Crear un informe de incidentes con Microsoft Copilot en Microsoft Defender

• Se aplica a:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Copilot para seguridad en el portal de Microsoft Defender ayuda a los equipos de operaciones de seguridad a escribir informes de incidentes de forma eficaz. Al usar el procesamiento de datos con tecnología de inteligencia artificial de Copilot para seguridad, los equipos de seguridad pueden crear inmediatamente informes de incidentes con un clic en un botón en el portal de Microsoft Defender.

En esta guía se enumeran los datos de los informes de incidentes y se indican los pasos para acceder a la funcionalidad de creación de informes de incidentes en el portal de Microsoft Defender. También incluye información sobre cómo proporcionar comentarios sobre el informe generado.

Saber antes de empezar

Si no está familiarizado con Copilot for Security, debe familiarizarse con él leyendo los artículos siguientes:

• ¿Qué es Copilot for Security?
• Experiencias de Copilot para seguridad
• Introducción a Copilot para seguridad
• Descripción de la autenticación en Copilot for Security
• Realizar una indicación de Copilot para seguridad

Un informe de incidentes completo y claro es una referencia esencial para los equipos de seguridad y la administración de operaciones de seguridad. Sin embargo, escribir un informe completo con los detalles importantes presentes puede ser una tarea que requiere mucho tiempo para los equipos de operaciones de seguridad. La recopilación, organización y resumen de la información de incidentes de varios orígenes requiere un enfoque y un análisis detallado para crear un informe con información completa. Con Copilot en Defender, los equipos de seguridad ahora pueden crear al instante un informe de incidentes completo en el portal.

Aunque un resumen de incidentes proporciona información general sobre un incidente y cómo se produjo, un informe de incidentes consolida la información de incidentes de varios orígenes de datos disponibles en Microsoft Sentinel y Defender XDR. El informe de incidentes generado por Copilot también incluye todos los pasos controlados por analistas y acciones automatizadas, los analistas implicados en la respuesta a incidentes y los comentarios de los analistas. Tanto si los equipos de seguridad usan Microsoft Sentinel, Defender XDR o ambos, todos los datos de incidentes pertinentes se agregan al informe de incidentes generado.

Copilot genera el informe de incidentes basándose en las acciones automáticas y manuales implementadas, y los comentarios y notas de los analistas publicados en el incidente. Puede revisar y seguir las recomendaciones para asegurarse de que Copilot crea un informe de incidentes completo.

Integración de Copilot for Security en Microsoft Defender

La funcionalidad de generación de informes de incidentes en Microsoft Defender está disponible para los clientes que han aprovisionado el acceso a Copilot for Security.

Esta funcionalidad también está disponible en el portal independiente de Copilot para seguridad a través del complemento de Microsoft Defender XDR. Más información sobre Complementos preinstalados en Copilot para seguridad.

Características principales

Copilot en Defender crea un informe de incidentes que contiene la siguiente información:

• Las marcas de tiempo de las principales acciones de administración de incidentes, incluidas las siguientes:
  • Creación y cierre del incidente
  • Primer y último registro, si el registro estaba controlado por analistas o estaba automatizado, capturado en el incidente
• Los analistas implicados en la respuesta a incidentes
• Clasificación del incidente, incluido el motivo del analista para la clasificación que Copilot resume
• Acciones de investigación y corrección
• Acciones de seguimiento como recomendaciones, problemas abiertos o pasos siguientes indicados por los analistas en los registros de incidentes

En el informe de incidentes se incluyen acciones como el aislamiento de dispositivos, la deshabilitación de un usuario y la eliminación temporal de correos electrónicos. Para obtener una lista completa de las acciones incluidas en el informe de incidentes, consulte el Centro de actividades. El informe de incidentes también incluye Cuadernos de estrategias de Microsoft Sentinel ejecutados. Aún no se admiten comandos de respuesta inmediata ni acciones de respuesta procedentes de orígenes de API públicos o de detecciones personalizadas.

Se recomienda resolver el incidente para ver todas las acciones que se han realizado. Los incidentes que no se resuelven reflejarán parcialmente las acciones en el informe de incidentes.

