Tapausraportin luominen Microsoft Copilotilla Microsoft Defenderissä

Koskee seuraavia:

• Microsoft Defender XDR
• Microsoft Defender unified Security Operations Center (SOC) -ympäristö

Microsoft Copilot for Security Microsoft Defender -portaalissa auttaa suojaustoimintoryhmiä kirjoittamaan tapahtumaraportteja tehokkaasti. Suojaustiimit voivat luoda välittömästi tapausraportteja napsauttamalla painiketta Microsoft Defender -portaalissa hyödyntämällä Copilot for Securityn tekoälyä hyödyntävää tietojenkäsittelyä.

Kattava ja selkeä tapahtumaraportti on olennainen lähde tietoturvatiimeille ja tietoturvatoimintojen hallinnalle. Kattavan raportin kirjoittaminen tärkeillä tiedoilla voi kuitenkin olla aikaa vievä tehtävä tietoturvatiimille. Tapahtumatietojen kerääminen, järjestäminen ja yhteenveto useista lähteistä edellyttää tarkennusta ja yksityiskohtaista analyysia, jotta voit luoda monipuolisen raportin. Käyttämällä Copilotia Defenderissä tietoturvatiimit voivat nyt välittömästi luoda laajan tapahtumaraportin portaalissa.

Vaikka tapausyhteenveto tarjoaa yleiskatsauksen tapauksesta ja siitä, miten se tapahtui, tapausraportti kokoaa yhteen tapaustiedot eri tietolähteistä, jotka ovat käytettävissä Microsoft Sentinelissä ja Defender XDR:ssä. Copilotin luoma tapahtumaraportti sisältää myös kaikki analyytikkolähtöiset vaiheet ja automatisoidut toimet, vastaukseen osallistuneet analyytikot sekä analyytikoiden kommentit. Riippumatta siitä, käyttävätkö tietoturvatiimit Defender XDR:ää, Microsoft Sentineliä vai molempia, kaikki olennaiset tapaustiedot lisätään luotuun tapausraporttiin.

Copilot luo tapausraportin, joka perustuu automaattisiin ja manuaalisiin toimiin sekä analyytikoiden kommentteihin ja muistiinpanoihin tapahtumasta. Voit tarkastella ja seurata suosituksia varmistaaksesi, että Copilot luo kattavan tapausraportin.

Microsoft Defenderin tapausraportin luontiominaisuus on käytettävissä Copilot for Security -käyttöoikeuden kautta. Tämä ominaisuus on käytettävissä myös Copilot for Securityn erillisessä portaalissa Microsoft Defender XDR -laajennuksen kautta.

Tässä oppaassa luetellaan tapahtumaraporttien tiedot ja kerrotaan, miten voit käyttää tapahtumaraportin luontiominaisuutta Microsoft Defender -portaalissa. Se sisältää myös tietoja siitä, miten voit antaa palautetta luodusta raportista.

Tapausraportin sisältö

Copilot Defenderissä luo tapahtumaraportin, joka sisältää seuraavat tiedot:

• Tapahtuman hallinnan päätoimintojen aikaleimat, mukaan lukien:
  • Tapahtuman luominen ja sulkeminen
  • Tapahtumaan tallentuneet ensimmäiset ja viimeiset lokit olivat ne sitten analyytikkolähtöisiä tai automatisoituja.
• Tapahtuman käsittelyyn osallistuneet analyytikot.
• Tapauksen luokitus, mukaan lukien analyytikon syy luokitukselle, mistä Copilot tekee yhteenvedon
• Tutkimus- ja korjaustoimet
• Seurantatoimintoja, kuten suosituksia, avoimia ongelmia tai seuraavia vaiheita, joita analyytikot ovat maininneet tapahtumalokeissa

Tapahtumaraporttiin sisältyvät toiminnot, kuten laitteen eristäminen, käyttäjän poistaminen käytöstä ja sähköpostien pehmeä poistaminen. Täydellinen luettelo tapahtumaraporttiin sisältyvistä toiminnoista on toimintokeskuksessa. Tapausraportti sisältää myös Microsoft Sentinel -käsikirjoja, jotka on suoritettu. Live-vastauskomentoja ja vastaustoimintoja, jotka ovat peräisin julkisista ohjelmointirajapintalähteistä tai mukautetuista tunnistuksia, ei vielä tueta.

Suosittelemme tapauksen ratkaisemista, jotta näet kaikki tehdyt toimet. Tapaukset, joita ei ole ratkaistu, heijastavat osittain tapausraportin toimintoja.

