Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Microsoft Security Copilot agente de detección dinámica de amenazas está actualmente en versión preliminar. Esta información está relacionada con un producto de versión preliminar que puede modificarse sustancialmente antes de su lanzamiento. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
Microsoft Security Copilot en Microsoft Defender incluye el Agente de detección dinámica de amenazas, un servicio back-end adaptable y siempre activo que detecta amenazas ocultas en los entornos de Defender y Microsoft Sentinel. En este artículo se proporciona información general sobre el agente, incluidos los pasos para usarlo al investigar incidentes y alertas.
Información general
Los equipos de seguridad a menudo se enfrentan al riesgo de falsos negativos, amenazas que los sistemas de detección tradicionales basados en reglas no detectan. El Agente de detección dinámica de amenazas usa la inteligencia artificial para identificar brechas y detectar falsos negativos mediante la correlación de alertas, eventos, anomalías e inteligencia sobre amenazas. Cuando el agente identifica una brecha, genera una alerta dinámica con el contexto completo en los detalles de la alerta, incluidas las explicaciones del lenguaje natural, las técnicas ATT de MITRE asignadas&CK y los pasos de corrección personalizados.
El Agente de detección dinámica de amenazas siempre está activado, funciona sin problemas en el back-end de Defender y no requiere ninguna configuración ni incorporación. Estas características y funcionalidades permiten a las organizaciones detectar y responder a las amenazas con mayor velocidad, precisión y confianza.
Ventajas principales
- Buscar qué reglas de detección tradicionales se pierden: la detección controlada por inteligencia artificial adaptable del agente investiga continuamente en Defender y Microsoft Sentinel señales para descubrir falsos negativos y puntos ciegos.
- Reducir el ruido y aumentar la confianza : el agente minimiza el ruido del centro de operaciones de seguridad (SOC) y aumenta la confianza de los analistas con su precisión validada por el cliente y proporciona un contexto de riesgo claro y pasos concretos en los detalles de la alerta.
- Always on y zero-touch : dado que el agente se ejecuta en el back-end de Defender, genera automáticamente alertas en los flujos de trabajo de Defender existentes sin que sea necesario ajustar ni incorporar.
- Integración profunda en el ecosistema de seguridad de Microsoft: el agente funciona con Security Copilot, Defender y Microsoft Sentinel, correlacionando señales nativas y de terceros para exponer comportamientos perdidos y ofrecer un contexto más completo en los flujos de trabajo de SOC.
Obtener acceso
Los usuarios con acceso a Security Copilot pueden usar el Agente de detección dinámica de amenazas.
Empezar a usar el agente de detección dinámica de amenazas
Al igual que las demás herramientas y métodos disponibles en el portal de Defender para la investigación y la respuesta, el Agente de detección de amenazas ayuda a evaluar, investigar y resolver incidentes.
El Agente de detección dinámica de amenazas se ejecuta automáticamente en segundo plano. Cuando genera una alerta, la alerta se muestra en las colas de incidentes y alertas con Security Copilot como origen de detección.
Para ver más detalles sobre la alerta, seleccione el título de la alerta. El Agente de detección dinámica de amenazas proporciona un resumen y acciones recomendadas en la página de alertas.
Importante
- El Agente de detección dinámica de amenazas es gratuito de usar durante la versión preliminar pública. Comienza a consumir unidades de proceso de seguridad (SCU) cuando está disponible con carácter general.
- Las acciones de resumen y recomendadas se generan mediante inteligencia artificial, por lo que debe revisarlas y comprobarlas para comprobar su precisión.
Pasos siguientes
Según sea necesario para incidentes en proceso, continúe con la investigación.