Compartir a través de

Resumir un incidente con Microsoft Copilot en Microsoft Defender

  • Se aplica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender XDR aplica las funcionalidades de Security Copilot para resumir los incidentes, proporcionando información e información impactantes para simplificar las tareas de investigación. La investigación de ataques es un paso crucial para que los equipos de respuesta a incidentes defiendan correctamente una organización contra daños adicionales de una ciberamenaza. Las investigaciones suelen llevar mucho tiempo, ya que implican numerosos pasos. Los equipos de respuesta a incidentes deben comprender cómo se produjo el ataque: ordenar numerosas alertas, identificar qué recursos y entidades están implicados y evaluar el ámbito y el impacto de un ataque.

En esta guía se describe qué esperar y cómo acceder a la funcionalidad de resumen de Copilot en Defender, incluida la información sobre cómo proporcionar comentarios.

Saber antes de empezar

Si no está familiarizado con Security Copilot, debe familiarizarse con él leyendo los artículos siguientes:

Los respondedores de incidentes pueden obtener fácilmente el contexto adecuado para investigar y corregir incidentes a través de las funcionalidades de correlación de Defender XDR y la contextualización y el procesamiento de datos con tecnología de inteligencia artificial de Security Copilot. Con un resumen del incidente, los responsables de la respuesta pueden obtener rápidamente información importante para ayudar en su investigación.

integración Security Copilot en Microsoft Defender

La funcionalidad de resumen de incidentes está disponible en el portal de Microsoft Defender para los clientes que han aprovisionado el acceso a Security Copilot.

Esta funcionalidad también está disponible en la experiencia Security Copilot independiente a través del complemento Microsoft Defender XDR. Más información sobre los complementos preinstalados en Security Copilot.

Características principales

Los incidentes que contengan hasta 100 alertas pueden resumirse en un resumen de incidente. En función de la disponibilidad de los datos, un resumen de incidentes incluye lo siguiente:

  • La hora y la fecha en que comenzó un ataque.
  • La entidad o activo donde se inició el ataque.
  • Un resumen de líneas de tiempo sobre cómo se desarrolló el atentado.
  • Los recursos implicados en el ataque.
  • Indicadores de peligro (IOC).
  • Nombres de los actores de amenazas implicados.
  • Sugerencias Security Copilot avisos, que le guían para centrarse en los pasos siguientes más relevantes, obtener información más detallada y simplificar las investigaciones.

Para resumir un incidente:

  1. Abra una página de incidente. Copilot crea automáticamente un resumen de incidentes al abrir la página. Para detener la creación de resumen, seleccione Cancelar o reiniciar la creación; para ello, seleccione Regenerar.

  2. La tarjeta de resumen de incidentes se carga en el panel de Copilot. Revise el resumen generado en la tarjeta. Revise el resumen y use la información para guiar su investigación y respuesta al incidente.

    Captura de pantalla que muestra la tarjeta de resumen de incidentes en el panel Copilot, como se muestra en la página Microsoft Defender incidente.

    Sugerencia

    Puede navegar a una página de archivo, dirección IP o dirección URL desde el panel de resultados de Copilot haciendo clic en la evidencia de los resultados.

  3. Seleccione Ver mensajes para ver los mensajes sugeridos. Los avisos sugeridos exponen preguntas de seguimiento pertinentes basadas en la información más crucial del incidente determinado.

    Seleccione un mensaje sugerido para obtener más información sobre los recursos específicos implicados en el incidente, como resúmenes de dispositivos, resúmenes de identidad e inteligencia sobre amenazas relacionadas.

    Captura de pantalla que muestra las indicaciones sugeridas por Copilot en la tarjeta de resumen del incidente.

  4. Seleccione los puntos suspensivos Más acciones (...) en la parte superior de la tarjeta de resumen de incidentes para copiar o volver a generar el resumen o ver el resumen en el portal de Security Copilot. Al seleccionar Abrir en Seguridad de Copilot, se abrirá una nueva pestaña en el portal independiente de Seguridad Copilot, donde podrá introducir indicaciones y acceder a otros complementos.

    Captura de pantalla que muestra las acciones disponibles en la tarjeta de resumen de incidentes.

Administración de la configuración de resúmenes de incidentes de Copilot (versión preliminar)

De forma predeterminada, Copilot genera un resumen de cada incidente que abre el usuario, pero puede cambiar esta configuración para mostrar resúmenes de incidentes solo en instancias específicas. Puede elegir que se generen resúmenes:

  • Always (para cada incidente abierto)
  • En función del nivel de gravedad del incidente
  • Solo a petición

Para cambiar la configuración de los resúmenes de incidentes de Copilot en Microsoft Sentinel, siga estos pasos:

  1. Vaya aConfiguración del>sistema>Copilot en Defender en el panel de navegación Microsoft Sentinel.

    Captura de pantalla que muestra la página configuración de Copilot en Microsoft Sentinel.

  2. En Preferencias, seleccione Generación de resumen de incidentes.

  3. Seleccione Generar automáticamente o Generar a petición, según sus preferencias.

  4. Si selecciona Generar automáticamente, elija entre Gravedad siempre o Incidente. Si selecciona Gravedad de incidente, elija el nivel de gravedad mínimo para el que desea que Copilot genere resúmenes de incidentes automáticamente.

    Captura de pantalla que muestra la página de preferencias de configuración de Copilot en Microsoft Sentinel.

  5. Haga clic en Guardar.

  • Al seleccionar Gravedad del incidente, se muestra una estimación del número de incidentes de cada nivel de gravedad revisado por día, junto con el consumo estimado de SCU.

    Captura de pantalla que muestra el número aproximado de incidentes de cada nivel de gravedad.

  • Copilot guarda los resúmenes de incidentes generados durante una semana. Si selecciona un incidente cuyo resumen está en la memoria caché y el incidente no ha cambiado significativamente, el resumen se vuelve a mostrar automáticamente sin costo independientemente de la configuración.

  • Para generar un resumen a petición de un incidente que no se genera automáticamente, seleccione el botón Generar .

    Captura de pantalla que muestra el botón Generar resumen en la página del incidente.

Símbolo del sistema de resumen de incidentes de ejemplo

En el Security Copilot portal independiente, puede usar el siguiente mensaje para generar resúmenes de incidentes:

  • Proporcione un resumen del incidente de Defender {id. de incidente}.

Sugerencia

Al generar un resumen de incidentes en el portal de Security Copilot, Microsoft recomienda incluir la palabra Defender en los mensajes para asegurarse de que la funcionalidad de resumen de incidentes entrega los resultados.

Enviar comentarios

Microsoft le anima encarecidamente a proporcionar comentarios a Copilot, ya que es fundamental para la mejora continua de una funcionalidad. Puede proporcionar comentarios sobre el resumen seleccionando el icono de comentarios captura de pantalla del icono de comentarios de Copilot en las tarjetas de Defender que se encuentra en la parte inferior del panel Copilot.

Vea también

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.

  • Last updated on