Erstellen eines Incidentberichts mit Microsoft Copilot in Microsoft Defender

Gilt für:

• Microsoft Defender XDR
• Microsoft Defender Unified Security Operations Center (SOC)-Plattform

Microsoft Copilot für Security im Microsoft Defender-Portal unterstützt Sicherheitsteams beim effizienten Schreiben von Incidentberichten. Mithilfe der KI-gestützten Datenverarbeitung von Copilot für Security können Sicherheitsteams sofort Incidentberichte mit einem Klick auf eine Schaltfläche im Microsoft Defender-Portal erstellen.

Ein umfassender und klarer Incidentbericht ist eine wichtige Referenz für Sicherheitsteams und die Verwaltung von Sicherheitsvorgängen. Das Schreiben eines umfassenden Berichts mit den vorhandenen wichtigen Details kann jedoch eine zeitaufwändige Aufgabe für Sicherheitsbetriebsteams sein. Das Sammeln, Organisieren und Zusammenfassen von Incidentinformationen aus mehreren Quellen erfordert eine fokussierte und detaillierte Analyse, um einen Bericht mit umfangreichen Informationen zu erstellen. Mit Copilot in Defender können Sicherheitsteams jetzt sofort einen umfangreichen Incidentbericht im Portal erstellen.

Während eine Incidentzusammenfassung einen Überblick über einen Incident und dessen Auftreten bietet, werden in einem Incidentbericht Incidentinformationen aus verschiedenen Datenquellen konsolidiert, die in Microsoft Sentinel und Defender XDR verfügbar sind. Der von Copilot generierte Incidentbericht enthält auch alle von Analysten gesteuerten Schritte und automatisierten Aktionen, die an der Reaktion auf Vorfälle beteiligten Analysten und die Kommentare der Analysten. Unabhängig davon, ob Sicherheitsteams Microsoft Sentinel, Defender XDR oder beides verwenden, werden alle relevanten Incidentdaten dem generierten Incidentbericht hinzugefügt.

Copilot generiert den Schadensbericht basierend auf den automatischen und manuell implementierten Aktionen sowie den Kommentaren und Notizen der Analysten, die im Incident gepostet wurden. Sie können die Empfehlungen überprüfen und befolgen, um sicherzustellen, dass Copilot einen umfassenden Incidentbericht erstellt.

Die Funktion zum Generieren von Incidentberichten in Microsoft Defender ist über die Copilot für Security-Lizenz verfügbar. Diese Funktion ist auch im eigenständigen Copilot für Security-Portal über das Microsoft Defender XDR-Plug-In verfügbar.

Dieser Leitfaden listet die Daten in Incidentberichten auf und enthält Schritte zum Zugriff auf die Funktion zum Erstellen von Incidentberichten im Microsoft Defender-Portal. Außerdem enthält sie Informationen dazu, wie Sie Feedback zum generierten Bericht geben können.

Inhalt des Incidentberichts

Copilot in Defender erstellt einen Incidentbericht mit den folgenden Informationen:

• Zeitstempel der wichtigsten Incidentmanagementmaßnahmen, einschließlich:
  • Erstellen und Schließen vom Incident
  • Erste und letzte Protokolle, unabhängig davon, ob das Protokoll vom Analysten gesteuert oder automatisiert war, werden im Incident erfasst.
• Die Analysten, die an der Incident Response beteiligt sind
• Incidentklassifizierung, einschließlich des Analysegrunds für die Klassifizierung, die Copilot zusammenfasst
• Untersuchungs- und Wartungsaktionen
• Nachverfolgung von Aktionen wie Empfehlungen, offenen Problemen oder nächsten Schritten, die von den Analysten in den Incidentprotokollen angegeben werden

Aktionen wie Geräteisolation, Deaktivieren eines Benutzers und vorläufiges Löschen von E-Mails sind im Schadensbericht enthalten. Eine vollständige Liste der im Incidentbericht enthaltenen Aktionen finden Sie im Info-Center. Der Incidentbericht enthält auch Microsoft Sentinel-Playbooks, die ausgeführt wurden. Liveantwortbefehle und Antwortaktionen aus öffentlichen API-Quellen oder benutzerdefinierten Erkennungen werden noch nicht unterstützt.

Es wird empfohlen, den Incident zu beheben, um alle ausgeführten Aktionen anzuzeigen. Incidents, die nicht aufgelöst werden, spiegeln teilweise die Aktionen im Schadensbericht wider.

Erstellen eines Schadensberichts

Führen Sie zum Erstellen eines Incidentberichts mit Copilot in Defender die folgenden Schritte aus:

1. Öffnen Sie eine Vorfallsseite. Navigieren Sie auf der Incidentseite zu den Auslassungspunkten für weitere Aktionen (...), und wählen Sie dann Incidentbericht generieren aus. Alternativ können Sie das Berichtssymbol im Copilot-Seitenbereich auswählen.

