مشاركة عبر

إنشاء تقرير حادث باستخدام Microsoft Copilot في Microsoft Defender

  • مقالة

ينطبق على:

  • Microsoft Defender XDR
  • Microsoft Defender النظام الأساسي لمركز عمليات الأمان الموحد (SOC)

يساعد Microsoft Copilot for Security في مدخل Microsoft Defender فرق عمليات الأمان في كتابة تقارير الحوادث بكفاءة. باستخدام Copilot لمعالجة البيانات التي تعمل الذكاء الاصطناعي الأمان، يمكن لفرق الأمان إنشاء تقارير الحوادث على الفور بنقرة زر في مدخل Microsoft Defender.

يعد تقرير الحدث الشامل والواضح مرجعاً أساسياً لفرق الأمان وإدارة عمليات الأمان. ومع ذلك، يمكن أن تكون كتابة تقرير شامل مع التفاصيل الهامة الموجودة مهمة تستغرق وقتا طويلا لفرق عمليات الأمان. يتطلب جمع معلومات الحوادث وتنظيمها وتلخيصها من مصادر متعددة التركيز وتحليلا مفصلا لإنشاء تقرير غني بالمعلومات. باستخدام Copilot في Defender، يمكن لفرق الأمان الآن إنشاء تقرير شامل عن الحوادث على الفور داخل المدخل.

بينما يوفر ملخص الحادث نظرة عامة على الحادث وكيفية حدوثه، يدمج تقرير الحادث معلومات الحادث من مصادر بيانات مختلفة متوفرة في Microsoft Sentinel وDefender XDR. يتضمن تقرير الحوادث الذي تم إنشاؤه بواسطة Copilot أيضا جميع الخطوات المستندة إلى المحللين والإجراءات التلقائية، والمحللين المشاركين في الاستجابة للحوادث، وتعليقات المحللين. سواء كانت فرق الأمان تستخدم Microsoft Sentinel أو Defender XDR أو كليهما، تتم إضافة جميع بيانات الحوادث ذات الصلة إلى تقرير الحادث الذي تم إنشاؤه.

ينشئ Copilot تقرير الحادث استنادا إلى الإجراءات التلقائية واليدوية التي تم تنفيذها، وتعليقات وملاحظات المحللين المنشورة في الحادث. يمكنك مراجعة التوصيات واتباعها للتأكد من أن Copilot ينشئ تقريرا شاملا عن الحوادث.

تتوفر إمكانية إنشاء تقرير الحادث في Microsoft Defender من خلال ترخيص Copilot for Security. تتوفر هذه الإمكانية أيضا في مدخل Copilot for Security المستقل من خلال المكون الإضافي Microsoft Defender XDR.

يسرد هذا الدليل البيانات الموجودة في تقارير الحوادث ويحتوي على خطوات حول كيفية الوصول إلى إمكانية إنشاء تقرير الحدث داخل مدخل Microsoft Defender. ويتضمن أيضاً معلومات حول كيفية تقديم ملاحظات حول التقرير الذي تم إنشاؤه.

محتوى تقرير الحادث

ينشئ Copilot في Defender تقرير حادث يحتوي على المعلومات التالية:

  • الطوابع الزمنية للإجراءات الرئيسية لإدارة الحدث، بما في ذلك:
    • إنشاء الحدث وإغلاقه
    • سجلات ما تم التقاطه أولاً وأخيراً، سواء كان السجل مستنداً إلى محلل أو تلقائي، حيث يتم التقاطها في الحدث
  • المحللين المشاركين في الاستجابة للحوادث
  • تصنيف الحوادث، بما في ذلك سبب التصنيف للمحلل الذي يلخصه Copilot
  • إجراءات التحقيق والمعالجة
  • متابعة الإجراءات مثل التوصيات أو المشكلات المفتوحة أو الخطوات التالية التي لاحظها المحللون في سجلات الحوادث

يتم تضمين إجراءات مثل عزل الجهاز وتعطيل المستخدم والحذف المبدئي لرسائل البريد الإلكتروني في تقرير الحدث. للحصول على قائمة كاملة بالإجراءات المضمنة في تقرير الحادث، راجع مركز الصيانة. يتضمن تقرير الحادث أيضا أدلة مبادئ Microsoft Sentinel التي تم تشغيلها. أوامر الاستجابة المباشرة وإجراءات الاستجابة الواردة من مصادر واجهة برمجة التطبيقات العامة أو من عمليات الكشف المخصصة غير مدعومة بعد.

نوصي بحل الحادث لعرض جميع الإجراءات التي تم اتخاذها. ستعكس الحوادث التي لم يتم حلها جزئيا الإجراءات الواردة في تقرير الحادث.

