Jaa


Tapausraportin luominen Microsoft Copilotilla Microsoft Defenderissä

Koskee seuraavia:

  • Microsoft Defender XDR
  • Microsoft Defender unified Security Operations Center (SOC) -ympäristö

Microsoft Copilot for Security Microsoft Defender -portaalissa auttaa suojaustoimintoryhmiä kirjoittamaan tapahtumaraportteja tehokkaasti. Suojaustiimit voivat luoda välittömästi tapausraportteja napsauttamalla painiketta Microsoft Defender -portaalissa hyödyntämällä Copilot for Securityn tekoälyä hyödyntävää tietojenkäsittelyä.

Kattava ja selkeä tapahtumaraportti on olennainen lähde tietoturvatiimeille ja tietoturvatoimintojen hallinnalle. Kattavan raportin kirjoittaminen tärkeillä tiedoilla voi kuitenkin olla aikaa vievä tehtävä tietoturvatiimille. Tapahtumatietojen kerääminen, järjestäminen ja yhteenveto useista lähteistä edellyttää tarkennusta ja yksityiskohtaista analyysia, jotta voit luoda monipuolisen raportin. Käyttämällä Copilotia Defenderissä tietoturvatiimit voivat nyt välittömästi luoda laajan tapahtumaraportin portaalissa.

Vaikka tapausyhteenveto tarjoaa yleiskatsauksen tapauksesta ja siitä, miten se tapahtui, tapausraportti kokoaa yhteen tapaustiedot eri tietolähteistä, jotka ovat käytettävissä Microsoft Sentinelissä ja Defender XDR:ssä. Copilotin luoma tapahtumaraportti sisältää myös kaikki analyytikkolähtöiset vaiheet ja automatisoidut toimet, vastaukseen osallistuneet analyytikot sekä analyytikoiden kommentit. Riippumatta siitä, käyttävätkö tietoturvatiimit Defender XDR:ää, Microsoft Sentineliä vai molempia, kaikki olennaiset tapaustiedot lisätään luotuun tapausraporttiin.

Copilot luo tapausraportin, joka perustuu automaattisiin ja manuaalisiin toimiin sekä analyytikoiden kommentteihin ja muistiinpanoihin tapahtumasta. Voit tarkastella ja seurata suosituksia varmistaaksesi, että Copilot luo kattavan tapausraportin.

Microsoft Defenderin tapausraportin luontiominaisuus on käytettävissä Copilot for Security -käyttöoikeuden kautta. Tämä ominaisuus on käytettävissä myös Copilot for Securityn erillisessä portaalissa Microsoft Defender XDR -laajennuksen kautta.

Tässä oppaassa luetellaan tapahtumaraporttien tiedot ja kerrotaan, miten voit käyttää tapahtumaraportin luontiominaisuutta Microsoft Defender -portaalissa. Se sisältää myös tietoja siitä, miten voit antaa palautetta luodusta raportista.

Tapausraportin sisältö

Copilot Defenderissä luo tapahtumaraportin, joka sisältää seuraavat tiedot:

  • Tapahtuman hallinnan päätoimintojen aikaleimat, mukaan lukien:
    • Tapahtuman luominen ja sulkeminen
    • Tapahtumaan tallentuneet ensimmäiset ja viimeiset lokit olivat ne sitten analyytikkolähtöisiä tai automatisoituja.
  • Tapahtuman käsittelyyn osallistuneet analyytikot.
  • Tapauksen luokitus, mukaan lukien analyytikon syy luokitukselle, mistä Copilot tekee yhteenvedon
  • Tutkimus- ja korjaustoimet
  • Seurantatoimintoja, kuten suosituksia, avoimia ongelmia tai seuraavia vaiheita, joita analyytikot ovat maininneet tapahtumalokeissa

Tapahtumaraporttiin sisältyvät toiminnot, kuten laitteen eristäminen, käyttäjän poistaminen käytöstä ja sähköpostien pehmeä poistaminen. Täydellinen luettelo tapahtumaraporttiin sisältyvistä toiminnoista on toimintokeskuksessa. Tapausraportti sisältää myös Microsoft Sentinel -käsikirjoja, jotka on suoritettu. Live-vastauskomentoja ja vastaustoimintoja, jotka ovat peräisin julkisista ohjelmointirajapintalähteistä tai mukautetuista tunnistuksia, ei vielä tueta.

