مشاركة عبر

إنشاء تقرير حادث مع Microsoft Copilot في Microsoft Defender

  • ينطبق على: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

تساعد Microsoft Security Copilot في مدخل Microsoft Defender فرق عمليات الأمان في كتابة تقارير الحوادث بكفاءة. باستخدام معالجة البيانات التي تعمل الذكاء الاصطناعي Security Copilot، يمكن لفرق الأمان إنشاء تقارير الحوادث على الفور بنقرة زر في مدخل Microsoft Defender.

يسرد هذا الدليل البيانات الموجودة في تقارير الحوادث ويحتوي على خطوات حول كيفية الوصول إلى إمكانية إنشاء تقرير الحادث داخل مدخل Microsoft Defender. ويتضمن أيضاً معلومات حول كيفية تقديم ملاحظات حول التقرير الذي تم إنشاؤه.

المعرفة قبل البدء

إذا كنت جديدا على Security Copilot، يجب أن تتعرف عليه من خلال قراءة المقالات التالية:

يعد تقرير الحدث الشامل والواضح مرجعاً أساسياً لفرق الأمان وإدارة عمليات الأمان. ومع ذلك، يمكن أن تكون كتابة تقرير شامل مع التفاصيل الهامة الموجودة مهمة تستغرق وقتا طويلا لفرق عمليات الأمان. يتطلب جمع معلومات الحوادث وتنظيمها وتلخيصها من مصادر متعددة التركيز وتحليلا مفصلا لإنشاء تقرير غني بالمعلومات. باستخدام Copilot في Defender، يمكن لفرق الأمان الآن إنشاء تقرير شامل عن الحوادث على الفور داخل المدخل.

بينما يوفر ملخص الحادث نظرة عامة على الحادث وكيفية حدوثه، يدمج تقرير الحادث معلومات الحادث من مصادر بيانات مختلفة متوفرة في Microsoft Sentinel Defender XDR. يتضمن تقرير الحوادث الذي تم إنشاؤه بواسطة Copilot أيضا جميع الخطوات المستندة إلى المحللين والإجراءات التلقائية، والمحللين المشاركين في الاستجابة للحوادث، وتعليقات المحللين. سواء كانت فرق الأمان تستخدم Microsoft Sentinel أو Defender XDR أو كليهما، تتم إضافة جميع بيانات الحوادث ذات الصلة إلى تقرير الحوادث الذي تم إنشاؤه.

ينشئ Copilot تقرير الحادث استنادا إلى الإجراءات التلقائية واليدوية التي تم تنفيذها، وتعليقات وملاحظات المحللين المنشورة في الحادث. يمكنك مراجعة التوصيات واتباعها للتأكد من أن Copilot ينشئ تقريرا شاملا عن الحوادث.

تكامل Security Copilot في Microsoft Defender

تتوفر إمكانية إنشاء تقرير الحادث في Microsoft Defender للعملاء الذين وفروا الوصول إلى Security Copilot.

تتوفر هذه الإمكانية أيضا في المدخل المستقل Security Copilot من خلال المكون الإضافي Microsoft Defender XDR. تعرف على المزيد حول المكونات الإضافية المثبتة مسبقا في Security Copilot.

الميزات الأساسية

ينشئ Copilot في Defender تقرير حادث يحتوي على المعلومات التالية:

  • الطوابع الزمنية للإجراءات الرئيسية لإدارة الحدث، بما في ذلك:
    • إنشاء الحدث وإغلاقه
    • سجلات ما تم التقاطه أولاً وأخيراً، سواء كان السجل مستنداً إلى محلل أو تلقائي، حيث يتم التقاطها في الحدث
  • المحللين المشاركين في الاستجابة للحوادث
  • تصنيف الحوادث، بما في ذلك سبب التصنيف للمحلل الذي يلخصه Copilot
  • إجراءات التحقيق والمعالجة
  • متابعة الإجراءات مثل التوصيات أو المشكلات المفتوحة أو الخطوات التالية التي لاحظها المحللون في سجلات الحوادث

يتم تضمين إجراءات مثل عزل الجهاز وتعطيل المستخدم والحذف المبدئي لرسائل البريد الإلكتروني في تقرير الحدث. للحصول على قائمة كاملة بالإجراءات المضمنة في تقرير الحادث، راجع مركز الصيانة. يتضمن تقرير الحادث أيضا Microsoft Sentinel تشغيل أدلة المبادئ. أوامر الاستجابة المباشرة وإجراءات الاستجابة الواردة من مصادر واجهة برمجة التطبيقات العامة أو من عمليات الكشف المخصصة غير مدعومة بعد.

نوصي بحل الحادث لعرض جميع الإجراءات التي تم اتخاذها. ستعكس الحوادث التي لم يتم حلها جزئيا الإجراءات الواردة في تقرير الحادث.

إنشاء تقرير عن الحوادث

لإنشاء تقرير حادث باستخدام Copilot في Defender، قم بتنفيذ الخطوات التالية:

  1. افتح صفحة حدث. في صفحة الحادث، انتقل إلى علامة الحذف More actions (...) ثم حدد Generate incident report. بدلا من ذلك، يمكنك تحديد أيقونة التقرير الموجودة في اللوحة الجانبية Copilot.

