Microsoft Security Copilot e Conversar no Microsoft Defender

Introdução

Para abrir a experiência de chat do Defender em qualquer lugar no portal do Defender, selecione o botão Copilot na barra de navegação superior. Os diapositivos do painel de chat são abertos no lado direito do ecrã e permanecem em contexto enquanto continua a trabalhar. É apresentado um ecrã de boas-vindas com uma saudação e um campo de entrada pronto para a sua primeira pergunta.

Para fechar o painel, selecione Fechar no cabeçalho ou selecione novamente o botão Copilot. A sua conversação é preservada e pode reabrir o painel e retomar o local onde ficou.

Deteção do contexto de página

O Chat do Defender responde com base na página que está atualmente a ver no portal do Defender e pode responder a perguntas com base nesse contexto.

Se fizer uma pergunta como "Que utilizadores estão envolvidos neste incidente?", o chat compreende a que incidente, alerta, dispositivo ou entidade se está a referir com base na sua página atual sem ter de fornecer IDs ou nomes.

Capacidades de conversação de chat

Conversações interativas

O chat lembra-se do contexto completo da sua conversa, para que possa fazer perguntas de seguimento naturalmente. Por exemplo, pode começar por Mostrar-me incidentes de alta gravidade da semana passada e, em seguida, dar-me mais informações sobre o primeiro e a conversa compreender o que quer dizer.

Planos passo a passo

Para pedidos complexos ou de vários passos, o chat pode apresentar primeiro um plano proposto que descreve os passos que pretende seguir. Pode Aprovar ou Rejeitar o plano antes de quaisquer ações serem executadas. Isto mantém-no no controlo, especialmente para investigações que requerem múltiplas pesquisas de dados.

Por exemplo: se perguntar Investigar incidente 12345 e resumir as principais conclusões, o chat poderá propor o seguinte plano:

1. Obter detalhes do incidente
2. Obter alertas associados
3. Recolher provas e entidades afetadas
4. Resumir conclusões

Depois de aprovar o plano, o chat executa cada passo e mostra o respetivo progresso em tempo real.

Perguntas mais esclarecedoras

Se o seu pedido for ambíguo, o chat pode fazer uma pergunta esclarecedora e oferecer opções de seleção rápida (até quatro sugestões) para o ajudar a obter a resposta certa mais rapidamente. Selecione uma opção ou escreva a sua própria resposta.

Histórico de conversas

As suas conversações são guardadas automaticamente. Utilize o painel Conversações no lado esquerdo da conversa para:

• Retomar uma conversação anterior
• Iniciar uma nova sessão
• Eliminar uma conversação
• Limpar todas as conversações

Trabalhar com respostas

As respostas são formatadas com tabelas estruturadas, marcas de lista e cabeçalhos de secção para legibilidade. Você pode:

• Copiar uma resposta: selecione o ícone copiar em qualquer mensagem para copiá-la para a área de transferência
• Exportar tabelas: selecione Exportar em qualquer tabela para exportá-la para o Excel para análise adicional
• Parar geração: selecione Parar para interromper uma resposta que está a demorar demasiado tempo ou a ir na direção errada
• Tentar novamente: se algo correr mal, selecione Tentar novamente para tentar a resposta novamente

Principais recursos

• Capacidade de chat incorporada que permite a conversação e a direção
• Respostas com deteção de contexto em incidentes, alertas, identidades, dispositivos, IPs e provas
• Perguntas de seguimento para esclarecimentos

Investigar e responder a incidentes como um especialista

Estas ferramentas de IA permitem que as equipas de segurança abordem as investigações de ataques em tempo útil, com facilidade e precisão. Podem compreender os ataques imediatamente, analisar rapidamente ficheiros e scripts suspeitos e avaliar e aplicar a mitigação adequada para parar e conter ataques.

Resumir incidentes rapidamente

Investigar incidentes com vários alertas pode ser uma tarefa difícil. Para compreender imediatamente um incidente, pode pedir ao Copilot para resumir um incidente por si. O Copilot cria uma descrição geral do ataque. A descrição geral contém informações essenciais para que compreenda o que se passou no ataque, que recursos estão envolvidos e o linha do tempo do ataque. O Copilot cria automaticamente um resumo quando abre uma página de incidente. Também o ajuda a compreender os recursos envolvidos e como agir ao sugerir pedidos sobre identidades relacionadas, dispositivos, IPs, entre outros.

Tomar medidas sobre incidentes por meio de respostas guiadas

A resolução de incidentes requer que os analistas compreendam um ataque para saber que soluções são adequadas. O Copilot recomenda soluções por meio de respostas guiadas específicas para cada incidente.

