Erstellen eines Incidentberichts mit Microsoft Copilot in Microsoft Defender
Microsoft Copilot für Security im Microsoft Defender-Portal unterstützt Sicherheitsteams beim effizienten Schreiben von Incidentberichten. Mithilfe der KI-gestützten Datenverarbeitung von Copilot für Security können Sicherheitsteams sofort Incidentberichte mit einem Klick auf eine Schaltfläche im Microsoft Defender-Portal erstellen.
Dieser Leitfaden listet die Daten in Incidentberichten auf und enthält Schritte zum Zugriff auf die Funktion zum Erstellen von Incidentberichten im Microsoft Defender-Portal. Außerdem enthält sie Informationen dazu, wie Sie Feedback zum generierten Bericht geben können.
Klare Ideen vor dem Loslegen
Wenn Sie noch nicht mit Copilot for Security vertraut sind, sollten Sie sich damit vertraut machen, indem Sie die folgenden Artikel lesen:
- Was ist Copilot for Security?
- Copilot für Security Erfahrungen
- Erste Schritte mit Copilot für Security
- Grundlegendes zur Authentifizierung in Copilot for Security
- Eingabeaufforderung in Copilot für Security
Ein umfassender und klarer Incidentbericht ist eine wichtige Referenz für Sicherheitsteams und die Verwaltung von Sicherheitsvorgängen. Das Schreiben eines umfassenden Berichts mit den vorhandenen wichtigen Details kann jedoch eine zeitaufwändige Aufgabe für Sicherheitsbetriebsteams sein. Das Sammeln, Organisieren und Zusammenfassen von Incidentinformationen aus mehreren Quellen erfordert eine fokussierte und detaillierte Analyse, um einen Bericht mit umfangreichen Informationen zu erstellen. Mit Copilot in Defender können Sicherheitsteams jetzt sofort einen umfangreichen Incidentbericht im Portal erstellen.
Während eine Incidentzusammenfassung einen Überblick über einen Incident und dessen Auftreten bietet, werden in einem Incidentbericht Incidentinformationen aus verschiedenen Datenquellen konsolidiert, die in Microsoft Sentinel und Defender XDR verfügbar sind. Der von Copilot generierte Incidentbericht enthält auch alle von Analysten gesteuerten Schritte und automatisierten Aktionen, die an der Reaktion auf Vorfälle beteiligten Analysten und die Kommentare der Analysten. Unabhängig davon, ob Sicherheitsteams Microsoft Sentinel, Defender XDR oder beides verwenden, werden alle relevanten Incidentdaten dem generierten Incidentbericht hinzugefügt.
Copilot generiert den Schadensbericht basierend auf den automatischen und manuell implementierten Aktionen sowie den Kommentaren und Notizen der Analysten, die im Incident gepostet wurden. Sie können die Empfehlungen überprüfen und befolgen, um sicherzustellen, dass Copilot einen umfassenden Incidentbericht erstellt.
Copilot for Security-Integration in Microsoft Defender
Die Funktion zum Generieren von Incidentberichten in Microsoft Defender ist für Kunden verfügbar, die Zugriff auf Copilot for Security bereitgestellt haben.
Diese Funktion ist auch im eigenständigen Copilot für Security-Portal über das Microsoft Defender XDR-Plug-In verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Copilot für Security.
Hauptmerkmale
Copilot in Defender erstellt einen Incidentbericht mit den folgenden Informationen:
- Zeitstempel der wichtigsten Incidentmanagementmaßnahmen, einschließlich:
- Erstellen und Schließen vom Incident
- Erste und letzte Protokolle, unabhängig davon, ob das Protokoll vom Analysten gesteuert oder automatisiert war, werden im Incident erfasst.
- Die Analysten, die an der Incident Response beteiligt sind
- Incidentklassifizierung, einschließlich des Analysegrunds für die Klassifizierung, die Copilot zusammenfasst
- Untersuchungs- und Wartungsaktionen
- Nachverfolgung von Aktionen wie Empfehlungen, offenen Problemen oder nächsten Schritten, die von den Analysten in den Incidentprotokollen angegeben werden
Aktionen wie Geräteisolation, Deaktivieren eines Benutzers und vorläufiges Löschen von E-Mails sind im Schadensbericht enthalten. Eine vollständige Liste der im Incidentbericht enthaltenen Aktionen finden Sie im Info-Center. Der Incidentbericht enthält auch Microsoft Sentinel-Playbooks, die ausgeführt wurden. Liveantwortbefehle und Antwortaktionen aus öffentlichen API-Quellen oder benutzerdefinierten Erkennungen werden noch nicht unterstützt.
Es wird empfohlen, den Incident zu beheben, um alle ausgeführten Aktionen anzuzeigen. Incidents, die nicht aufgelöst werden, spiegeln teilweise die Aktionen im Schadensbericht wider.
Erstellen eines Schadensberichts
Führen Sie zum Erstellen eines Incidentberichts mit Copilot in Defender die folgenden Schritte aus:
Öffnen Sie eine Vorfallsseite. Navigieren Sie auf der Incidentseite zu den Auslassungspunkten für weitere Aktionen (...), und wählen Sie dann Incidentbericht generieren aus. Alternativ können Sie das Berichtssymbol im Copilot-Seitenbereich auswählen.
