Create un rapport d’incident avec Microsoft Copilot dans Microsoft Defender

Article
04/26/2024

S’applique à :

Microsoft Defender XDR
Microsoft Defender plateforme soc (Unified Security Operations Center)

Microsoft Copilot pour la sécurité dans le portail Microsoft Defender aide les équipes des opérations de sécurité à rédiger efficacement des rapports d’incident. En utilisant Copilot pour la sécurité traitement des données optimisé par l’IA, les équipes de sécurité peuvent créer immédiatement des rapports d’incident en un clic sur un bouton dans le portail Microsoft Defender.

Un rapport d’incident complet et clair est une référence essentielle pour les équipes de sécurité et la gestion des opérations de sécurité. Toutefois, l’écriture d’un rapport complet avec les détails importants présents peut être une tâche fastidieuse pour les équipes des opérations de sécurité. La collecte, l’organisation et la synthèse des informations sur les incidents à partir de plusieurs sources nécessitent une analyse précise et détaillée pour créer un rapport riche en informations. Avec Copilot dans Defender, les équipes de sécurité peuvent désormais créer instantanément un rapport d’incident complet dans le portail.

Alors qu’un résumé d’incident fournit une vue d’ensemble d’un incident et de la façon dont il s’est produit, un rapport d’incident regroupe les informations sur les incidents à partir de différentes sources de données disponibles dans Microsoft Sentinel et Defender XDR. Le rapport d’incident généré par Copilot inclut également toutes les étapes et actions automatisées pilotées par les analystes, les analystes impliqués dans la réponse aux incidents et les commentaires des analystes. Que les équipes de sécurité utilisent Microsoft Sentinel, Defender XDR, ou les deux, toutes les données d’incident pertinentes sont ajoutées au rapport d’incident généré.

Copilot génère le rapport d’incident en fonction des actions automatiques et manuelles implémentées, ainsi que des commentaires et notes des analystes publiés dans l’incident. Vous pouvez consulter et suivre les recommandations pour vous assurer que Copilot crée un rapport d’incident complet.

La fonctionnalité de génération de rapports d’incident dans Microsoft Defender est disponible via la licence Copilot pour la sécurité. Cette fonctionnalité est également disponible dans le portail autonome Copilot pour la sécurité via le plug-in Microsoft Defender XDR.

Ce guide répertorie les données des rapports d’incident et contient des étapes pour accéder à la fonctionnalité de création de rapports d’incident dans le portail Microsoft Defender. Il inclut également des informations sur la façon de fournir des commentaires sur le rapport généré.

Contenu du rapport d’incident

Copilot dans Defender crée un rapport d’incident contenant les informations suivantes :

Le main les horodatages des actions de gestion des incidents, notamment :
- Création et fermeture d’incidents
- Premier et dernier journaux, que le journal soit piloté par les analystes ou automatisé, capturés dans l’incident
Les analystes impliqués dans la réponse aux incidents
Classification des incidents, y compris la raison de la classification de l’analyste que Copilot résume
Actions d’investigation et de correction
Suivre les actions telles que les recommandations, les problèmes ouverts ou les étapes suivantes notées par les analystes dans les journaux des incidents

Des actions telles que l’isolation de l’appareil, la désactivation d’un utilisateur et la suppression réversible des e-mails sont incluses dans le rapport d’incident. Pour obtenir la liste complète des actions incluses dans le rapport d’incident, consultez le Centre de notifications. Le rapport d’incident inclut également les playbooks Microsoft Sentinel exécutés. Les commandes de réponse en direct et les actions de réponse provenant de sources d’API publiques ou de détections personnalisées ne sont pas encore prises en charge.

Nous vous recommandons de résoudre l’incident pour afficher toutes les actions qui ont été effectuées. Les incidents qui ne sont pas résolus reflètent partiellement les actions du rapport d’incident.

Créer un rapport d’incident

Pour créer un rapport d’incident avec Copilot dans Defender, procédez comme suit :

Ouvrez une page d’incident. Dans la page de l’incident, accédez aux points de suspension Autres actions (...) , puis sélectionnez Générer un rapport d’incident. Vous pouvez également sélectionner l’icône de rapport qui se trouve dans le panneau latéral de Copilot.
Copilot crée le rapport d’incident. Vous pouvez arrêter la création du rapport en sélectionnant Annuler et redémarrer la création du rapport en sélectionnant Régénérer. En outre, vous pouvez redémarrer la création du rapport si vous rencontrez une erreur.
Le rapport d’incident carte s’affiche dans le volet Copilot. Le rapport généré dépend des informations d’incident disponibles à partir de Microsoft Defender XDR et de Microsoft Sentinel. Reportez-vous aux recommandations pour garantir un rapport d’incident complet.
Sélectionnez les points de suspension Autres actions (...) situés en haut à droite du rapport d’incident carte. Pour copier le rapport, sélectionnez Copier dans le Presse-papiers et collez le rapport dans votre système préféré, Publier dans le journal d’activité pour ajouter le rapport au journal d’activité dans le portail Microsoft Defender ou Exporter l’incident au format PDF pour exporter les données d’incident au format PDF. Sélectionnez Régénérer pour redémarrer la création du rapport. Vous pouvez également Ouvrir dans Copilot pour la sécurité pour afficher les résultats et continuer à accéder aux autres plug-ins disponibles dans le portail autonome Copilot pour la sécurité.
Passez en revue le rapport d’incident généré. Vous pouvez fournir des commentaires sur le rapport en sélectionnant l’icône de commentaires située au bas des résultats .

Exporter l’incident au format PDF

Vous pouvez exporter les données d’incident au format PDF pour créer un rapport que vous pouvez facilement partager avec les parties prenantes. Les données d’incident exportées contiennent des informations pertinentes telles que l’histoire des attaques, les ressources impactées, les alertes pertinentes et le contenu généré par l’IA de Copilot, comme le résumé de l’incident et le rapport d’incident. Avec cette fonctionnalité, les équipes de sécurité peuvent rapidement exporter plus d’informations sur les incidents pour les discussions post-incident au sein des membres de l’équipe ou avec d’autres parties prenantes.

Vous pouvez suivre les étapes décrites dans Exporter des données d’incident au format PDF pour générer le fichier PDF.

Recommandations pour la création de rapports d’incident

Voici quelques recommandations à prendre en compte pour s’assurer que Copilot génère un rapport d’incident complet et complet :

Classifiez et résolvez l’incident avant de générer le rapport d’incident.
Veillez à écrire et à enregistrer des commentaires dans le journal d’activité Microsoft Sentinel ou dans le journal d’activité des incidents Microsoft Defender XDR pour inclure les commentaires dans le rapport d’incident.
Écrire des commentaires en utilisant un langage complet et clair. Les commentaires détaillés et clairs fournissent un meilleur contexte sur les actions de réponse. Pour savoir comment accéder au champ commentaires, procédez comme suit :
- Ajouter des commentaires aux incidents dans le portail Microsoft Defender
- Ajouter des commentaires aux incidents dans Microsoft Sentinel
Pour les utilisateurs de ServiceNow, activez la synchronisation bidirectionnelle Microsoft Sentinel et ServiceNow pour obtenir des données d’incident plus robustes.
Copiez le rapport d’incident généré et publiez-le dans le journal d’activité dans le portail Microsoft Defender pour vous assurer que le rapport d’incident est enregistré dans la page de l’incident.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.