Descreva o Copilot no Microsoft Defender XDR

  • 10 minutos

O Microsoft Security Copilot está integrado no portal Microsoft Defender para permitir que as equipas de segurança investiguem e respondam rápida e eficientemente a incidentes, procurem ameaças e protejam a sua organização com informações relevantes sobre ameaças.

O breve vídeo a seguir mostra alguns dos recursos do Copilot incorporados no Microsoft Defender e como eles podem ajudar os analistas de segurança a serem mais produtivos.

Nota

A lista de capacidades do Copilot incorporadas no Microsoft Defender está a crescer continuamente. Esta unidade fornece apenas uma amostra de algumas dessas capacidades do Copilot. Para mais informações, consulte a documentação sobre o Microsoft Security Copilot no Microsoft Defender.

Há também algumas opções que são comuns em todas estas funcionalidades, incluindo a capacidade de fornecer feedback sobre respostas às solicitações e transitar de forma fluida para a experiência independente.

Conforme descrito na unidade de introdução, na experiência incorporada, o Copilot é capaz de invocar os recursos específicos do produto diretamente, proporcionando eficiência de processamento. Para garantir o acesso a estas funcionalidades do Microsoft Security Copilot, o plugin Microsoft Defender XDR precisa de ser ativado, o que é feito através da experiência autónoma. Para saber mais, consulte Descrever os recursos disponíveis na experiência autônoma do Microsoft Security Copilot.

Captura de tela da janela Gerenciar plug-ins que destaca o plug-in Microsoft Defender XDR.

Resumir incidentes

O Copilot cria automaticamente um resumo quando navega até à página de um incidente, fornecendo uma visão geral do ataque contendo informações essenciais, incluindo o que aconteceu, que ativos estão envolvidos, a linha temporal do ataque, indicadores de compromisso (IOCs) e os nomes dos intervenientes envolvidos. Os incidentes que contenham até 100 alertas podem ser resumidos num resumo de incidente.

Captura de tela da experiência incorporada do Security Copilot no Microsoft Defender XDR, mostrando um resumo do incidente.

O Copilot também sugere sugestões de seguimento sobre identidades, dispositivos e endereços IP relacionados, para o ajudar a compreender os recursos envolvidos e como agir.

Respostas guiadas

O Copilot utiliza IA e aprendizagem automática para contextualizar um incidente e aprender com investigações anteriores para gerar ações de resposta adequadas. As respostas orientadas recomendam ações nas seguintes categorias:

  • Triagem - inclui uma recomendação para classificar incidentes como informativos, verdadeiros positivos ou falsos positivos.
  • Contenção - inclui ações recomendadas para a contenção de um incidente.
  • Investigação - inclui ações recomendadas para investigação adicional.
  • Remediação - inclui ações de resposta recomendadas para aplicar a entidades específicas envolvidas num incidente.

Captura de tela mostrando as informações incluídas em uma resposta guiada.

Cada carta contém informações sobre a ação recomendada, incluindo o motivo pelo qual a ação é recomendada. Os administradores também podem carregar diretrizes de resposta específicas da organização para adaptar as recomendações ao respetivo ambiente. As respostas guiadas estão disponíveis para tipos de incidentes, como phishing, comprometimento de e-mail comercial e ransomware.

Análise de script e linha de comandos

Ataques sofisticados evitam frequentemente a deteção através do uso de scripts e linhas de comando ofuscadas. A capacidade de análise de scripts permite às equipas de segurança inspecionar scripts e código sem recorrer a ferramentas externas, avaliando rapidamente se um script é malicioso ou benigno.

Captura de tela mostrando a opção para analisar um script do PowerShell.

O Copilot analisa o script e apresenta os resultados num cartão de análise de script, incluindo uma explicação em linguagem simples sobre o que o script faz, se é malicioso e quais técnicas MITRE ATT&CK utiliza. Os utilizadores podem selecionar Mostrar código para ver linhas específicas de código relacionadas com a análise. Pode aceder à análise de scripts na linha temporal de alertas dentro de um incidente, para uma entrada de linha temporal composta por script ou código.

Captura de tela mostrando as linhas de código relacionadas à análise de script.

Nota

As funções de análise de scripts estão em constante desenvolvimento. A análise de scripts em linguagens diferentes de PowerShell, batch e bash está a ser avaliada.

Gerar consultas KQL

O Copilot no Microsoft Defender inclui uma funcionalidade de assistente de consultas em caça avançada que converte perguntas em linguagem natural em consultas KQL prontas a executar. Esta funcionalidade reduz o tempo necessário para escrever uma consulta de caça do zero, permitindo que caçadores de ameaças e analistas de segurança se concentrem na caça e investigação de ameaças.

