Microsoft Security Copilot e Conversar no Microsoft Defender

Introdução

Para abrir a experiência de chat do Defender em qualquer lugar no portal do Defender, selecione o botão Copilot na barra de navegação superior. Os diapositivos do painel de chat são abertos no lado direito do ecrã e permanecem em contexto enquanto continua a trabalhar. É apresentado um ecrã de boas-vindas com uma saudação e um campo de entrada pronto para a sua primeira pergunta.

Para fechar o painel, selecione Fechar no cabeçalho ou selecione novamente o botão Copilot. A sua conversação é preservada e pode reabrir o painel e retomar o local onde ficou.

Deteção do contexto de página

O Chat do Defender responde com base na página que está atualmente a ver no portal do Defender e pode responder a perguntas com base nesse contexto.

Se fizer uma pergunta como "Que utilizadores estão envolvidos neste incidente?", o chat compreende a que incidente, alerta, dispositivo ou entidade se está a referir com base na sua página atual sem ter de fornecer IDs ou nomes.

Capacidades de conversação de chat

Conversações interativas

O chat lembra-se do contexto completo da sua conversa, para que possa fazer perguntas de seguimento naturalmente. Por exemplo, pode começar por Mostrar-me incidentes de alta gravidade da semana passada e, em seguida, dar-me mais informações sobre o primeiro e a conversa compreender o que quer dizer.

Planos passo a passo

Para pedidos complexos ou de vários passos, o chat pode apresentar primeiro um plano proposto que descreve os passos que pretende seguir. Pode Aprovar ou Rejeitar o plano antes de quaisquer ações serem executadas. Isto mantém-no no controlo, especialmente para investigações que requerem múltiplas pesquisas de dados.

Por exemplo: se perguntar Investigar incidente 12345 e resumir as principais conclusões, o chat poderá propor o seguinte plano:

1. Obter detalhes do incidente
2. Obter alertas associados
3. Recolher provas e entidades afetadas
4. Resumir conclusões

Depois de aprovar o plano, o chat executa cada passo e mostra o respetivo progresso em tempo real.

Perguntas mais esclarecedoras

Se o seu pedido for ambíguo, o chat pode fazer uma pergunta esclarecedora e oferecer opções de seleção rápida (até quatro sugestões) para o ajudar a obter a resposta certa mais rapidamente. Selecione uma opção ou escreva a sua própria resposta.

Histórico de conversações

As suas conversações são guardadas automaticamente. Utilize o painel Conversações no lado esquerdo da conversa para:

• Retomar uma conversação anterior
• Iniciar uma nova sessão
• Eliminar uma conversação
• Limpar todas as conversações

Trabalhar com respostas

As respostas são formatadas com tabelas estruturadas, marcas de lista e cabeçalhos de secção para legibilidade. Pode:

• Copiar uma resposta: selecione o ícone copiar em qualquer mensagem para copiá-la para a área de transferência
• Exportar tabelas: selecione Exportar em qualquer tabela para exportá-la para o Excel para análise adicional
• Parar geração: selecione Parar para interromper uma resposta que está a demorar demasiado tempo ou a ir na direção errada
• Tentar novamente: se algo correr mal, selecione Tentar novamente para tentar a resposta novamente

Funcionalidades principais

• Capacidade de chat incorporada que permite a conversação e a direção
• Respostas com deteção de contexto em incidentes, alertas, identidades, dispositivos, IPs e provas
• Perguntas de seguimento para esclarecimentos

Investigar e responder a incidentes como um especialista

Estas ferramentas de IA permitem que as equipas de segurança abordem as investigações de ataques em tempo útil, com facilidade e precisão. Podem compreender os ataques imediatamente, analisar rapidamente ficheiros e scripts suspeitos e avaliar e aplicar a mitigação adequada para parar e conter ataques.

Resumir incidentes rapidamente

Investigar incidentes com vários alertas pode ser uma tarefa assustadora. Para compreender imediatamente um incidente, pode pedir ao Copilot para resumir um incidente por si. O Copilot cria uma descrição geral do ataque. A descrição geral contém informações essenciais para compreender o que se passou no ataque, que recursos estão envolvidos e a linha cronológica do ataque. O Copilot cria automaticamente um resumo quando abre uma página de incidente. Também o ajuda a compreender os recursos envolvidos e como agir ao sugerir pedidos sobre identidades relacionadas, dispositivos, IPs, entre outros.

Tomar medidas sobre incidentes através de respostas guiadas

A resolução de incidentes requer que os analistas compreendam um ataque para saber que soluções são adequadas. O Copilot recomenda soluções através de respostas orientadas que são específicas para cada incidente.

