Vytvoření hlášení incidentu pomocí Microsoft Copilotu v Microsoft Defender
Platí pro:
- Microsoft Defender XDR
- Platforma jednotného centra bezpečnostních operací (SOC) Microsoft Defender
Microsoft Copilot pro Security v portálu v Microsoft Defender pomáhá bezpečnostním provozním týmům efektivně psát zprávy o incidentech. S využitím zpracování dat s podporou AI od Copilota pro Security můžou bezpečnostní týmy okamžitě vytvářet hlášení incidentů kliknutím na tlačítko v portálu v Microsoft Defender.
Komplexní a jasná zpráva o incidentech je základním odkazem pro bezpečnostní týmy a správu operací zabezpečení. Napsání komplexní sestavy s důležitými podrobnostmi však může být pro týmy bezpečnostních operací časově náročným úkolem. Shromažďování, organizování a shrnutí informací o incidentech z více zdrojů vyžaduje soustředění a podrobnou analýzu k vytvoření sestavy bohaté na informace. Bezpečnostní týmy teď můžou na portálu okamžitě vytvořit rozsáhlou zprávu o incidentech pomocí Copilot v Defenderu.
Zatímco souhrn incidentu poskytuje přehled o incidentu a o tom, jak k němu došlo, hlášení incidentu slučuje informace o incidentech z různých zdrojů dat dostupných ve službách Microsoft Sentinel a XDR v Defenderu. Zpráva incidentu vygenerovaná Copilotem obsahuje také všechny analytické kroky a automatizované akce, analytiky zapojené do reakce incidentu a komentáře analytiků. Ať už bezpečnostní týmy používají Microsoft Sentinel, XDR v Microsoft Defenderu, nebo obojí, všechna relevantní data incidentů se přidají do vygenerovaného hlášení incidentu.
Copilot generuje zprávu o incidentu na základě provedených automatických a manuálních akcí a komentářů a poznámek analytiků zveřejněných v incidentu. Můžete si prohlédnout a postupovat podle doporučení, abyste zajistili, že Copilot vytvoří komplexní zprávu o incidentu.
Možnost generování hlášení incidentu v programu Microsoft Defender je k dispozici prostřednictvím licence Copilot pro Security. Tato možnost je k dispozici také na samostatném portálu Copilot pro Security prostřednictvím modulu plug-in Microsoft Defender XDR.
Tato příručka obsahuje seznam dat v sestavách incidentů a obsahuje kroky pro přístup k funkci vytváření sestav incidentů na portálu Microsoft Defender. Obsahuje také informace o tom, jak poskytnout zpětnou vazbu k vygenerované sestavě.
Obsah hlášení incidentu
Copilot v Defenderu vytvoří hlášení incidentu obsahující následující informace:
- Časová razítka hlavních akcí správy incidentů, včetně:
- Vytvoření a uzavření incidentu
- První a poslední protokoly, ať už protokol řízený analytikem nebo automatizovaný, zachycený v incidentu
- Analytici zapojení do reakce na incidenty
- Klasifikace incidentu, včetně důvodu klasifikace analytika, kterou Copilot shrnuje
- Prověřovací a nápravné akce
- Řiďte se akcemi, jako jsou doporučení, otevřené problémy nebo další kroky uvedené analytiky v protokolech incidentů
Do hlášení incidentu jsou zahrnuty akce, jako je izolace zařízení, zakázání uživatele a obnovitelné odstranění e-mailů. Úplný seznam akcí zahrnutých v hlášení incidentu najdete v Centru akcí. Hlášení incidentu také obsahuje spuštěné playbooky Microsoft Sentinel. Příkazy okamžité reakce a akce odpovědí přicházející z veřejných zdrojů rozhraní API nebo z vlastních detekcí se zatím nepodporují.
Doporučujeme vyřešit incident, abyste mohli zobrazit všechny provedené akce. Incidenty, které nejsou vyřešené, budou částečně odrážet akce v hlášení incidentu.
