Descrizione di Copilot in Microsoft Defender XDR

  • 10 minuti

Microsoft Security Copilot è incorporato nel portale di Microsoft Defender per consentire ai team di sicurezza di analizzare e rispondere in modo rapido ed efficiente agli eventi imprevisti, cercare minacce e proteggere l'organizzazione con informazioni sulle minacce pertinenti.

Il breve video che segue mostra alcune delle funzionalità di Copilot incorporate in Microsoft Defender e come possono aiutare gli analisti della sicurezza ad essere più produttivi.

Nota

L'elenco delle funzionalità di Copilot incorporate in Microsoft Defender è in continua crescita. Questa unità fornisce solo un campionamento di alcune di queste funzionalità di Copilot. Per altre informazioni, vedere la documentazione su Microsoft Security Copilot in Microsoft Defender.

Esistono anche alcune opzioni comuni in tutte queste funzionalità, ad esempio la possibilità di fornire feedback sulle risposte alle richieste e passare facilmente all'esperienza autonoma.

Come descritto nell'unità introduttiva, nell'esperienza incorporata Copilot è in grado di richiamare direttamente le funzionalità specifiche del prodotto, offrendo efficienza di elaborazione. Per garantire l'accesso a queste funzionalità di Microsoft Security Copilot, è necessario abilitare il plug-in Microsoft Defender XDR e questa operazione viene eseguita tramite l'esperienza autonoma. Per altre informazioni, vedere Descrivere le funzionalità disponibili nell'esperienza autonoma di Microsoft Security Copilot.

Screenshot della finestra Gestisci plug-in che evidenzia il plug-in XDR di Microsoft Defender.

Riepilogare gli eventi imprevisti

Copilot crea automaticamente un riepilogo quando si passa alla pagina di un evento imprevisto, fornendo una panoramica dell'attacco contenente informazioni essenziali, tra cui ciò che si è verificato, quali asset sono coinvolti, la sequenza temporale dell'attacco, gli indicatori di compromissione (IOC) e i nomi degli attori delle minacce coinvolti. Gli eventi imprevisti contenenti fino a 100 avvisi possono essere riepilogati in un unico riepilogo degli eventi imprevisti.

Acquisizione schermo dell'esperienza incorporata di Security Copilot in Microsoft Defender XDR, che mostra un riepilogo dell'incidente.

Copilot suggerisce anche richieste di completamento su identità, dispositivi e indirizzi IP correlati per comprendere gli asset coinvolti e come agire.

Risposte guidate

Copilot usa l'intelligenza artificiale e l'apprendimento automatico per contestualizzare un evento imprevisto e apprendere dalle indagini precedenti per generare azioni di risposta appropriate. Le risposte guidate consigliano azioni nelle categorie seguenti:

  • Triage - include una raccomandazione per classificare gli incidenti come informativo, vero positivo o falso positivo.
  • Contenimento: include le azioni consigliate per contenere un evento imprevisto.
  • Indagine : include le azioni consigliate per ulteriori indagini.
  • Correzione : include le azioni di risposta consigliate da applicare a entità specifiche coinvolte in un evento imprevisto.

Acquisizione dello schermo che mostra le informazioni incluse in una risposta guidata.

Ogni scheda contiene informazioni sull'azione consigliata, incluso il motivo per cui è consigliata l'azione. Gli amministratori possono anche caricare linee guida di risposta specifiche dell'organizzazione per adattare le raccomandazioni al proprio ambiente. Le risposte guidate sono disponibili per i tipi di eventi imprevisti, come ad esempio phishing, compromissione della posta elettronica aziendale e ransomware.

Script e analisi della riga di comando

Gli attacchi sofisticati estraggono comunemente il rilevamento usando script offuscati e righe di comando. La funzionalità di analisi degli script e del codice consente ai team di sicurezza di esaminare script e codice senza usare strumenti esterni, valutando rapidamente se uno script è dannoso o benigno.

Cattura dello schermo che mostra l'opzione per analizzare uno script di PowerShell.

Copilot analizza lo script e visualizza i risultati in una scheda di analisi degli script, inclusa una spiegazione in linguaggio semplice di cosa fa lo script, se è dannoso e quali tecniche MITRE ATT&CK impiega. Gli utenti possono selezionare Mostra codice per visualizzare righe di codice specifiche correlate all'analisi. È possibile accedere all'analisi degli script nella sequenza temporale degli avvisi all'interno di un incidente, per una voce della sequenza temporale costituita da script o codice.

Screenshot che mostra le righe di codice relative all'analisi degli script.

Nota

Le funzioni di analisi degli script sono in continuo sviluppo. L'analisi di script in linguaggi diversi da PowerShell, batch e bash è in fase di valutazione.

Generare query KQL

Copilot in Microsoft Defender include una funzionalità di assistente per le query nella ricerca avanzata che converte domande in linguaggio naturale in query KQL pronte per l'esecuzione. Questa funzionalità riduce il tempo necessario per scrivere una query di ricerca da zero, consentendo ai cacciatori di minacce e agli analisti della sicurezza di concentrarsi sulla ricerca e sull'analisi delle minacce.

