Microsoft Security Copilot et conversation dans Microsoft Defender

Prise en main

Pour ouvrir l’expérience de conversation Defender où que vous soyez dans le portail Defender, sélectionnez le bouton Copilot dans la barre de navigation supérieure. Le panneau de conversation s’ouvre sur le côté droit de l’écran et reste dans le contexte pendant que vous continuez à travailler. Un écran d’accueil s’affiche avec un message d’accueil et un champ d’entrée prêt pour votre première question.

Pour fermer le panneau, sélectionnez Fermer dans l’en-tête ou sélectionnez à nouveau le bouton Copilot. Votre conversation est conservée et vous pouvez rouvrir le panneau et reprendre là où vous vous étiez arrêté.

Reconnaissance du contexte de page

Defender Chat répond en fonction de la page que vous affichez actuellement dans le portail Defender et peut répondre aux questions en fonction de ce contexte.

Si vous posez une question telle que « Quels utilisateurs sont impliqués dans cet incident ? », la conversation comprend l’incident, l’alerte, l’appareil ou l’entité auquel vous faites référence en fonction de votre page active sans avoir à fournir d’ID ou de noms.

Fonctionnalités de conversation de conversation

Conversations interactives

La conversation mémorise le contexte complet de votre conversation, de sorte que vous pouvez poser des questions de suivi naturellement. Par exemple, vous pouvez commencer par Afficher les incidents de gravité élevée de la semaine dernière, puis suivre avec En savoir plus sur le premier, et la conversation comprend ce que vous voulez dire.

Plans pas à pas

Pour les demandes complexes ou à plusieurs étapes, la conversation peut d’abord présenter un plan proposé décrivant les étapes qu’il envisage d’effectuer. Vous pouvez approuver ou rejeter le plan avant d’effectuer des actions. Cela vous permet de garder le contrôle, en particulier pour les investigations qui nécessitent plusieurs recherches de données.

Par exemple : si vous demandez à Examiner l’incident 12345 et que vous résumez les principales conclusions, la conversation peut proposer le plan suivant :

1. Récupérer les détails de l’incident
2. Récupérer les alertes associées
3. Collecter des preuves et des entités impactées
4. Résumer les résultats

Une fois que vous avez approuvé le plan, la conversation exécute chaque étape et affiche sa progression en temps réel.

Clarification des questions

Si votre demande est ambiguë, la conversation peut poser une question de clarification et proposer des options de sélection rapide (jusqu’à quatre suggestions) pour vous aider à obtenir la bonne réponse plus rapidement. Sélectionnez une option ou tapez votre propre réponse.

Historique des conversations

Vos conversations sont enregistrées automatiquement. Utilisez le panneau Conversations sur le côté gauche de la conversation pour :

• Reprendre une conversation précédente
• Démarrer une nouvelle session
• Supprimer une conversation
• Effacer toutes les conversations

Utilisation des réponses

Les réponses sont mises en forme avec des tableaux structurés, des puces et des en-têtes de section pour plus de lisibilité. Vous pouvez :

• Copier une réponse : sélectionnez l’icône de copie sur n’importe quel message pour le copier dans le Presse-papiers
• Exporter des tables : sélectionnez Exporter sur n’importe quelle table pour l’exporter vers Excel pour une analyse plus approfondie
• Arrêter la génération : sélectionnez Arrêter pour interrompre une réponse qui prend trop de temps ou qui se dirige dans la mauvaise direction
• Nouvelle tentative : en cas de problème, sélectionnez Réessayer pour réessayer la réponse.

Principales fonctionnalités

• Fonctionnalité de conversation incorporée permettant la conversation et le pilotage
• Réponses contextuelles sur les incidents, les alertes, les identités, les appareils, les adresses IP et les preuves
• Questions de suivi pour clarification

Examiner et répondre aux incidents comme un expert

Ces outils d’IA permettent aux équipes de sécurité de s’attaquer aux enquêtes sur les attaques en temps voulu avec facilité et précision. Ils peuvent comprendre immédiatement les attaques, analyser rapidement les fichiers et scripts suspects, et rapidement évaluer et appliquer les mesures d’atténuation appropriées pour arrêter et contenir les attaques.

Résumer rapidement les incidents

L’examen des incidents avec plusieurs alertes peut être une tâche ardue. Pour comprendre immédiatement un incident, vous pouvez demander à Copilot de résumer un incident pour vous. Copilot crée une vue d’ensemble de l’attaque. La vue d’ensemble contient des informations essentielles pour vous permettre de comprendre ce qui s’est passé dans l’attaque, les ressources impliquées et les chronologie de l’attaque. Copilot crée automatiquement un résumé lorsque vous ouvrez une page d’incident. Il vous aide également à comprendre les ressources impliquées et comment agir en suggérant des invites sur les identités, appareils, adresses IP, etc. associés.

Prendre des mesures sur les incidents par le biais de réponses guidées

La résolution des incidents nécessite que les analystes comprennent une attaque pour savoir quelles solutions sont appropriées. Copilot recommande des solutions via réponses guidées spécifiques à chaque incident.