    لقطة شاشة تبرز أزرار تقرير الحدث وأيقونة التقرير التي تم إنشاؤها في صفحة الحدث.

  2. ينشئ Copilot تقرير الحادث. يمكنك إيقاف إنشاء التقرير عن طريق تحديد إلغاء وإعادة تشغيل إنشاء التقرير عن طريق تحديد إعادة إنشاء. بالإضافة إلى ذلك، يمكنك إعادة تشغيل إنشاء التقرير إذا واجهت خطأ.

  3. تظهر بطاقة تقرير الحادث في جزء Copilot. يعتمد التقرير الذي تم إنشاؤه على معلومات الحادث المتوفرة من Microsoft Defender XDR وMicrosoft Sentinel. ارجع إلى التوصيات لضمان إنشاء تقرير شامل عن الحدث.

    لقطة شاشة لبطاقة تقرير الحادث في صفحة الحادث تظهر النصف العلوي من البطاقة.

    لقطة شاشة لبطاقة تقرير الحادث في صفحة الحدث التي تعرض الجزء السفلي من البطاقة.

  4. حدد علامة الحذف More actions (...) الموجودة في الجزء العلوي الأيسر من بطاقة تقرير الحادث. لنسخ التقرير، حدد نسخ إلى الحافظة ولصق التقرير إلى النظام المفضل لديك، أو نشر إلى سجل النشاط لإضافة التقرير إلى سجل النشاط في مدخل Microsoft Defender، أو تصدير الحدث بتنسيق PDFلتصدير بيانات الحادث إلى PDF. حدد إعادة إنشاء لإعادة تشغيل إنشاء التقرير. يمكنك أيضا فتح في Security Copilot لعرض النتائج ومتابعة الوصول إلى المكونات الإضافية الأخرى المتوفرة في المدخل المستقل Security Copilot.

    لقطة شاشة للإجراءات الإضافية في بطاقة نتائج تقرير الحادث.

  5. راجع تقرير الحادث الذي تم إنشاؤه. يمكنك تقديم ملاحظات حول التقرير عن طريق تحديد أيقونة الملاحظات الموجودة في أسفل النتائج لقطة شاشة لأيقونة الملاحظات ل Copilot في بطاقات Defender.

تصدير بيانات الحادث إلى PDF

يمكنك تصدير بيانات الحدث إلى PDF لإنشاء تقرير يمكنك مشاركته بسهولة مع المساهمين. تحتوي بيانات الحوادث المصدرة على معلومات ذات صلة مثل قصة الهجوم والأصول المتأثرة والتنبيهات ذات الصلة والمحتوى الذي تم إنشاؤه الذكاء الاصطناعي من Copilot، مثل ملخص الحادث وتقرير الحادث. باستخدام هذه الإمكانية، يمكن لفرق الأمان تصدير المزيد من معلومات الحوادث بسرعة لإجراء مناقشات ما بعد الحوادث داخل أعضاء الفريق أو مع أصحاب المصلحة الآخرين.

يمكنك اتباع الخطوات الواردة في تصدير بيانات الحوادث إلى PDF لإنشاء ملف PDF.

توصيات لإنشاء تقارير الأحداث

فيما يلي بعض التوصيات التي يجب مراعاتها لضمان قيام Copilot بإنشاء تقرير شامل وكامل عن الحوادث:

  • يمكنك تصنيف الحدث وحله قبل إنشاء تقرير الحدث.
  • تأكد من كتابة التعليقات وحفظها في سجل نشاط Microsoft Sentinel أو في سجل نشاط الحدث Microsoft Defender XDR لتضمين التعليقات في تقرير الحدث.
  • اكتب التعليقات باستخدام لغة شاملة وواضحة. توفر التعليقات المتعمقة والواضحة سياقاً أفضل حول إجراءات الاستجابة. راجع الخطوات التالية لمعرفة كيفية الوصول إلى حقل التعليقات:
  • لمستخدمي ServiceNow، تمكين مزامنة Microsoft Sentinel وServiceNow ثنائية الاتجاه للحصول على بيانات أحداث أكثر فاعلية.
  • انسخ تقرير الحادث الذي تم إنشاؤه وانشره في سجل النشاط في مدخل Microsoft Defender للتأكد من حفظ تقرير الحادث في صفحة الحدث.

نموذج المطالبة بإنشاء تقرير الحادث

في Security Copilot المدخل المستقل، يمكنك استخدام المطالبة التالية لإنشاء تقرير الحادث:

  • قم بإنشاء تقرير الحادث لحدث Defender {incident ID}.

تلميح

عند إنشاء تقارير الحوادث في مدخل Security Copilot، توصي Microsoft بتضمين كلمة Defender في مطالباتك للتأكد من أن إمكانية إنشاء تقرير الحدث تقدم النتائج.

تقديم ملاحظات

تشجعك Microsoft بشدة على تقديم ملاحظات إلى Copilot، لأنها ضرورية للتحسين المستمر للقدرة. لتقديم الملاحظات، انتقل إلى أسفل اللوحة الجانبية Copilot وحدد أيقونة الملاحظات لقطة شاشة لأيقونة الملاحظات ل Copilot في بطاقات Defender.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.