Create eines Incidentberichts mit Microsoft Copilot in Microsoft Defender

Gilt für:

• Microsoft Defender XDR
• Microsoft Defender SOC-Plattform (Unified Security Operations Center)

Microsoft Copilot für Security im Microsoft Defender-Portal unterstützt Sicherheitsteams bei der effizienten Erstellung von Incidentberichten. Mithilfe der KI-gestützten Datenverarbeitung von Copilot für Security können Sicherheitsteams sofort Mit einem Klick auf eine Schaltfläche im Microsoft Defender-Portal Incidentberichte erstellen.

Ein umfassender und klarer Incidentbericht ist eine wichtige Referenz für Sicherheitsteams und die Verwaltung von Sicherheitsvorgängen. Das Schreiben eines umfassenden Berichts mit den wichtigen Details kann jedoch für Sicherheitsteams eine zeitaufwendige Aufgabe sein. Das Sammeln, Organisieren und Zusammenfassen von Incidentinformationen aus mehreren Quellen erfordert den Fokus und eine detaillierte Analyse, um einen bericht mit vielen Informationen zu erstellen. Mit Copilot in Defender können Sicherheitsteams jetzt sofort einen umfangreichen Incidentbericht im Portal erstellen.

Während eine Incidentzusammenfassung einen Überblick über einen Vorfall und dessen Auftreten bietet, konsolidiert ein Incidentbericht Incidentinformationen aus verschiedenen Datenquellen, die in Microsoft Sentinel und Defender XDR verfügbar sind. Der copilot-generierte Incidentbericht enthält auch alle von Analysten gesteuerten Schritte und automatisierten Aktionen, die an der Reaktion auf Vorfälle beteiligten Analysten und die Kommentare der Analysten. Unabhängig davon, ob Sicherheitsteams Microsoft Sentinel, Defender XDR oder beides verwenden, werden alle relevanten Incidentdaten dem generierten Incidentbericht hinzugefügt.

Copilot generiert den Incidentbericht basierend auf den automatischen und manuellen Aktionen, die implementiert wurden, sowie auf den Kommentaren und Notizen der Analysten, die im Incident veröffentlicht wurden. Sie können die Empfehlungen überprüfen und befolgen, um sicherzustellen, dass Copilot einen umfassenden Incidentbericht erstellt.

Die Funktion zum Generieren von Incidentberichten in Microsoft Defender ist über die Copilot für Security-Lizenz verfügbar. Diese Funktion ist auch im Copilot für Security eigenständigen Portal über das Microsoft Defender XDR-Plug-In verfügbar.

Dieser Leitfaden listet die Daten in Incidentberichten auf und enthält Schritte zum Zugriff auf die Funktion zum Erstellen von Incidentberichten im Microsoft Defender-Portal. Es enthält auch Informationen dazu, wie Feedback zum generierten Bericht bereitgestellt werden kann.

Inhalt des Incidentberichts

Copilot in Defender erstellt einen Incidentbericht mit den folgenden Informationen:

• Die zeitstempel der Standard Incident management-Aktionen, einschließlich:
  • Erstellen und Schließen von Incidents
  • Erste und letzte Protokolle, unabhängig davon, ob das Protokoll vom Analysten gesteuert oder automatisiert war, werden im Incident erfasst.
• Die an der Reaktion auf Vorfälle beteiligten Analysten
• Incidentklassifizierung, einschließlich des Grunds des Analysten für die Klassifizierung, die Copilot zusammenfasst
• Untersuchungs- und Wiederherstellungsaktionen
• Nachverfolgen von Aktionen wie Empfehlungen, offenen Problemen oder nächsten Schritten, die von den Analysten in den Incidentprotokollen notiert wurden

Aktionen wie Geräteisolation, Deaktivieren eines Benutzers und vorläufiges Löschen von E-Mails sind im Incidentbericht enthalten. Eine vollständige Liste der im Incidentbericht enthaltenen Aktionen finden Sie im Info-Center. Der Incidentbericht enthält auch ausgeführte Microsoft Sentinel-Playbooks. Live-Antwortbefehle und Antwortaktionen, die aus öffentlichen API-Quellen oder benutzerdefinierten Erkennungen stammen, werden noch nicht unterstützt.

Es wird empfohlen, den Incident zu beheben, um alle ausgeführten Aktionen anzuzeigen. Vorfälle, die nicht aufgelöst werden, spiegeln teilweise die Aktionen im Incidentbericht wider.

