Escenario de TI: Realizar una investigación de incidentes de seguridad
Disponible con: Copilot para seguridad Nivel de escenario:
KPI impactados
Costos de gestión de TI
Tiempo de inactividad de la aplicación
Beneficio de valor
Ahorro de costes
experiencia del empleado
Uso de Copilot para realizar una investigación de incidentes de seguridad
1. Resume el incidente
Un analista de seguridad desea obtener un resumen de un incidente en Defender XDR o Unified Security Operations Platform.
Copilot para seguridad
Indicación: Resuma el incidente de Defender
Actividad integrada: o abra la página del incidente y haga clic en INCIDENTE en el portal Defender XDR o en la plataforma Unified SecOps
2. Respuesta guiada
El analista quiere comprobar cómo responder al incidente.
Copilot para seguridad
Pregunta: ¿Cómo responder a este incidente?
Actividad integrada: la respuesta guiada ofrece acciones que se pueden tomar para remediar el incidente.
3. Reputación de IP
El analista quiere verificar si la dirección IP involucrada pertenece a un actor de amenaza conocido.
Copilot para seguridad
Pregunta: ¿Cuál es la reputación de las direcciones IPv4 observadas en este incidente?
4. Dispositivos afectados
El analista desea comprobar qué dispositivos de usuario pueden verse afectados generando una consulta KQL.
Copilot para seguridad
Aviso: si un usuario aparece en los detalles del incidente, muestre qué dispositivos ha utilizado recientemente e indique si cumple con las políticas.
Actividad en incrustado: utilice la opción Generar consultas KQL para búsqueda avanzada para una experiencia guiada
5. Verificar actualizaciones del sistema operativo
El analista verifica si los dispositivos afectados tienen las últimas actualizaciones del sistema operativo.
Copilot para seguridad
Aviso: si hay algún dispositivo en la lista de resultados anterior, muestre los detalles de Intune sobre el dispositivo que se registró más recientemente. Indique especialmente si está actualizado con todas las actualizaciones del sistema operativo.
6. Crear informe
Genere un informe de incidentes para documentar el incidente y comunicarse con el equipo de liderazgo.
Copilot para seguridad
Indicación: Redacte un informe ejecutivo que resuma esta investigación. Debe ser adecuado para un público no especializado.
1Acceda a Copilot en copiloto.microsoft.com o la aplicación móvil Microsoft Copilot y configure el cambio en "Web".
2Acceda al Business Chat en copiloto.microsoft.com o la aplicación móvil Microsoft Copilot y configure el cambio en "Web".
3Los agentes Copilot permiten que Microsoft 365 Copilot acceda a las aplicaciones específicas de su organización. En el pasado, esto habría requerido una llamada a la API para obtener datos de un sistema de registro. El contenido de este escenario de ejemplo es solo para fines de demostración. Debe evaluar cómo Copilot se alinea con los procesos comerciales, los requisitos regulatorios y los principios de IA responsable de su organización.
El contenido de este escenario de ejemplo es sólo para fines de demostración. Debe evaluar cómo se alinea el Copilot con los procesos comerciales, los requisitos regulatorios y los principios de IA responsable de su organización.