Tapahtumaraportin luominen

Jos haluat luoda tapausraportin Copilotin kanssa Defenderissä, suorita seuraavat vaiheet:

1. Avaa tapahtumasivu. Siirry tapaussivulla kohtaan Lisää toimintoja kolme pistettä (...) ja valitse sitten Luo tapausraportti. Vaihtoehtoisesti voit valita Copilot -sivupaneelista löytyvän raporttikuvakkeen.

   

2. Copilot luo tapahtumaraportin. Voit lopettaa raportin luomisen valitsemalla Peruuta ja aloittaa raportin luomisen uudelleen valitsemalla Luo uudelleen. Lisäksi voit aloittaa raportin luomisen uudelleen, jos kohtaat virheen.

3. Tapahtumaraporttikortti näkyy Copilot -ruudussa. Luotu raportti riippuu Microsoft Defender XDR:stä ja Microsoft Sentinelistä saatavilla olevista tapaustiedoista. Katso suositukset, joiden avulla voit luoda kattavan tapahtumaraportin.

   

   

4. Valitse Lisää toimintoja -kolme pistettä (...), joka sijaitsee tapausraporttikortin oikeassa yläkulmassa. Jos haluat kopioida raportin, valitse Kopioi leikepöydälle ja liitä raportti haluamaasi järjestelmään, Lisää Toimintalokiin lisätäksesi raportin Microsoft Defender -portaalin toimintolokiin tai Vie tapaus PDF-tiedostona, jos haluat viedä tapaustiedot PDF-tiedostoon. Aloita raportin luominen uudelleen valitsemalla Luo uudelleen. Voit myös halutessasi valita Avaa Copilot for Securityssa, jos haluat tarkastella tuloksia ja jatkaa muiden laajennusten käyttöä, jotka ovat saatavilla Copilotin erillisessä portaalissa.

   

5. Tarkastele luotua tapausraporttia. Voit antaa palautetta raportista valitsemalla palautekuvakkeen, joka löytyy tulosten alareunasta

Tapauksen vieminen PDF-muotoon

Voit viedä tapaustiedot PDF-tiedostoon ja luoda raportin, jonka voit helposti jakaa sidosryhmien kanssa. Viedyt tapaustiedot sisältävät olennaisia tietoja, kuten hyökkäystarinan, vaikutuksen kohteena olevat resurssit, olennaiset hälytykset ja tekoälyn luoman sisällön Copilotista, kuten tapauksen yhteenvedon ja tapausraportin. Tämän ominaisuuden avulla tietoturvatiimit voivat viedä nopeasti lisää tapaustietoja tapauksen jälkeisiin keskusteluihin tiimin jäsenten tai muiden sidosryhmien kanssa.

Voit luoda PDF-tiedoston noudattamalla tapauksen tietojen pdf-muotoon viemisen ohjeita.

Tapahtumaraportin luontia koskevat suositukset

Seuraavien suosituksien avulla varmistetaan, että Security Copilot luo kattavan tapahtumaraportin:

• Luokittele ja ratkaise tapaus ennen tapahtumaraportin luomista.
• Varmista, että kirjoitat ja tallennat kommentteja Microsoft Sentinelin toimintalokiin tai Microsoft Defender XDR -tapauksen toimintalokiin, jotta voit sisällyttää kommentit tapausraporttiin.
• Kirjoita kommentteja käyttämällä kattavaa ja selkeää kieltä. Perusteelliset ja selkeät kommentit tarjoavat paremman kontekstin vastaustoiminnoille. Seuraavista vaiheista saat lisätietoja kommenttikentän käytöstä:
  • Kommenttien lisääminen Tapauksiin Microsoft Defender XDR:ssä
  • Kommenttien lisääminen tapahtumiin Microsoft Sentinelissä
• Jos olet ServiceNow-käyttäjä, ota käyttöön Microsoft Sentinelin ja ServiceNow’n kaksisuuntainen synkronointi, jotta saat vankempia tapahtumatietoja.
• Kopioi luotu tapausraportti ja julkaise se Toimintalokiin Microsoft Defender -portaalissa varmistaaksesi, että tapausraportti tallennetaan tapaussivulle.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Aloita Microsoft Copilot for Securityn käyttö
• Lisätietoja muista Copilot for Securityn upotetuista käyttökokemuksista
• Lisätietoja Copilot for Securityn esiasennetuista laajennuksista

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.