Executar análise de script com facilidade

A maioria dos invasores depende de malware sofisticado ao iniciar ataques para evitar detecção e análise. Normalmente, este software maligno é ocultado e pode estar sob a forma de scripts ou linhas de comandos no PowerShell. O Copilot pode analisar scripts rapidamente, reduzindo o tempo de investigação.

Gerar resumos de dispositivos

Investigar dispositivos envolvidos em incidentes pode ser complicado. Para avaliar rapidamente um dispositivo, o Copilot pode resumir as informações de um dispositivo, incluindo a postura de segurança do dispositivo, comportamentos incomuns, uma lista de software vulnerável e informações relevantes do Microsoft Intune.

Analisar arquivos imediatamente

O Copilot ajuda as equipes de segurança a avaliar e entender rapidamente arquivos suspeitos com a análise de arquivos. O Copilot fornece o resumo de um arquivo, incluindo informações de detecção, certificados de arquivo relacionados, uma lista de chamadas à API e cadeias de caracteres encontradas no arquivo.

Investigar identidades imediatamente

Avalie rapidamente o risco de um utilizador ao gerar um resumo de identidade com o Copilot. Identifique quando uma identidade está em risco ou suspeita com informações contextualizadas sobre a função e alterações de função de um utilizador, comportamentos de início de sessão, dispositivos com sessão iniciada e informações de contacto relevantes.

Escrever relatórios de incidentes com eficiência

Normalmente, as equipas de operações de segurança escrevem relatórios para registar informações importantes. Estes relatórios incluem ações de resposta tomadas, os seus resultados, os membros da equipa envolvidos e outras informações para ajudar futuras decisões de segurança. Documentar incidentes pode ser demorado porque um relatório de incidentes eficaz tem de conter o resumo do incidente, as ações tomadas e quem tomou as ações e quando. O Copilot gera um relatório de incidentes ao consolidar o resumo do incidente, as ações de resposta e o envolvimento da equipa.

Buscar como um profissional

O Copilot no Defender ajuda as equipes de segurança a buscar proativamente ameaças em sua rede criando rapidamente consultas KQL apropriadas.

As equipas de segurança que utilizam investigação avançada podem agora utilizar uma consulta assistente que converte questões de linguagem natural em consultas KQL prontas a executar. A consulta assistente poupa tempo ao gerar uma consulta KQL que pode ser executada imediatamente ou ajustada de acordo com as necessidades do analista. Leia mais sobre assistente de Consulta.

Proteger a sua organização com inteligência contra ameaças relevante

Capacite sua organização de segurança a tomar decisões informadas com a tecnologia de inteligência contra ameaças mais recente. O Copilot consolida e resume a inteligência contra ameaças para ajudar as equipes de segurança a priorizar e responder às ameaças com eficiência.

Monitorar a inteligência contra ameaças

Peça ao Copilot para resumir as ameaças relevantes que afetam o seu ambiente, priorizar a resolução de ameaças com base em seus níveis de exposição ou encontrar agentes de ameaças que possam ter o seu setor como alvo. Leia mais sobre Security Copilot em informações sobre ameaças.

Acessar o Copilot no Defender

Para garantir que tem acesso ao Copilot no Defender, veja as informações de compra e licenciamento do Security Copilot. Depois de ter acesso ao Security Copilot, as principais funcionalidades ficam disponíveis no portal do Microsoft Defender.

Pedidos de exemplo no Copilot

No portal Microsoft Defender, pode encontrar pedidos de exemplo para ajudá-lo a navegar e utilizar algumas capacidades do Copilot. Os pedidos foram concebidos para o ajudar a compreender estas capacidades e a utilizá-las de forma eficaz. Eis alguns exemplos de pedidos que poderá ver no portal:

Pedidos de investigação avançados:

Pedidos de informações sobre ameaças:

Pode alargar a sua investigação no portal autónomo Security Copilot através de pedidos de linguagem natural. Seguem-se exemplos de pedidos que pode escrever na barra de pedidos para o ajudar a resumir um incidente com recomendações:

• Escreva Resumir incidente {incident number} e conclua com um conjunto de recomendações para gerar o resumo e as recomendações do incidente.
• Escreva O que me pode dizer sobre a reputação dos indicadores no script? São maliciosos? Se sim, porquê? para analisar o script e gerar detalhes sobre o script.

Pedir no Copilot ajuda-o a navegar e a utilizar as capacidades de forma eficaz. Também pode utilizar a barra de pedidos para gerar consultas KQL, resumir incidentes e analisar ficheiros. Veja sugestões para pedidos eficazes. Também pode utilizar promptbooks pré-criados para começar a utilizar o Copilot. Para saber mais, veja Utilizar promptbooks pré-criados no Copilot.