Sdílet prostřednictvím

Vytvoření hlášení incidentu pomocí Microsoft Copilotu v Microsoft Defender

  • Článek

Platí pro:

  • Microsoft Defender XDR
  • Platforma jednotného centra bezpečnostních operací (SOC) Microsoft Defender

Microsoft Copilot pro Security v portálu v Microsoft Defender pomáhá bezpečnostním provozním týmům efektivně psát zprávy o incidentech. S využitím zpracování dat s podporou AI od Copilota pro Security můžou bezpečnostní týmy okamžitě vytvářet hlášení incidentů kliknutím na tlačítko v portálu v Microsoft Defender.

Komplexní a jasná zpráva o incidentech je základním odkazem pro bezpečnostní týmy a správu operací zabezpečení. Napsání komplexní sestavy s důležitými podrobnostmi však může být pro týmy bezpečnostních operací časově náročným úkolem. Shromažďování, organizování a shrnutí informací o incidentech z více zdrojů vyžaduje soustředění a podrobnou analýzu k vytvoření sestavy bohaté na informace. Bezpečnostní týmy teď můžou na portálu okamžitě vytvořit rozsáhlou zprávu o incidentech pomocí Copilot v Defenderu.

Zatímco souhrn incidentu poskytuje přehled o incidentu a o tom, jak k němu došlo, hlášení incidentu slučuje informace o incidentech z různých zdrojů dat dostupných ve službách Microsoft Sentinel a XDR v Defenderu. Zpráva incidentu vygenerovaná Copilotem obsahuje také všechny analytické kroky a automatizované akce, analytiky zapojené do reakce incidentu a komentáře analytiků. Ať už bezpečnostní týmy používají Microsoft Sentinel, XDR v Microsoft Defenderu, nebo obojí, všechna relevantní data incidentů se přidají do vygenerovaného hlášení incidentu.

Copilot generuje zprávu o incidentu na základě provedených automatických a manuálních akcí a komentářů a poznámek analytiků zveřejněných v incidentu. Můžete si prohlédnout a postupovat podle doporučení, abyste zajistili, že Copilot vytvoří komplexní zprávu o incidentu.

Možnost generování hlášení incidentu v programu Microsoft Defender je k dispozici prostřednictvím licence Copilot pro Security. Tato možnost je k dispozici také na samostatném portálu Copilot pro Security prostřednictvím modulu plug-in Microsoft Defender XDR.

Tato příručka obsahuje seznam dat v sestavách incidentů a obsahuje kroky pro přístup k funkci vytváření sestav incidentů na portálu Microsoft Defender. Obsahuje také informace o tom, jak poskytnout zpětnou vazbu k vygenerované sestavě.

Obsah hlášení incidentu

Copilot v Defenderu vytvoří hlášení incidentu obsahující následující informace:

  • Časová razítka hlavních akcí správy incidentů, včetně:
    • Vytvoření a uzavření incidentu
    • První a poslední protokoly, ať už protokol řízený analytikem nebo automatizovaný, zachycený v incidentu
  • Analytici zapojení do reakce na incidenty
  • Klasifikace incidentu, včetně důvodu klasifikace analytika, kterou Copilot shrnuje
  • Prověřovací a nápravné akce
  • Řiďte se akcemi, jako jsou doporučení, otevřené problémy nebo další kroky uvedené analytiky v protokolech incidentů

Do hlášení incidentu jsou zahrnuty akce, jako je izolace zařízení, zakázání uživatele a obnovitelné odstranění e-mailů. Úplný seznam akcí zahrnutých v hlášení incidentu najdete v Centru akcí. Hlášení incidentu také obsahuje spuštěné playbooky Microsoft Sentinel. Příkazy okamžité reakce a akce odpovědí přicházející z veřejných zdrojů rozhraní API nebo z vlastních detekcí se zatím nepodporují.

Doporučujeme vyřešit incident, abyste mohli zobrazit všechny provedené akce. Incidenty, které nejsou vyřešené, budou částečně odrážet akce v hlášení incidentu.