Crear un informe de incidentes

Para crear un informe de incidentes con Copilot en Defender, siga estos pasos:

1. Abra una página de incidente. En la página del incidente, vaya a los puntos suspensivos Más acciones (...) y, a continuación, seleccione Generar informe de incidentes. Como alternativa, puede seleccionar el icono de informe que se encuentra en el panel lateral de Copilot.

   

2. Copilot crea el informe de incidentes. Puede detener la creación del informe seleccionando Cancelar y reiniciar la creación del informe seleccionando Regenerar. Además, puede reiniciar la creación de informes si se produce un error.

3. La tarjeta del informe de incidentes aparece en el panel de Copilot. El informe generado depende de la información del incidente disponible de Microsoft Defender XDR y Microsoft Sentinel. Consulte las recomendaciones para garantizar un informe de incidentes completo.

   

   

4. Seleccione los puntos suspensivos de Más acciones (...) ubicados en la esquina superior derecha de la tarjeta de informe de incidentes. Para copiar el informe, seleccione Copiar en el Portapapeles y péguelo en el sistema que prefiera, Publicar en el registro de actividad para agregar el informe al registro de actividad en el portal de Microsoft Defender o Exportar incidente como PDF para exportar los datos del incidente a PDF. Seleccione Regenerar para reiniciar la creación de informes. También puede Abrir en Copilot para seguridad para ver los resultados y seguir accediendo a otros complementos disponibles en el portal independiente de Copilot para seguridad.

   

5. Revise el informe de incidentes generado. Puede proporcionar comentarios sobre el informe seleccionando el icono de comentarios que se encuentra en la parte inferior de los resultados .

Exportación de datos de incidentes a PDF

Puede exportar los datos del incidente a PDF para crear un informe que pueda compartir fácilmente con las partes interesadas. Los datos de incidentes exportados contienen información relevante, como el caso de ataque, los recursos afectados, las alertas pertinentes y el contenido generado por inteligencia artificial de Copilot, como el resumen de incidentes y el informe de incidentes. Con esta funcionalidad, los equipos de seguridad pueden exportar rápidamente más información sobre los incidentes para discusiones posteriores al incidente con los miembros del equipo o con otras partes interesadas.

Puede seguir los pasos de exportación de datos de incidentes a PDF para generar el PDF.

Recomendaciones para la creación de informes de incidentes

Estas son algunas recomendaciones que se deben tener en cuenta para asegurarse de que Copilot genera un informe de incidentes completo:

• Clasifique y resuelva el incidente antes de generar el informe de incidentes.
• Asegúrese de escribir y guardar comentarios en el registro de actividad de Microsoft Sentinel o en el registro de actividad de incidentes de Microsoft Defender XDR para incluir los comentarios en el informe de incidentes.
• Escriba comentarios con un lenguaje completo y claro. Los comentarios detallados y claros proporcionan un mejor contexto sobre las acciones de respuesta. Consulte los pasos siguientes para saber cómo acceder al campo de comentarios:
  • Agregar comentarios a incidentes en el portal de Microsoft Defender
  • Agregar comentarios a incidentes en Microsoft Sentinel
• Para los usuarios de ServiceNow, habilite la sincronización bidireccional de Microsoft Sentinel y ServiceNow para obtener datos de incidentes más sólidos.
• Copie el informe de incidentes generado y publíquelo en el registro de actividad en el portal de Microsoft Defender para asegurarse de que el informe de incidentes se guarde en la página del incidente.

Solicitud de ejemplo para la creación de informes de incidentes

En el portal independiente de Copilot for Security, puede usar el siguiente mensaje para crear el informe de incidentes:

• Genere el informe de incidentes para el incidente de Defender {id. de incidente}.

Sugerencia

Al generar informes de incidentes en el portal de Copilot for Security, Microsoft recomienda incluir la palabra Defender en los mensajes para asegurarse de que la funcionalidad de creación del informe de incidentes proporciona los resultados.

Enviar comentarios

Microsoft le anima encarecidamente a proporcionar comentarios a Copilot, ya que es fundamental para la mejora continua de una funcionalidad. Para proporcionar comentarios, vaya a la parte inferior del panel lateral de Copilot y seleccione el icono de comentarios .

Vea también

• Más información sobre otras experiencias insertadas de Copilot para seguridad
• Privacidad y seguridad de datos en Copilot for Security

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.