Erstellen eines Schadensberichts

Führen Sie zum Erstellen eines Incidentberichts mit Copilot in Defender die folgenden Schritte aus:

1. Öffnen Sie eine Vorfallsseite. Navigieren Sie auf der Incidentseite zu den Auslassungspunkten Weitere Aktionen (...) und wählen Sie dann Incidentbericht generieren aus. Alternativ können Sie das Berichtssymbol im Copilot-Seitenbereich auswählen.

   

2. Copilot erstellt den Incidentbericht. Sie können die Berichtserstellung beenden, indem Sie Abbrechen auswählen und die Berichtserstellung neu starten, indem Sie Erneut generieren auswählen. Darüber hinaus können Sie die Berichtserstellung neu starten, wenn ein Fehler auftritt.

3. Der Vorfallbericht Karte im Bereich Copilot angezeigt. Der generierte Bericht hängt von den Incidentinformationen ab, die in Microsoft Defender XDR und Microsoft Sentinel verfügbar sind. Lesen Sie die Empfehlungen , um einen umfassenden Incidentbericht sicherzustellen.

   

   

4. Wählen Sie die Auslassungspunkte weitere Aktionen (...) in der oberen rechten Ecke des Incidentberichts Karte aus. Um den Bericht zu kopieren, wählen Sie In Zwischenablage kopieren aus, und fügen Sie den Bericht in Ihr bevorzugtes System ein, In Aktivitätsprotokoll veröffentlichen, um den Bericht dem Aktivitätsprotokoll im Microsoft Defender-Portal hinzuzufügen, oder Incident als PDF exportieren, um die Incidentdaten als PDF zu exportieren. Wählen Sie Neu generieren aus, um die Berichtserstellung neu zu starten. Sie können auch in Copilot für Security öffnen, um die Ergebnisse anzuzeigen und weiterhin auf andere Plug-Ins zuzugreifen, die im eigenständigen Copilot für Security-Portal verfügbar sind.

   

5. Überprüfen Sie den generierten Incidentbericht. Sie können Feedback zum Bericht geben, indem Sie das Feedbacksymbol unten in den Ergebnissen auswählen .

Exportieren eines Incidents in eine PDF-Datei

Sie können die Incidentdaten in eine PDF-Datei exportieren, um einen Bericht zu erstellen, den Sie problemlos für die Beteiligten freigeben können. Die exportierten Incidentdaten enthalten relevante Informationen wie den Angriffsverlauf, betroffene Ressourcen, relevante Warnungen und KI-generierte Inhalte von Copilot, z. B. die Incidentzusammenfassung und den Incidentbericht. Mit dieser Funktion können Sicherheitsteams schnell weitere Incidentinformationen für Diskussionen nach dem Incident innerhalb von Teammitgliedern oder mit anderen Beteiligten exportieren.

Sie können die Schritte unter Exportieren von Incidentdaten in eine PDF-Datei ausführen, um die PDF-Datei zu generieren.

Empfehlungen für die Erstellung von Incidentberichten

Hier sind einige Empfehlungen, die Sie berücksichtigen sollten, um sicherzustellen, dass Copilot einen umfassenden und vollständigen Incidentbericht generiert:

• Klassifizieren und beheben Sie den Incident, bevor Sie den Incidentbericht erstellen.
• Stellen Sie sicher, dass Sie Kommentare im Microsoft Sentinel-Aktivitätsprotokoll oder im Microsoft Defender XDR Incidentaktivitätsprotokoll schreiben und speichern, um die Kommentare in den Incidentbericht aufzunehmen.
• Schreiben Sie Kommentare in einer umfassenden und klaren Sprache. Ausführliche und klare Kommentare bieten einen besseren Kontext zu den Antwortaktionen. In den folgenden Schritten erfahren Sie, wie Sie auf das Kommentarfeld zugreifen:
  • Hinzufügen von Kommentaren zu Incidents im Microsoft Defender-Portal
  • Hinzufügen von Kommentaren zu Incidents in Microsoft Sentinel
• Aktivieren Sie für ServiceNow-Benutzer die bidirektionale Synchronisierung von Microsoft Sentinel und ServiceNow, um stabilere Incidentdaten zu erhalten.
• Kopieren Sie den generierten Incidentbericht, und stellen Sie ihn im Aktivitätsprotokoll im Microsoft Defender-Portal bereit, um sicherzustellen, dass der Incidentbericht auf der Incidentseite gespeichert wird.

Siehe auch

• Erste Schritte mit Microsoft Copilot für Security
• Weitere Informationen zu anderen Copilot für Security eingebetteten Umgebungen
• Erfahren Sie mehr über vorinstallierte Plug-Ins in Copilot für Security

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.