Vytvoření hlášení incidentu

Pokud chcete vytvořit hlášení incidentu pomocí Copilot v Defenderu, proveďte následující kroky:

  1. Otevřete stránku incidentu. Na stránce incidentu přejděte na Další akcetři tečky (...) a pak vyberteVygenerovat sestavu incidentu. Případně můžete vybrat ikonu sestavy, která se nachází v bočním panelu Copilota.

    Snímek obrazovky se zvýrazněným tlačítkem vygeneroval sestavu incidentu a ikonu sestavy na stránce incidentu.

  2. Copilot vytvoří hlášení incidentu. Vytváření sestavy můžete zastavit výběrem možnosti Zrušit a opětovným vytvořením sestavy výběrem možnosti Znovu vygenerovat. Kromě toho můžete vytvoření sestavy restartovat, pokud dojde k chybě.

  3. Karta hlášení incidentu se zobrazí v podokně Copilota. Vygenerovaná sestava závisí na informacích o incidentu, které jsou k dispozici v XDR v Microsoft Defenderu a Microsoft Sentinelu. Přečtěte si doporučení pokud chcete zajistit ucelenou zprávu o incidentech.

    Snímek obrazovky s kartou hlášení incidentu na stránce incidentu zobrazující horní polovinu karty.

    Snímek obrazovky s kartou sestavy incidentu na stránce incidentu zobrazující dolní část karty

  4. Vyberte tři tečky Další akce (...) umístěné v pravém horním rohu karty hlášení incidentu. Pokud chcete sestavu zkopírovat, vyberte Kopírovat do schránky a vložte sestavu do preferovaného systému, publikovat do protokolu aktivit a přidat sestavu do protokolu aktivit na portálu Microsoft Defender. Pokud chcete exportovat data incidentu do PDF, exportujte incident jako PDF. Vyberte Znovu vygenerovat a znovu spusťte vytváření sestavy. Můžete také Otevřít v Copilot pro Security, zobrazit výsledky a pokračovat v přístupu k dalším modulům plug-in dostupným na samostatném portálu Copilot pro Security.

    Snímek obrazovky s dalšími akcemi na kartě s výsledky hlášení incidentu.

  5. Zkontrolujte vygenerované hlášení incidentu. Zpětnou vazbu k sestavě můžete poskytnout výběrem ikony zpětné vazby, která se nachází v dolní části výsledků . Snímek obrazovky s ikonou zpětné vazby na kartách pro Copilot Defender.

Exportovat incident do PDF

Data incidentu můžete exportovat do PDF a vytvořit sestavu, kterou můžete snadno sdílet se zúčastněnými stranami. Exportovaná data incidentu obsahují relevantní informace, jako je příběh útoku, ovlivněné prostředky, relevantní výstrahy a obsah vygenerovaný umělou inteligencí od společnosti Copilot, jako je souhrn incidentu a hlášení incidentu. Díky této funkci můžou bezpečnostní týmy rychle exportovat další informace o incidentech pro diskuze po incidentech v rámci členů týmu nebo s dalšími zúčastněnými stranami.

Soubor PDF můžete vygenerovat podle pokynů v exportu dat incidentu do PDF.

Doporučení pro vytváření sestav incidentů

Tady je několik doporučení, která byste měli zvážit, abyste zajistili, že Copilot vygeneruje komplexní a kompletní hlášení incidentů:

  • Před generováním hlášení incidentu incident klasifikujte a vyřešte incident.
  • Nezapomeňte psát a ukládat komentáře do protokolu aktivit služby Microsoft Sentinel nebo do komentářů a historie incidentů v protokolu aktivit incidentů služby Microsoft Defender XDR , abyste do hlášení incidentu zahrnuli komentáře.
  • Pište komentáře pomocí komplexního a jasného jazyka. Podrobné a jasné komentáře poskytují lepší kontext o akcích odezvy. V následujících krocích zjistíte, jak získat přístup k poli komentářů:
  • Uživatelům ServiceNow povolit obousměrnou synchronizační Microsoft Sentinel a ServiceNow, abyste získali robustnější data incidentů.
  • Zkopírujte vygenerovanou sestavu incidentu a publikujte ji do protokolu aktivit na portálu Microsoft Defender, abyste měli jistotu, že se sestava incidentu uloží na stránce incidentu.

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.