Captura de tela mostrando a consulta KQL gerada a partir de uma solicitação de linguagem natural.

Usando a barra de prompts, os analistas podem pedir uma consulta de caça a ameaças usando linguagem natural, como "Dê-me todos os dispositivos que iniciaram sessão nos últimos 10 minutos." A consulta gerada pode então ser executada automaticamente, adicionada ao editor de consultas para ajustes adicionais, ou copiada para uso noutro local.

Criar relatórios de incidente

O Copilot permite às equipas de segurança criar instantaneamente um relatório de incidente extenso dentro do portal. Enquanto um resumo de incidentes fornece uma visão geral do que aconteceu, um relatório de incidente consolida informações de incidentes de várias fontes de dados disponíveis no Microsoft Sentinel e Microsoft Defender XDR.

O relatório de incidente inclui carimbos temporais para as principais ações de gestão, os analistas envolvidos, a classificação do incidente com comentários dos analistas, ações de investigação e remediação (tanto manuais como automáticas, incluindo os playbooks do Microsoft Sentinel), e ações de seguimento apontadas pelos analistas.

Captura de tela mostrando o relatório de incidente gerado e o menu suspenso de opções disponíveis selecionando as reticências.

Analise arquivos

O Copilot permite às equipas de segurança identificar rapidamente ficheiros maliciosos e suspeitos através de capacidades de análise de ficheiros impulsionadas por IA. Quando um analista abre uma página de ficheiro, o Copilot pode gerar um resumo que inclui informações de deteção, certificados de ficheiros relacionados, uma lista de chamadas API e strings encontradas no ficheiro. Os ficheiros podem ser acedidos a partir do separador de provas e respostas de um incidente, do gráfico do incidente ou da funcionalidade de pesquisa.

Resumir dispositivos e identidades

O Copilot no Defender pode gerar resumos de dispositivos e identidades para ajudar as equipas de segurança a avaliar rapidamente a sua postura de segurança durante uma investigação.

Resumos de dispositivos incluem a postura de segurança do dispositivo com informações sobre o estado das capacidades de proteção, como redução da superfície de ataque e proteção contra violações, qualquer atividade invulgar do utilizador, uma lista de software vulnerável, definições do firewall e informações relevantes de Microsoft Intune.

Resumos de identidade fornecem uma visão contextual da identidade de um utilizador, incluindo data de criação da conta, nível de criticidade, função e alterações de função, comportamentos e padrões de início de sessão, métodos de autenticação, riscos do Microsoft Entra ID e informações de contacto.

Informações sobre ameaças

O Copilot está integrado na secção de inteligência de ameaças do portal Microsoft Defender, ajudando as equipas de segurança a tomar decisões informadas ao consolidar e resumir dados de inteligência de ameaças. Pode pedir ao Copilot que resuma as ameaças relevantes que afetam o seu ambiente, priorize ameaças com base nos níveis de exposição da sua organização ou encontre atores que possam estar a visar o seu setor. O Copilot utiliza o plugin Informações sobre Ameaças do Microsoft Defender para apresentar resumos de relatórios de análise de ameaças, perfis de inteligência e divulgações de vulnerabilidades—tudo em linguagem natural.

Funcionalidade comum entre os principais recursos

Existem algumas opções comuns entre as funcionalidades do Copilot para Microsoft Defender.

Fornecer comentários

Tal como na experiência autónoma, a experiência embutida oferece aos utilizadores um mecanismo para fornecer feedback sobre a precisão da resposta gerada pela IA. Para qualquer conteúdo gerado por IA, pode selecionar o prompt de feedback no canto inferior direito da janela de conteúdo e selecionar entre as opções disponíveis.

Captura de tela do ícone de feedback para conteúdo gerado por IA e as três opções. As opções estão confirmadas, parece ótimo, fora do alvo, impreciso e potencialmente prejudicial, inadequado.

Passe para a experiência independente

Os investigadores que começam no portal do Defender podem facilmente transitar para a experiência autónoma para uma investigação mais detalhada e transversal ao produto, que utiliza todas as capacidades do Copilot disponíveis para o seu papel. Para passar para a experiência autónoma, selecione as reticências na janela de conteúdo gerado e escolha Abrir em Security Copilot.

Captura de ecrã mostrando a opção de abrir no Security Copilot, que está disponível ao selecionar os três pontos na janela de conteúdo gerado pela IA.