Exécutez facilement l’analyse des scripts

La plupart des attaquants s’appuient sur des logiciels malveillants sophistiqués lors du lancement d’attaques pour éviter la détection et l’analyse. Ce programme malveillant est généralement masqué et peut être sous la forme de scripts ou de lignes de commande dans PowerShell. Copilot peut rapidement analyser les scripts, ce qui réduit le temps d’investigation.

Générer des résumés d'appareils

L’examen des appareils impliqués dans les incidents peut être compliqué. Pour évaluer rapidement un appareil, Copilot peut résumer les informations d’un appareil, notamment la posture de sécurité de l’appareil, tous les comportements inhabituels, une liste de logiciels vulnérables et des informations Microsoft Intune pertinentes.

Analyser les fichiers rapidement

Copilot aide les équipes de sécurité à évaluer et à comprendre rapidement les fichiers suspects grâce à l'analyse des fichiers. Copilot fournit le résumé d’un fichier, notamment des informations de détection, des certificats de fichier associés, une liste d’appels d’API et des chaînes trouvées dans le fichier.

Examiner immédiatement les identités

Évaluez rapidement le risque d’un utilisateur en générant un résumé d’identité avec Copilot. Identifiez quand une identité est à risque ou suspecte à l’aide d’informations contextuelles sur les changements de rôle et de rôle d’un utilisateur, les comportements de connexion, les appareils connectés et les informations de contact pertinentes.

Écrire des rapports d’incident efficacement

Les équipes des opérations de sécurité écrivent généralement des rapports pour enregistrer des informations importantes. Ces rapports incluent les mesures de réponse prises, leurs résultats, les membres de l’équipe impliqués et d’autres informations pour faciliter les décisions futures en matière de sécurité. La documentation des incidents peut prendre beaucoup de temps, car un rapport d’incident efficace doit contenir le résumé de l’incident, les actions entreprises et les personnes qui ont pris les mesures et quand. Copilot génère un rapport d’incident en consolidant le résumé de l’incident, les actions de réponse et l’implication de l’équipe.

Chassez comme un professionnel

Copilot dans Defender aide les équipes de sécurité à rechercher de manière proactive les menaces dans leur réseau en créant rapidement des requêtes KQL appropriées.

Les équipes de sécurité qui utilisent la chasse avancée peuvent désormais utiliser une assistant de requête qui convertit les questions en langage naturel en requêtes KQL prêtes à être exécutées. La requête assistant permet de gagner du temps en générant une requête KQL qui peut être exécutée immédiatement ou modifiée en fonction des besoins de l’analyste. En savoir plus sur les assistant de requête.

Protégez votre organisation avec des renseignements pertinents sur les menaces

Donnez à votre organisation de sécurité les moyens de prendre des décisions éclairées avec les dernières informations sur les menaces. Copilot consolide et résume les renseignements sur les menaces pour aider les équipes de sécurité à hiérarchiser et à répondre efficacement aux menaces.

Surveiller les renseignements sur les menaces

Demandez à Copilot de résumer les menaces pertinentes qui affectent votre environnement, de hiérarchiser la résolution des menaces en fonction de vos niveaux d’exposition ou de trouver des acteurs de menace susceptibles de cibler votre secteur d’activité. En savoir plus sur Security Copilot dans le renseignement sur les menaces.

Accéder à Copilot dans Defender

Pour vous assurer que vous avez accès à Copilot dans Defender, consultez les informations Security Copilot d’achat et de licence. Une fois que vous avez accès à Security Copilot, les fonctionnalités clés deviennent disponibles dans le portail Microsoft Defender.

Exemples d’invites dans Copilot

Dans le portail Microsoft Defender, vous trouverez des exemples d’invites pour vous aider à naviguer et à utiliser certaines fonctionnalités de Copilot. Les invites sont conçues pour vous aider à comprendre ces fonctionnalités et à les utiliser efficacement. Voici quelques exemples d’invites que vous pouvez voir dans le portail :

Invites de repérage avancées :

Informations sur les menaces :

Vous pouvez étendre votre investigation dans le portail autonome Security Copilot à l’aide d’invites en langage naturel. Voici des exemples d’invites que vous pouvez taper dans la barre d’invite pour vous aider à résumer un incident avec des recommandations :

• Tapez Résumer l’incident {numéro d’incident} et terminez par un ensemble de recommandations pour générer le résumé de l’incident et les recommandations.
• Tapez Que pouvez-vous me dire sur la réputation des indicateurs dans le script ? Sont-ils malveillants ? Si oui, pourquoi ? pour analyser le script et générer des détails sur le script.

L’invite dans Copilot vous permet de naviguer et d’utiliser efficacement les fonctionnalités. Vous pouvez également utiliser la barre d’invite pour générer des requêtes KQL, résumer les incidents et analyser des fichiers. Consultez les conseils pour une invite efficace. Vous pouvez également utiliser des guides d’invite prédéfinis pour commencer à utiliser Copilot. Pour plus d’informations, consultez Utiliser des promptbooks prédéfinis dans Copilot.