Partager via

Personnaliser les réponses aux incidents pour votre organization

  • S’applique à: Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Security Copilot dans le portail Microsoft Defender fournit des réponses guidées pour aider l’équipe de réponse à résoudre les incidents. Copilot dans Defender utilise l’IA et le Machine Learning pour contextualiser un incident et apprendre des investigations précédentes afin de générer des actions de réponse appropriées.

Ce guide explique comment charger les instructions spécifiques de votre organization pour Microsoft Security Copilot afin d’améliorer les recommandations de réponse guidée.

Configuration requise

  • Vous devez être au moins administrateur de la sécurité pour charger, approuver ou supprimer des fichiers. Les opérateurs de sécurité peuvent consulter les guides, mais pas les gérer.
  • Vos instructions spécifiques organization doivent être dans un format pris en charge (PDF, DOCX, TXT) et ne doivent pas dépasser la limite de taille de fichier maximale de 3 Mo.

Étapes de personnalisation de la réponse guidée de Copilot à l’aide du guide de votre organization

Chargez votre guide à partir des paramètres Copilot. Vous pouvez y accéder de l’une des deux manières suivantes :

  • Dans le portail Microsoft Defender, sélectionnezParamètres>système>Copilot dansles guides personnalisés Defender>.

    Capture d’écran de l’ajout de guides personnalisés à partir des paramètres.

  • Dans le volet Tâches Copilot à l’intérieur d’un incident, accédez à Créer des tâches à partir de votre propre guide et sélectionnez Ouvrir les paramètres Copilot.

    Capture d’écran de l’ouverture des paramètres Copilot à partir du volet Tâches.

Ensuite, procédez comme suit :

  1. Sélectionnez Ajouter un nouveau guide.

  2. Sélectionnez Charger le fichier.

  3. Accédez à l’emplacement du fichier, choisissez le fichier, puis sélectionnez Générer.

  4. Une fois le fichier chargé, accédez à l’onglet Révision en attente .

    Capture d’écran de l’onglet Révision en attente pour les guides chargés.

  5. L’onglet Révision en attente affiche les nouvelles recommandations basées sur le guide chargé. Examinez le fichier pour vous assurer qu’il est conforme aux normes de votre organization. Sélectionnez le nom du guide et passez en revue les tâches générées suggérées.

  6. Si le guide répond à vos normes, sélectionnez Approuver et activer pour le rendre disponible dans les réponses guidées. S’il ne répond pas à vos normes, sélectionnez Supprimer pour le supprimer.

    Capture d’écran du bouton Approuver et activer pour les guides chargés.

  7. Assurez-vous que le guide apparaît comme actif sous l’onglet Guides. Pour le désactiver ultérieurement, sélectionnez le guide et choisissez Désactiver.

    Capture d’écran de l’onglet Guides actifs.

Copilot hiérarchise les guides personnalisés de votre organization par rapport aux guides par défaut fournis par Microsoft. Si plusieurs guides sont pertinents, Copilot utilise celui qui correspond le mieux au contexte de l’incident.

Capture d’écran des réponses suggérées basées sur les guides personnalisés.

Vous avez la possibilité de fournir des commentaires sur l’efficacité des réponses guidées générées à partir des guides de votre organization. Ces commentaires permettent d’améliorer les recommandations futures.

Capture d’écran de la fenêtre de commentaires pour les réponses guidées.

Bonnes pratiques pour créer des guides efficaces

Pour obtenir des exemples de playbooks de réponse aux incidents de Microsoft, consultez playbooks de réponse aux incidents.

Lorsque vous créez les guides de votre organization, n’oubliez pas que le guide peut uniquement lire du texte. Évitez d’utiliser des images, des graphiques ou des mises en forme complexes susceptibles d’entraver l’extraction de texte.

  • Last updated on