Executar a análise de script com facilidade

A maioria dos atacantes depende de software maligno sofisticado quando inicia ataques para evitar a deteção e análise. Normalmente, este software maligno é ocultado e pode estar sob a forma de scripts ou linhas de comandos no PowerShell. O Copilot pode rapidamente analisar scripts, reduzindo o tempo de investigação.

Gerar resumos de dispositivos

Investigar dispositivos envolvidos em incidentes pode ser complicado. Para avaliar rapidamente um dispositivo, o Copilot pode resumir as informações de um dispositivo, incluindo a postura de segurança do dispositivo, quaisquer comportamentos invulgares, uma lista de software vulnerável e informações relevantes do Microsoft Intune.

Analisar ficheiros rapidamente

O Copilot ajuda as equipas de segurança a avaliar e compreender rapidamente os ficheiros suspeitos com a análise de ficheiros. O Copilot fornece um resumo do ficheiro, incluindo informações de deteção, certificados de ficheiro relacionados, uma lista de chamadas de API e cadeias encontradas no ficheiro.

Investigar identidades imediatamente

Avalie rapidamente o risco de um utilizador ao gerar um resumo de identidade com o Copilot. Identifique quando uma identidade está em risco ou suspeita com informações contextualizadas sobre a função e alterações de função de um utilizador, comportamentos de início de sessão, dispositivos com sessão iniciada e informações de contacto relevantes.

Escrever relatórios de incidentes de forma eficiente

Normalmente, as equipas de operações de segurança escrevem relatórios para registar informações importantes. Estes relatórios incluem ações de resposta tomadas, os seus resultados, os membros da equipa envolvidos e outras informações para ajudar futuras decisões de segurança. Documentar incidentes pode ser demorado porque um relatório de incidentes eficaz tem de conter o resumo do incidente, as ações tomadas e quem tomou as ações e quando. O Copilot gera um relatório de incidentes ao consolidar o resumo do incidente, as ações de resposta e o envolvimento da equipa.

Investigar como um profissional

O Copilot no Defender ajuda as equipas de segurança a investigar proativamente ameaças na sua rede, ao criar rapidamente consultas KQL adequadas.

As equipas de segurança que utilizam investigação avançada podem agora utilizar uma consulta assistente que converte questões de linguagem natural em consultas KQL prontas a executar. A consulta assistente poupa tempo ao gerar uma consulta KQL que pode ser executada imediatamente ou ajustada de acordo com as necessidades do analista. Leia mais sobre assistente de Consulta.

Proteja a sua organização com informações sobre ameaças relevantes

Capacite a sua organização de segurança para tomar decisões informadas com as informações sobre ameaças mais recentes. O Copilot consolida e resume as informações sobre ameaças para ajudar as equipas de segurança a priorizar e responder a ameaças de forma eficaz.

Monitorizar informações sobre ameaças

Peça ao Copilot para resumir as ameaças relevantes que afetam o seu ambiente, para priorizar a resolução de ameaças com base nos seus níveis de exposição ou para encontrar agentes de ameaças que possam estar a visar a sua indústria. Leia mais sobre Security Copilot em informações sobre ameaças.

Aceder ao Copilot no Defender

Para garantir que tem acesso ao Copilot no Defender, veja as informações de compra e licenciamento do Security Copilot. Depois de ter acesso ao Security Copilot, as principais funcionalidades ficam disponíveis no portal do Microsoft Defender.

Pedidos de exemplo no Copilot

No portal Microsoft Defender, pode encontrar pedidos de exemplo para ajudá-lo a navegar e utilizar algumas capacidades do Copilot. Os pedidos foram concebidos para o ajudar a compreender estas capacidades e a utilizá-las de forma eficaz. Eis alguns exemplos de pedidos que poderá ver no portal:

Pedidos de investigação avançados:

Pedidos de informações sobre ameaças:

Pode alargar a sua investigação no portal autónomo Security Copilot através de pedidos de linguagem natural. Seguem-se exemplos de pedidos que pode escrever na barra de pedidos para o ajudar a resumir um incidente com recomendações:

• Escreva Resumir incidente {incident number} e conclua com um conjunto de recomendações para gerar o resumo e as recomendações do incidente.
• Escreva O que me pode dizer sobre a reputação dos indicadores no script? São maliciosos? Se sim, porquê? para analisar o script e gerar detalhes sobre o script.

Pedir no Copilot ajuda-o a navegar e a utilizar as capacidades de forma eficaz. Também pode utilizar a barra de pedidos para gerar consultas KQL, resumir incidentes e analisar ficheiros. Veja sugestões para pedidos eficazes. Também pode utilizar promptbooks pré-criados para começar a utilizar o Copilot. Para saber mais, veja Utilizar promptbooks pré-criados no Copilot.