Vytvoření hlášení incidentu
Pokud chcete vytvořit hlášení incidentu pomocí Copilot v Defenderu, proveďte následující kroky:
Otevřete stránku incidentu. Na stránce incidentu přejděte na Další akcetři tečky (...) a pak vyberteVygenerovat sestavu incidentu. Případně můžete vybrat ikonu sestavy, která se nachází v bočním panelu Copilota.
Copilot vytvoří hlášení incidentu. Vytváření sestavy můžete zastavit výběrem možnosti Zrušit a opětovným vytvořením sestavy výběrem možnosti Znovu vygenerovat. Kromě toho můžete vytvoření sestavy restartovat, pokud dojde k chybě.
Karta hlášení incidentu se zobrazí v podokně Copilota. Vygenerovaná sestava závisí na informacích o incidentu, které jsou k dispozici v XDR v Microsoft Defenderu a Microsoft Sentinelu. Přečtěte si doporučení pokud chcete zajistit ucelenou zprávu o incidentech.
Vyberte tři tečky Další akce (...) umístěné v pravém horním rohu karty hlášení incidentu. Pokud chcete sestavu zkopírovat, vyberte Kopírovat do schránky a vložte sestavu do preferovaného systému, publikovat do protokolu aktivit a přidat sestavu do protokolu aktivit na portálu Microsoft Defender. Pokud chcete exportovat data incidentu do PDF, exportujte incident jako PDF. Vyberte Znovu vygenerovat a znovu spusťte vytváření sestavy. Můžete také Otevřít v Copilot pro Security, zobrazit výsledky a pokračovat v přístupu k dalším modulům plug-in dostupným na samostatném portálu Copilot pro Security.
Zkontrolujte vygenerované hlášení incidentu. Zpětnou vazbu k sestavě můžete poskytnout výběrem ikony zpětné vazby, která se nachází v dolní části výsledků .
Exportovat incident do PDF
Data incidentu můžete exportovat do PDF a vytvořit sestavu, kterou můžete snadno sdílet se zúčastněnými stranami. Exportovaná data incidentu obsahují relevantní informace, jako je příběh útoku, ovlivněné prostředky, relevantní výstrahy a obsah vygenerovaný umělou inteligencí od společnosti Copilot, jako je souhrn incidentu a hlášení incidentu. Díky této funkci můžou bezpečnostní týmy rychle exportovat další informace o incidentech pro diskuze po incidentech v rámci členů týmu nebo s dalšími zúčastněnými stranami.
Soubor PDF můžete vygenerovat podle pokynů v exportu dat incidentu do PDF.
Doporučení pro vytváření sestav incidentů
Tady je několik doporučení, která byste měli zvážit, abyste zajistili, že Copilot vygeneruje komplexní a kompletní hlášení incidentů:
- Před generováním hlášení incidentu incident klasifikujte a vyřešte incident.
- Nezapomeňte psát a ukládat komentáře do protokolu aktivit služby Microsoft Sentinel nebo do komentářů a historie incidentů v protokolu aktivit incidentů služby Microsoft Defender XDR , abyste do hlášení incidentu zahrnuli komentáře.
- Pište komentáře pomocí komplexního a jasného jazyka. Podrobné a jasné komentáře poskytují lepší kontext o akcích odezvy. V následujících krocích zjistíte, jak získat přístup k poli komentářů:
- Přidání komentářů k incidentům v portálu Microsoft Defender
- Přidání komentářů k incidentům ve službě Microsoft Sentinel
- Uživatelům ServiceNow povolit obousměrnou synchronizační Microsoft Sentinel a ServiceNow, abyste získali robustnější data incidentů.
- Zkopírujte vygenerovanou sestavu incidentu a publikujte ji do protokolu aktivit na portálu Microsoft Defender, abyste měli jistotu, že se sestava incidentu uloží na stránce incidentu.
Viz také
- Začínáme s Microsoft Copilot pro Security
- Další informace o dalších integrovaných funkcích Copilot pro Security
- Další informace o předinstalovaných modulech plug-in v Copilot pro Security
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro