Create un informe de incidentes con Microsoft Copilot en Microsoft Defender

Se aplica a:

• Microsoft Defender XDR
• Microsoft Defender plataforma unificada del Centro de operaciones de seguridad (SOC)

Microsoft Copilot para seguridad en el portal de Microsoft Defender ayuda a los equipos de operaciones de seguridad a escribir informes de incidentes de forma eficaz. Al usar el procesamiento de datos con tecnología de inteligencia artificial de Copilot para seguridad, los equipos de seguridad pueden crear informes de incidentes inmediatamente con un clic de un botón en el portal de Microsoft Defender.

Un informe de incidentes completo y claro es una referencia esencial para los equipos de seguridad y la administración de operaciones de seguridad. Sin embargo, escribir un informe completo con los detalles importantes presentes puede ser una tarea que lleva mucho tiempo para los equipos de operaciones de seguridad. La recopilación, organización y resumen de información de incidentes de varios orígenes requiere un análisis detallado y centrado para crear un informe con información enriquecida. Con Copilot en Defender, los equipos de seguridad ahora pueden crear al instante un amplio informe de incidentes en el portal.

Aunque un resumen de incidentes proporciona información general sobre un incidente y cómo ocurrió, un informe de incidentes consolida la información de incidentes de varios orígenes de datos disponibles en Microsoft Sentinel y Defender XDR. El informe de incidentes generado por Copilot también incluye todos los pasos controlados por los analistas y las acciones automatizadas, los analistas implicados en la respuesta a incidentes y los comentarios de los analistas. Tanto si los equipos de seguridad usan Microsoft Sentinel, Defender XDR como ambos, todos los datos de incidentes pertinentes se agregan al informe de incidentes generado.

Copilot genera el informe de incidentes en función de las acciones automáticas y manuales implementadas, y los comentarios y notas de los analistas publicados en el incidente. Puede revisar y seguir las recomendaciones para asegurarse de que Copilot crea un informe completo de incidentes.

La funcionalidad de generación de informes de incidentes en Microsoft Defender está disponible a través de la licencia de Copilot para seguridad. Esta funcionalidad también está disponible en Copilot para seguridad portal independiente a través del complemento Microsoft Defender XDR.

En esta guía se enumeran los datos de los informes de incidentes y se incluyen los pasos para acceder a la funcionalidad de creación de informes de incidentes en el portal de Microsoft Defender. También incluye información sobre cómo proporcionar comentarios sobre el informe generado.

Contenido del informe de incidentes

Copilot en Defender crea un informe de incidentes que contiene la siguiente información:

• Marcas de tiempo de las principales acciones de administración de incidentes, entre las que se incluyen:
  • Creación y cierre de incidentes
  • Los registros primero y último, ya sean controlados por analistas o automatizados, capturados en el incidente
• Los analistas implicados en la respuesta a incidentes
• Clasificación de incidentes, incluido el motivo del analista para la clasificación que Copilot resume
• Acciones de investigación y corrección
• Acciones de seguimiento, como recomendaciones, problemas abiertos o pasos siguientes indicados por los analistas en los registros de incidentes

Las acciones como el aislamiento del dispositivo, la deshabilitación de un usuario y la eliminación temporal de correos electrónicos se incluyen en el informe de incidentes. Para obtener una lista completa de las acciones incluidas en el informe de incidentes, consulte el Centro de acciones. El informe de incidentes también incluye cuadernos de estrategias de Microsoft Sentinel ejecutados. Los comandos de respuesta en directo y las acciones de respuesta procedentes de orígenes de API públicas o de detecciones personalizadas aún no se admiten.

Se recomienda resolver el incidente para ver todas las acciones que se han realizado. Los incidentes que no se resuelven reflejarán parcialmente las acciones del informe de incidentes.

Crear un informe de incidentes

Para crear un informe de incidentes con Copilot en Defender, siga estos pasos:

1. Abra una página de incidente. En la página del incidente, vaya a los puntos suspensivos Más acciones (...) y, a continuación, seleccione Generar informe de incidentes. Como alternativa, puede seleccionar el icono de informe que se encuentra en el panel lateral de Copilot.

   

2. Copilot crea el informe de incidentes. Para detener la creación de informes, seleccione Cancelar y reiniciar la creación de informes; para ello, seleccione Regenerar. Además, puede reiniciar la creación de informes si encuentra un error.

3. La tarjeta de informe de incidentes aparece en el panel Copilot. El informe generado depende de la información de incidentes disponible de Microsoft Defender XDR y Microsoft Sentinel. Consulte las recomendaciones para garantizar un informe completo de incidentes.

   

   

4. Seleccione los puntos suspensivos Más acciones (...) situados en la esquina superior derecha de la tarjeta de informe de incidentes. Para copiar el informe, seleccione Copiar en el Portapapeles y pegue el informe en el sistema que prefiera, Publicar en el registro de actividad para agregar el informe al registro de actividad en el portal de Microsoft Defender o Exportar incidente como PDF para exportar los datos del incidente a PDF. Seleccione Regenerar para reiniciar la creación de informes. También puede abrir en Copilot para seguridad para ver los resultados y seguir accediendo a otros complementos disponibles en Copilot para seguridad portal independiente.

   

5. Revise el informe de incidentes generado. Puede proporcionar comentarios sobre el informe seleccionando el icono de comentarios que se encuentra en la parte inferior de los resultados .

Exportación de incidentes a PDF

Puede exportar los datos de incidentes a PDF para crear un informe que pueda compartir fácilmente con las partes interesadas. Los datos de incidentes exportados contienen información relevante, como el caso de ataque, los recursos afectados, las alertas pertinentes y el contenido generado por IA de Copilot, como el resumen de incidentes y el informe de incidentes. Con esta funcionalidad, los equipos de seguridad pueden exportar rápidamente más información sobre incidentes para discusiones posteriores al incidente dentro de los miembros del equipo o con otras partes interesadas.

Puede seguir los pasos descritos en exportación de datos de incidentes a PDF para generar el PDF.

Recomendaciones para la creación de informes de incidentes

Estas son algunas recomendaciones que se deben tener en cuenta para asegurarse de que Copilot genera un informe de incidentes completo y completo:

• Clasifique y resuelva el incidente antes de generar el informe de incidentes.
• Asegúrese de escribir y guardar comentarios en el registro de actividad de Microsoft Sentinel o en el Microsoft Defender XDR registro de actividad de incidentes para incluir los comentarios en el informe de incidentes.
• Escriba comentarios con un lenguaje completo y claro. Los comentarios detallados y claros proporcionan un mejor contexto sobre las acciones de respuesta. Consulte los pasos siguientes para saber cómo acceder al campo de comentarios:
  • Adición de comentarios a incidentes en el portal de Microsoft Defender
  • Adición de comentarios a incidentes en Microsoft Sentinel
• Para los usuarios de ServiceNow, habilite la sincronización bidireccional de Microsoft Sentinel y ServiceNow para obtener datos de incidentes más sólidos.
• Copie el informe de incidentes generado y postelo en el registro de actividad en el portal de Microsoft Defender para asegurarse de que el informe de incidentes se guarda en la página del incidente.

Consulte también

• Introducción a Microsoft Copilot para seguridad
• Más información sobre otras experiencias Copilot para seguridad insertadas
• Más información sobre los complementos preinstalados en Copilot para seguridad

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.