Suosittelemme tapauksen ratkaisemista, jotta näet kaikki tehdyt toimet. Tapaukset, joita ei ole ratkaistu, heijastavat osittain tapausraportin toimintoja.

Tapahtumaraportin luominen

Jos haluat luoda tapausraportin Copilotin kanssa Defenderissä, suorita seuraavat vaiheet:

  1. Avaa tapahtumasivu. Siirry tapaussivulla kohtaan Lisää toimintoja kolme pistettä (...) ja valitse sitten Luo tapausraportti. Vaihtoehtoisesti voit valita Copilot -sivupaneelista löytyvän raporttikuvakkeen.

    Näyttökuva, jossa korostetaan Luotu tapahtumaraportti- ja Raportti-kuvakepainikkeita tapahtumasivulla.

  2. Copilot luo tapahtumaraportin. Voit lopettaa raportin luomisen valitsemalla Peruuta ja aloittaa raportin luomisen uudelleen valitsemalla Luo uudelleen. Lisäksi voit aloittaa raportin luomisen uudelleen, jos kohtaat virheen.

  3. Tapahtumaraporttikortti näkyy Copilot -ruudussa. Luotu raportti riippuu Microsoft Defender XDR:stä ja Microsoft Sentinelistä saatavilla olevista tapaustiedoista. Katso suositukset, joiden avulla voit luoda kattavan tapahtumaraportin.

    Näyttökuva tapausraporttikortista tapaussivulla, jossa näkyy kortin yläreuna.

    Näyttökuva tapausraporttikortista tapaussivulla, jossa näkyy kortin alareuna.

  4. Valitse Lisää toimintoja -kolme pistettä (...), joka sijaitsee tapausraporttikortin oikeassa yläkulmassa. Jos haluat kopioida raportin, valitse Kopioi leikepöydälle ja liitä raportti haluamaasi järjestelmään, Lisää Toimintalokiin lisätäksesi raportin Microsoft Defender -portaalin toimintolokiin tai Vie tapaus PDF-tiedostona, jos haluat viedä tapaustiedot PDF-tiedostoon. Aloita raportin luominen uudelleen valitsemalla Luo uudelleen. Voit myös halutessasi valita Avaa Copilot for Securityssa, jos haluat tarkastella tuloksia ja jatkaa muiden laajennusten käyttöä, jotka ovat saatavilla Copilotin erillisessä portaalissa.

    Näyttökuva tapahtumaraportin tuloskortin lisätoiminnoista.

  5. Tarkastele luotua tapausraporttia. Voit antaa palautetta raportista valitsemalla palautekuvakkeen, joka löytyy tulosten alareunasta Näyttökuva Copilotin palautekuvakkeesta Defender-korteissa.

Tapauksen vieminen PDF-muotoon

Voit viedä tapaustiedot PDF-tiedostoon ja luoda raportin, jonka voit helposti jakaa sidosryhmien kanssa. Viedyt tapaustiedot sisältävät olennaisia tietoja, kuten hyökkäystarinan, vaikutuksen kohteena olevat resurssit, olennaiset hälytykset ja tekoälyn luoman sisällön Copilotista, kuten tapauksen yhteenvedon ja tapausraportin. Tämän ominaisuuden avulla tietoturvatiimit voivat viedä nopeasti lisää tapaustietoja tapauksen jälkeisiin keskusteluihin tiimin jäsenten tai muiden sidosryhmien kanssa.

Voit luoda PDF-tiedoston noudattamalla tapauksen tietojen pdf-muotoon viemisen ohjeita.

Tapahtumaraportin luontia koskevat suositukset

Seuraavien suosituksien avulla varmistetaan, että Security Copilot luo kattavan tapahtumaraportin:

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.