إنشاء تقرير عن الحوادث

لإنشاء تقرير حادث باستخدام Copilot في Defender، قم بتنفيذ الخطوات التالية:

  1. افتح صفحة حدث. في صفحة الحادث، انتقل إلى علامة الحذف More actions (...) ثم حدد Generate incident report. بدلا من ذلك، يمكنك تحديد أيقونة التقرير الموجودة في اللوحة الجانبية Copilot.

    لقطة شاشة تبرز أزرار تقرير الحدث وأيقونة التقرير التي تم إنشاؤها في صفحة الحدث.

  2. ينشئ Copilot تقرير الحادث. يمكنك إيقاف إنشاء التقرير عن طريق تحديد إلغاء وإعادة تشغيل إنشاء التقرير عن طريق تحديد إعادة إنشاء. بالإضافة إلى ذلك، يمكنك إعادة تشغيل إنشاء التقرير إذا واجهت خطأ.

  3. تظهر بطاقة تقرير الحادث في جزء Copilot. يعتمد التقرير الذي تم إنشاؤه على معلومات الحادث المتوفرة من Microsoft Defender XDR وMicrosoft Sentinel. ارجع إلى التوصيات لضمان إنشاء تقرير شامل عن الحدث.

    لقطة شاشة لبطاقة تقرير الحادث في صفحة الحادث تظهر النصف العلوي من البطاقة.

    لقطة شاشة لبطاقة تقرير الحادث في صفحة الحدث التي تعرض الجزء السفلي من البطاقة.

  4. حدد علامة الحذف More actions (...) الموجودة في الجزء العلوي الأيسر من بطاقة تقرير الحادث. لنسخ التقرير، حدد نسخ إلى الحافظة ولصق التقرير إلى النظام المفضل لديك، أو نشر إلى سجل النشاط لإضافة التقرير إلى سجل النشاط في مدخل Microsoft Defender، أو تصدير الحدث بتنسيق PDFلتصدير بيانات الحادث إلى PDF. حدد إعادة إنشاء لإعادة تشغيل إنشاء التقرير. يمكنك أيضا فتح في Copilot for Security لعرض النتائج ومتابعة الوصول إلى المكونات الإضافية الأخرى المتوفرة في مدخل Copilot for Security المستقل.

    لقطة شاشة للإجراءات الإضافية في بطاقة نتائج تقرير الحادث.

  5. راجع تقرير الحادث الذي تم إنشاؤه. يمكنك تقديم ملاحظات حول التقرير عن طريق تحديد أيقونة الملاحظات الموجودة في أسفل النتائج لقطة شاشة لأيقونة الملاحظات ل Copilot في بطاقات Defender.

تصدير الحادث إلى PDF

يمكنك تصدير بيانات الحدث إلى PDF لإنشاء تقرير يمكنك مشاركته بسهولة مع المساهمين. تحتوي بيانات الحوادث المصدرة على معلومات ذات صلة مثل قصة الهجوم والأصول المتأثرة والتنبيهات ذات الصلة والمحتوى الذي تم إنشاؤه الذكاء الاصطناعي من Copilot، مثل ملخص الحادث وتقرير الحادث. باستخدام هذه الإمكانية، يمكن لفرق الأمان تصدير المزيد من معلومات الحوادث بسرعة لإجراء مناقشات ما بعد الحوادث داخل أعضاء الفريق أو مع أصحاب المصلحة الآخرين.

يمكنك اتباع الخطوات الواردة في تصدير بيانات الحوادث إلى PDF لإنشاء ملف PDF.

توصيات لإنشاء تقارير الأحداث

فيما يلي بعض التوصيات التي يجب مراعاتها لضمان قيام Copilot بإنشاء تقرير شامل وكامل عن الحوادث:

  • يمكنك تصنيف الحدث وحله قبل إنشاء تقرير الحدث.
  • تأكد من كتابة التعليقات وحفظها في سجل نشاط Microsoft Sentinel أو في سجل نشاط حدث Microsoft Defender XDR لتضمين التعليقات في تقرير الحادث.
  • اكتب التعليقات باستخدام لغة شاملة وواضحة. توفر التعليقات المتعمقة والواضحة سياقاً أفضل حول إجراءات الاستجابة. راجع الخطوات التالية لمعرفة كيفية الوصول إلى حقل التعليقات:
  • لمستخدمي ServiceNow، تمكين مزامنة Microsoft Sentinel وServiceNow ثنائية الاتجاه للحصول على بيانات أحداث أكثر فاعلية.
  • انسخ تقرير الحادث الذي تم إنشاؤه وانشره في سجل النشاط في مدخل Microsoft Defender للتأكد من حفظ تقرير الحادث في صفحة الحدث.

راجع أيضًا

تلميح

هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.