Resumir um incidente com o Microsoft Copilot no Microsoft Defender
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender plataforma do SOC (Centro unificado de operações de segurança)
Microsoft Defender XDR aplica os recursos de Copilot para Segurança para resumir incidentes, fornecendo informações e insights impactantes para simplificar tarefas de investigação. A investigação de ataques é uma etapa crucial para que as equipes de resposta a incidentes defendam com êxito uma organização contra danos adicionais de uma ameaça cibernética. Muitas vezes, as investigações podem ser demoradas, pois envolvem várias etapas. As equipes de resposta a incidentes precisam entender como o ataque aconteceu: classificar vários alertas, identificar quais ativos e entidades estão envolvidos e avaliar o escopo e o impacto de um ataque.
Os respondentes de incidentes podem facilmente obter o contexto certo para investigar e corrigir incidentes por meio das funcionalidades de correlação do Defender XDR e do processamento e contextualização de dados alimentados por IA da Copilot para Segurança. Com um resumo de incidentes, os respondentes podem obter informações importantes rapidamente para ajudar na investigação.
O recurso de resumo de incidentes está disponível no portal do Microsoft Defender por meio da licença Copilot para Segurança. Essa funcionalidade também está disponível no Copilot para Segurança experiência autônoma por meio do plug-in Microsoft Defender XDR.
Este guia descreve o que esperar e como acessar o recurso de resumo do Copilot no Defender, incluindo informações sobre como fornecer comentários.
Resumir um incidente
Incidentes que contêm até 100 alertas podem ser resumidos em um resumo de incidentes. Um resumo de incidentes, dependendo da disponibilidade dos dados, inclui o seguinte:
- A hora e a data em que um ataque foi iniciado.
- A entidade ou ativo em que o ataque foi iniciado.
- Um resumo das linhas do tempo de como o ataque se desdobrou.
- Os ativos envolvidos no ataque.
- Indicadores de comprometimento (IoCs).
- Nomes dos atores de ameaça envolvidos.
Para resumir um incidente, execute as seguintes etapas:
Abra uma página de incidentes. Copilot cria automaticamente um resumo de incidentes ao abrir a página. Você pode interromper a criação do resumo selecionando Cancelar ou reiniciar a criação selecionando Regenerar.
O resumo do incidente cartão carrega no painel Copilot. Examine o resumo gerado no cartão.
Dica
Você pode navegar até uma página de arquivo, IP ou URL no painel de resultados do Copilot clicando na evidência nos resultados.
Selecione as reticências Mais ações (...) na parte superior do resumo do incidente cartão para copiar ou regenerar o resumo ou exibir o resumo no portal Copilot para Segurança. Selecionar Abrir em Copilot para Segurança abre uma nova guia para o portal autônomo Copilot para Segurança em que você pode inserir prompts e acessar outros plug-ins.
Examine o resumo e use as informações para orientar sua investigação e resposta ao incidente. Você pode fornecer comentários sobre o resumo selecionando o ícone de comentários encontrados na parte inferior do painel Copilot.
Confira também
- Executar a análise de script
- Analisar arquivos
- Gerar resumo do dispositivo
- Usar respostas guiadas ao responder ameaças
- Gerar consultas KQL
- Criar relatórios de incidentes
- Introdução ao Microsoft Copilot para Segurança
- Saiba mais sobre outras experiências inseridas Copilot para Segurança
- Saiba mais sobre plug-ins pré-instalados no Copilot para Segurança
- Investigar incidentes em Microsoft Defender XDR
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de