Cattura schermo che mostra la query KQL generata da una richiesta di linguaggio naturale.

Usando la barra dei prompt, gli analisti possono richiedere una query di ricerca delle minacce usando il linguaggio naturale, ad esempio "Dammi tutti i dispositivi che hanno eseguito l'accesso negli ultimi 10 minuti". La query generata può quindi essere eseguita automaticamente, aggiunta all'editor di query per ulteriori modifiche o copiata per l'uso altrove.

Creare report sugli incidenti

Copilot consente ai team di sicurezza di creare immediatamente un report completo sugli eventi imprevisti all'interno del portale. Mentre un riepilogo degli eventi imprevisti offre una panoramica di ciò che è accaduto, un report sugli eventi imprevisti consolida le informazioni sugli eventi imprevisti di varie origini dati disponibili in Microsoft Sentinel e Microsoft Defender XDR.

Il report sugli eventi imprevisti include timestamp per le azioni di gestione chiave, gli analisti coinvolti, la classificazione degli eventi imprevisti con commenti analista, indagini e azioni correttive (sia manuali che automatizzate, inclusi i playbook Microsoft Sentinel) e le azioni di completamento annotate dagli analisti.

Acquisizione schermo che mostra il report sugli incidenti generati e il menu a discesa delle opzioni disponibili selezionando i puntini di sospensione.

Analizzare i file

Copilot consente ai team di sicurezza di identificare rapidamente file dannosi e sospetti tramite funzionalità di analisi dei file basate sull'intelligenza artificiale. Quando un analista apre una pagina di file, Copilot può generare un riepilogo che include informazioni di rilevamento, certificati di file correlati, un elenco di chiamate API e stringhe presenti nel file. È possibile accedere ai file dalla scheda evidenza e risposta di un evento imprevisto, dal grafico degli eventi imprevisti o dalla funzionalità di ricerca.

Riepilogare dispositivi e identità

Copilot in Defender può generare riepiloghi per dispositivi e identità per aiutare i team di sicurezza a valutare rapidamente il comportamento di sicurezza durante un'indagine.

riepiloghi Device includono il comportamento di sicurezza del dispositivo con informazioni sullo stato delle funzionalità di protezione, ad esempio la riduzione della superficie di attacco e la protezione delle manomissioni, qualsiasi attività utente insolita, un elenco di software vulnerabile, impostazioni del firewall e informazioni pertinenti Microsoft Intune.

riepiloghi Identity offrono una panoramica contestuale di un'identità utente, tra cui data di creazione dell'account, livello di criticità, modifiche di ruolo e ruolo, comportamenti di accesso e modelli, metodi di autenticazione, rischi da Microsoft Entra ID e informazioni di contatto.

Intelligence sulle minacce

Copilot è incorporato nella sezione intelligence sulle minacce del portale di Microsoft Defender, consentendo ai team di sicurezza di prendere decisioni informate consolidando e riepilogando i dati di intelligence sulle minacce. È possibile chiedere Copilot di riepilogare le minacce rilevanti che influiscono sull'ambiente, assegnare priorità alle minacce in base ai livelli di esposizione dell'organizzazione o trovare attori di minacce destinati al settore. Copilot usa il plug-in Microsoft Defender Threat Intelligence per visualizzare riepiloghi di report di analisi delle minacce, profili intel e divulgazioni di vulnerabilità, tutto in linguaggio naturale.

Funzionalità comuni tra quelle principali

Esistono alcune opzioni comuni tra le funzionalità di Copilot per Microsoft Defender.

Fornire commenti e suggerimenti

Come per l'esperienza autonoma, l'esperienza incorporata offre agli utenti un meccanismo per fornire feedback sull'accuratezza della risposta generata dall'intelligenza artificiale. Per qualsiasi contenuto generato dall'intelligenza artificiale, è possibile selezionare la richiesta di feedback nella parte inferiore destra della finestra del contenuto e selezionare tra le opzioni disponibili.

Screenshot dell'icona di feedback per il contenuto generato dall'intelligenza artificiale e le tre opzioni. Le opzioni sono: confermato, sembra ottimo, fuori bersaglio, impreciso, potenzialmente dannoso, inappropriato.

Passare all'esperienza autonoma

Gli investigatori che iniziano nel portale di Defender possono passare facilmente a un'esperienza autonoma per un'indagine più dettagliata, che copre diversi prodotti e sfrutta tutte le funzionalità di Copilot abilitate per il loro ruolo. Per passare all'esperienza autonoma, selezionare i puntini di sospensione nella finestra del contenuto generato, quindi scegliere Apri in Security Copilot.

Acquisizione dello schermo che mostra l'opzione per aprire in Security Copilot, disponibile selezionando i puntini di sospensione nella finestra contenuto generato dall'intelligenza artificiale.