agent de détection dynamique des menaces Microsoft Security Copilot (préversion)

Microsoft Security Copilot dans Microsoft Defender comprend l’agent de détection dynamique des menaces, un service back-end adaptatif et toujours actif qui découvre les menaces cachées dans les environnements Defender et Microsoft Sentinel. Cet article fournit une vue d’ensemble de l’agent, y compris les étapes à suivre pour l’utiliser lors de l’examen des incidents et des alertes.

Vue d’ensemble

Les équipes de sécurité sont souvent confrontées au risque de faux négatifs, c’est-à-dire des menaces qui ne sont pas détectées par les systèmes de détection traditionnels basés sur des règles. L’agent de détection dynamique des menaces utilise l’IA pour identifier les lacunes et détecter les faux négatifs en mettant en corrélation les alertes, les événements, les anomalies et le renseignement sur les menaces. Lorsque l’agent identifie une lacune, il génère une alerte dynamique avec le contexte complet dans les détails de l’alerte, y compris des explications en langage naturel, des techniques MITRE ATT&CK mappées et des étapes de correction personnalisées.

L’agent de détection dynamique des menaces est toujours actif, fonctionne en toute transparence dans le back-end Defender et ne nécessite aucune configuration ni intégration. Ces fonctionnalités et fonctionnalités permettent aux organisations de détecter et de répondre aux menaces avec plus de rapidité, de précision et de confiance.

Avantages clés

• Rechercher les règles de détection traditionnelles qui manquent : la détection adaptative pilotée par l’IA de l’agent examine en permanence les signaux Defender et Microsoft Sentinel pour découvrir les faux négatifs et les angles morts.
• Réduire le bruit et augmenter la confiance : l’agent réduit le bruit du centre des opérations de sécurité (SOC) et améliore la confiance des analystes grâce à sa précision validée par le client et en fournissant un contexte de risque clair et des étapes suivantes concrètes dans les détails de l’alerte.
• Always On et zero-touch : étant donné que l’agent s’exécute dans le back-end Defender, il génère automatiquement des alertes dans vos workflows Defender existants sans aucun paramétrage ni intégration requis.
• Intégration approfondie au sein de l’écosystème de sécurité Microsoft : l’agent fonctionne avec Security Copilot, Defender et Microsoft Sentinel, en corrélant les signaux natifs et tiers pour faire apparaître les comportements manqués et fournir un contexte plus riche dans vos flux de travail SOC.

Obtenir l’accès

Les utilisateurs ayant accès à Security Copilot peuvent utiliser l’agent de détection dynamique des menaces.

Commencer à utiliser l’agent de détection dynamique des menaces

À l’instar des autres outils et méthodes disponibles dans le portail Defender pour l’investigation et la réponse, l’agent de détection des menaces permet de trier, d’examiner et de résoudre les incidents.

L’agent de détection dynamique des menaces s’exécute automatiquement en arrière-plan. Lorsqu’il génère une alerte, l’alerte s’affiche dans vos incidents et vos files d’attente d’alertes avec Security Copilot comme source de détection.

Pour afficher plus de détails sur l’alerte, sélectionnez le titre de l’alerte. L’agent de détection dynamique des menaces fournit un résumé et les actions recommandées dans la page d’alerte.

Étapes suivantes

Si nécessaire pour les incidents in-process, poursuivez votre enquête.

Voir aussi

• Examiner les alertes dans Microsoft Defender XDR
• Vue d’ensemble des incidents
• Gérer des incidents
• Examiner des incidents