   

2. Copilot erstellt den Incidentbericht. Sie können die Berichtserstellung beenden, indem Sie Abbrechen auswählen und die Berichtserstellung neu starten, indem Sie Erneut generieren auswählen. Darüber hinaus können Sie die Berichtserstellung neu starten, wenn ein Fehler auftritt.

3. Die Karte "Incidentbericht" wird im Bereich "Copilot" angezeigt. Der generierte Bericht hängt von den Incidentinformationen ab, die von Microsoft Defender XDR und Microsoft Sentinel verfügbar sind. Lesen Sie die Empfehlungen, um einen umfassenden Incidentbericht sicherzustellen.

   

   

4. Wählen Sie die Auslassungspunkte für weitere Aktionen (...) in der oberen rechten Ecke der Karte "Incidentbericht" aus. Um den Bericht zu kopieren, wählen Sie In Zwischenablage kopieren aus, und fügen Sie den Bericht in Ihr bevorzugtes System ein, In Aktivitätsprotokoll posten, um den Bericht dem Aktivitätsprotokoll im Microsoft Defender-Portal hinzuzufügen, oder Incident als PDF exportieren, um die Incidentdaten in PDF zu exportieren. Wählen Sie Neu generieren aus, um die Berichtserstellung neu zu starten. Sie können auch in Copilot für Security öffnen, um die Ergebnisse anzuzeigen und weiterhin auf andere Plug-Ins zuzugreifen, die im eigenständigen Copilot für Security-Portal verfügbar sind.

   

5. Überprüfen Sie den generierten Incidentbericht. Sie können Feedback zum Bericht bereitstellen, indem Sie das Feedbacksymbol am unteren Rand der Ergebnisse auswählen .

Incident in PDF exportieren

Sie können die Incidentdaten als PDF-Datei exportieren, um einen Bericht zu erstellen, den Sie problemlos für Projektbeteiligte freigeben können. Die exportierten Incidentdaten enthalten relevante Informationen wie die Angriffsgeschichte, betroffene Ressourcen, relevante Warnungen und KI-generierte Inhalte von Copilot, z. B. die Incidentzusammenfassung und den Incidentbericht. Mit dieser Funktion können Sicherheitsteams schnell weitere Informationen zu Vorfällen exportieren, um Diskussionen nach dem Incident innerhalb von Teammitgliedern oder mit anderen Beteiligten zu führen.

Sie können die Schritte unter Exportieren von Incidentdaten in PDF ausführen, um die PDF-Datei zu generieren.

Empfehlungen für die Erstellung von Incidentberichten

Im Folgenden sind einige Empfehlungen aufgeführt, die Sie berücksichtigen sollten, um sicherzustellen, dass Copilot einen umfassenden und vollständigen Incidentbericht generiert:

• Klassifizieren und beheben Sie den Incident, bevor Sie den Incidentbericht erstellen.
• Stellen Sie sicher, dass Sie Kommentare im Microsoft Sentinel-Aktivitätsprotokoll oder im Microsoft Defender XDR-Incidentaktivitätsprotokoll schreiben und speichern, um die Kommentare in den Incidentbericht einzuschließen.
• Schreiben Sie Kommentare in einer umfassenden und klaren Sprache. Ausführliche und klare Kommentare bieten einen besseren Kontext zu den Antwortaktionen. In den folgenden Schritten erfahren Sie, wie Sie auf das Kommentarfeld zugreifen:
  • Hinzufügen von Kommentaren zu Incidents im Microsoft Defender-Portal
  • Hinzufügen von Kommentaren zu Incidents in Microsoft Sentinel
• Aktivieren Sie für ServiceNow-Benutzer die bidirektionale Synchronisierung von Microsoft Sentinel und ServiceNow, um stabilere Incidentdaten zu erhalten.
• Kopieren Sie den generierten Incidentbericht, und stellen Sie ihn im Aktivitätsprotokoll im Microsoft Defender-Portal bereit, um sicherzustellen, dass der Incidentbericht auf der Incidentseite gespeichert wird.

Siehe auch

• Erste Schritte mit Microsoft Copilot für Security
• Weitere Informationen zu anderen eingebetteten Copilot für Security-Umgebungen
• Weitere Informationen zu vorinstallierten Plug-Ins in Copilot für Security

Tipp

Möchten Sie mehr erfahren? Treten Sie mit der Microsoft Security-Community in unserer Tech Community in Kontakt: Microsoft Defender XDR Tech Community.