Copilot erstellt den Incidentbericht. Sie können die Berichtserstellung beenden, indem Sie Abbrechen auswählen und die Berichtserstellung neu starten, indem Sie Erneut generieren auswählen. Darüber hinaus können Sie die Berichtserstellung neu starten, wenn ein Fehler auftritt.
Die Karte "Incidentbericht" wird im Bereich "Copilot" angezeigt. Der generierte Bericht hängt von den Incidentinformationen ab, die von Microsoft Defender XDR und Microsoft Sentinel verfügbar sind. Lesen Sie die Empfehlungen, um einen umfassenden Incidentbericht sicherzustellen.
Wählen Sie die Auslassungspunkte für weitere Aktionen (...) in der oberen rechten Ecke der Karte "Incidentbericht" aus. Um den Bericht zu kopieren, wählen Sie In Zwischenablage kopieren aus, und fügen Sie den Bericht in Ihr bevorzugtes System ein, In Aktivitätsprotokoll posten, um den Bericht dem Aktivitätsprotokoll im Microsoft Defender-Portal hinzuzufügen, oder Incident als PDF exportieren, um die Incidentdaten in PDF zu exportieren. Wählen Sie Neu generieren aus, um die Berichtserstellung neu zu starten. Sie können auch in Copilot für Security öffnen, um die Ergebnisse anzuzeigen und weiterhin auf andere Plug-Ins zuzugreifen, die im eigenständigen Copilot für Security-Portal verfügbar sind.
Überprüfen Sie den generierten Incidentbericht. Sie können Feedback zum Bericht bereitstellen, indem Sie das Feedbacksymbol am unteren Rand der Ergebnisse auswählen .
Exportieren von Incidentdaten in eine PDF-Datei
Sie können die Incidentdaten als PDF-Datei exportieren, um einen Bericht zu erstellen, den Sie problemlos für Projektbeteiligte freigeben können. Die exportierten Incidentdaten enthalten relevante Informationen wie die Angriffsgeschichte, betroffene Ressourcen, relevante Warnungen und KI-generierte Inhalte von Copilot, z. B. die Incidentzusammenfassung und den Incidentbericht. Mit dieser Funktion können Sicherheitsteams schnell weitere Informationen zu Vorfällen exportieren, um Diskussionen nach dem Incident innerhalb von Teammitgliedern oder mit anderen Beteiligten zu führen.
Sie können die Schritte unter Exportieren von Incidentdaten in PDF ausführen, um die PDF-Datei zu generieren.
Empfehlungen für die Erstellung von Incidentberichten
Im Folgenden sind einige Empfehlungen aufgeführt, die Sie berücksichtigen sollten, um sicherzustellen, dass Copilot einen umfassenden und vollständigen Incidentbericht generiert:
- Klassifizieren und beheben Sie den Incident, bevor Sie den Incidentbericht erstellen.
- Stellen Sie sicher, dass Sie Kommentare im Microsoft Sentinel-Aktivitätsprotokoll oder im Microsoft Defender XDR-Incidentaktivitätsprotokoll schreiben und speichern, um die Kommentare in den Incidentbericht einzuschließen.
- Schreiben Sie Kommentare in einer umfassenden und klaren Sprache. Ausführliche und klare Kommentare bieten einen besseren Kontext zu den Antwortaktionen. In den folgenden Schritten erfahren Sie, wie Sie auf das Kommentarfeld zugreifen:
- Hinzufügen von Kommentaren zu Incidents im Microsoft Defender-Portal
- Hinzufügen von Kommentaren zu Incidents in Microsoft Sentinel
- Aktivieren Sie für ServiceNow-Benutzer die bidirektionale Synchronisierung von Microsoft Sentinel und ServiceNow, um stabilere Incidentdaten zu erhalten.
- Kopieren Sie den generierten Incidentbericht, und stellen Sie ihn im Aktivitätsprotokoll im Microsoft Defender-Portal bereit, um sicherzustellen, dass der Incidentbericht auf der Incidentseite gespeichert wird.
Beispielaufforderung für die Erstellung eines Incidentberichts
Im eigenständigen Copilot for Security-Portal können Sie die folgende Eingabeaufforderung verwenden, um den Incidentbericht zu erstellen:
- Generieren Sie den Incidentbericht für defender incident {incident ID}.
Tipp
Beim Generieren von Incidentberichten im Copilot for Security-Portal empfiehlt Microsoft, das Wort Defender in Ihre Eingabeaufforderungen aufzunehmen, um sicherzustellen, dass die Funktion zum Erstellen von Incidentberichten die Ergebnisse liefert.
Feedback geben
Microsoft empfiehlt Ihnen dringend, Copilot Feedback zu geben, da dies für die kontinuierliche Verbesserung einer Funktion von entscheidender Bedeutung ist. Um Feedback zu geben, navigieren Sie zum unteren Rand des Copilot-Seitenbereichs, und wählen Sie das Feedbacksymbol aus.
Siehe auch
- Weitere Informationen zu anderen eingebetteten Copilot für Security-Umgebungen
- Datenschutz und Datensicherheit in Copilot for Security
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.