, um relatório de incidente consolida informações de incidentes de várias fontes de dados disponíveis no Microsoft Sentinel e no Microsoft Defender XDR. O relatório de incidentes também inclui todas as etapas orientadas por analistas e ações automatizadas, os analistas envolvidos na resposta, os comentários dos analistas e muito mais.
Para criar um relatório de incidente, o usuário seleciona Gerar relatório de incidente no canto superior direito da página de incidente ou o ícone no painel Copiloto. Depois que o relatório de incidente é gerado, selecionar as reticências no relatório de incidente apresenta ao usuário a opção de copiar o relatório para a área de transferência, postar em um registro de atividades, regenerar o relatório ou optar por abrir na experiência autônoma do Copilot.
Analise arquivos
Ataques sofisticados geralmente usam arquivos que imitam arquivos legítimos ou do sistema para evitar a deteção. O Copilot no Microsoft Defender XDR permite que as equipes de segurança identifiquem rapidamente arquivos maliciosos e suspeitos por meio de recursos de análise de arquivos alimentados por IA.
Há muitas maneiras de acessar a página de perfil detalhada de um arquivo específico. Neste exemplo, você navega até os arquivos através do gráfico de incidentes de um incidente com arquivos afetados. O gráfico de incidentes mostra o escopo completo do ataque, como o ataque se espalhou pela sua rede ao longo do tempo, onde começou e até onde o invasor foi.
No gráfico de incidentes, a seleção de arquivos exibe a opção de visualizar arquivos. Selecionar exibir arquivos abre um painel no lado direito da tela listando os arquivos afetados. A seleção de qualquer arquivo exibe uma visão geral dos detalhes do arquivo e a opção de analisá-lo. Selecionar Analisar abre a análise do arquivo Copilot.
Resumir dispositivos e identidades
O recurso de resumo de dispositivos do Copilot no Defender permite que as equipes de segurança obtenham a postura de segurança de um dispositivo, informações de software vulneráveis e quaisquer comportamentos incomuns. Os analistas de segurança podem usar o resumo de um dispositivo para acelerar a investigação de incidentes e alertas.
Há muitas maneiras de acessar um resumo do dispositivo. Neste exemplo, você navega até o resumo do dispositivo através da página de ativos de incidente. Selecionar a guia de ativos para um incidente exibe todos os ativos. No painel de navegação esquerdo, selecione Dispositivos e, em seguida, selecione um nome de dispositivo específico. Na página de visão geral que se abre à direita está a opção para selecionar Copilot.
Da mesma forma, o Copilot no Microsoft Defender XDR pode resumir identidades.
Mudar para a experiência Autónoma
Como analista que usa o Microsoft Defender XDR, é provável que você passe uma boa quantidade de tempo no Defender XDR, portanto, a experiência incorporada é um ótimo lugar para iniciar uma investigação de segurança. Dependendo do que você aprender, você pode determinar que uma investigação mais profunda é necessária. Nesse cenário, você pode facilmente fazer a transição para a experiência autônoma para buscar uma investigação mais detalhada e cruzada de produtos que traga todos os recursos do Copilot habilitados para sua função.
Para conteúdo gerado através da experiência incorporada, você pode facilmente fazer a transição para a experiência independente. Para passar para a experiência autônoma, selecione as reticências na janela de conteúdo gerado e escolha Abrir no Security Copilot.
