צור דוח מקרה באמצעות Microsoft Copilot ב- Microsoft Defender
Microsoft Copilot for Security בפורטל Microsoft Defender מסייע לצוותי תפעול אבטחה בכתיבת דוחות תקריות ביעילות. תוך שימוש בעיבוד הנתונים המופעל ב-AI של Copilot for Security, צוותי אבטחה יכולים ליצור באופן מיידי דוחות תקריות בלחיצת כפתור בפורטל Microsoft Defender.
מדריך זה מפרט את הנתונים בדוחות מקרים ומ מכיל שלבים לגישה ליעילת יצירת דוח המקרה בפורטל Microsoft Defender. הוא כולל גם מידע על האופן שבו ניתן לספק משוב על הדוח שנוצר.
לפני שתתחיל
אם אתה משתמש חדש ב- Copilot for Security, עליך להכיר אותו על-ידי קריאת המאמרים הבאים:
- מהו Copilot לאבטחה?
- Copilot עבור חוויות אבטחה
- תחילת העבודה עם Copilot לאבטחה
- הבנת אימות ב- Copilot עבור אבטחה
- הצגת בקשה ב- Copilot לאבטחה
דוח מקרה מקיף וברור הוא חומר עזר חיוני עבור צוותי אבטחה וניהול פעולות אבטחה. עם זאת, כתיבת דוח מקיף עם הפרטים החשובים הקיימים יכולה להיות משימה הצורכת זמן רב עבור צוותי פעולות אבטחה. איסוף, ארגון וסיכום של פרטי אירועים ממקורות מרובים דורשים מיקוד וניתוח מפורט כדי ליצור דוח עשיר במידע. עם Copilot ב- Defender, צוותי אבטחה יכולים כעת ליצור באופן מיידי דוח מקרה נרחב בתוך הפורטל.
למרות שסיכום מקרי מספק מבט כולל על מקרה ועל האופן שבו הוא התרחש, דוח מקרה מאחד מידע מקרה ממקורות נתונים שונים הזמינים ב- Microsoft Sentinel וב- XDR של Defender. דוח המקרה שנוצר על-ידי Copilot כולל גם את כל השלבים מונחי האנליסטים והפעולות האוטומטיות, האנליסטים המעורבים בתגובה לתקריות וההערות מהאנליסטים. בין אם צוותי אבטחה משתמשים ב- Microsoft Sentinel, ב- Defender XDR או בשניהם, כל נתוני המקרה הרלוונטיים נוספים לדוח המקרה שנוצר.
Copilot יוצר את דוח המקרה בהתבסס על הפעולות האוטומטיות והיישום הידני, וההערות של האנליסטים שפורסמו באירוע. באפשרותך לעיין בהמלצות ולעקוב אחריהן כדי להבטיח ש- Copilot ייצור דוח אירוע מקיף.
שילוב Copilot for Security Microsoft Defender
יכולת הפקת דוח האירועים ב- Microsoft Defender זמינה עבור לקוחות שהקצה גישה ל- Copilot for Security.
יכולת זו זמינה גם בפורטל העצמאי Copilot for Security באמצעות תוסף Microsoft Defender XDR. קבל מידע נוסף אודות תוספים מותקנים מראש ב- Copilot לאבטחה.
תכונות מרכזיות
Copilot ב- Defender יוצר דוח מקרה המכיל את המידע הבא:
- חותמות הזמן העיקריות של פעולות ניהול האירועים, כולל:
- יצירה וסגירה של מקרים
- יומני הרישום הראשונים והאחרונים, בין אם היומן היה מונחה אנליסטים או אוטומטי, שתועדו באירוע
- האנליסטים המעורבים בתגובה למקרה
- סיווג מקרי, כולל סיבת הסיווג של האנליסט שמסכם Copilot
- פעולות חקירה ותיקון
- פעולות המשך טיפול כגון המלצות, בעיות פתוחות או השלבים הבאים שצוין על-ידי האנליסטים ביומני האירועים
פעולות כגון בידוד מכשיר, הפיכת משתמש ללא זמין ומחיקה זמנית של הודעות דואר אלקטרוני כלולות בדוח המקרה. לקבלת רשימה מלאה של פעולות הכלולות בדוח האירוע, עיין במרכז הפעולות. דוח המקרה כולל גם המדריכים של Microsoft Sentinel הופעלו. פקודות תגובה ופעולות תגובה בזמן אמת המגיעות ממקורות API ציבוריים או מזיהויים מותאמים אישית אינן נתמכות עדיין.
אנו ממליצים לפתור את המקרה כדי להציג את כל הפעולות שבוצעו. מקרים שלא נפתרו ישקפו באופן חלקי את הפעולות בדוח המקרה.
יצירת דוח מקרה
כדי ליצור דוח מקרה עם Copilot ב- Defender, בצע את השלבים הבאים:
פתח דף מקרה. בדף המקרה, נווט אל סמל פעולות נוספות (...) ולאחר מכן בחר צור דוח מקרה. לחלופין, באפשרותך לבחור את סמל הדוח שנמצא בלוח הצידי של Copilot.
Copilot יוצר את דוח המקרה. באפשרותך להפסיק את יצירת הדוח על-ידי בחירה באפשרות ביטול והפעל מחדש את יצירת הדוח על-ידי בחירה באפשרות צור מחדש. בנוסף, באפשרותך להפעיל מחדש את יצירת הדוח אם אתה נתקל בשגיאה.
כרטיס דוח המקרה מופיע בחלונית Copilot. הדוח שנוצר תלוי בפרטי המקרה הזמינים מ- Microsoft Defender XDR ו- Microsoft Sentinel. עיין בהמלצותכדי להבטיח דוח מקרה מקיף.
בחר את סמל של פעולות נוספות (...) הממוקמות בפינה השמאלית העליונה של כרטיס דוח המקרה. כדי להעתיק את הדוח, בחר העתק ללוח והדבק את הדוח במערכת המועדפת עליך, פרסם ביומן הפעילות כדי להוסיף את הדוח ליו רישום הפעילות בפורטל Microsoft Defender, או יצא מקרה כ- PDF כדי לייצא את נתוני המקרה ל- PDF. בחר צור מחדש כדי להפעיל מחדש את יצירת הדוח. באפשרותך גם לפתוח ב- Copilot for Security כדי להציג את התוצאות ולהמשיך לגשת לתוספים אחרים הזמינים בפורטל העצמאי Copilot for Security.
סקור את דוח המקרה שנוצר. באפשרותך לספק משוב על הדוח על-ידי בחירת סמל המשוב שנמצא בחלק התחתון של התוצאות.
ייצוא נתוני אירוע ל- PDF
באפשרותך לייצא את נתוני המקרה ל- PDF כדי ליצור דוח שניתן לשתף בקלות עם בעלי עניין. נתוני המקרה המיוצאים מכילים מידע רלוונטי כגון סיפור התקיפה, נכסים מושפעים, התראות רלוונטיות ותוכן שנוצר על-ידי בינה מלאכותית מ- Copilot, כגון סיכום המקרה ודוח המקרה. עם יכולת זו, צוותי אבטחה יכולים לייצא במהירות מידע נוסף על מקרים עבור דיונים לאחר המקרה בתוך חברי צוות או עם בעלי עניין אחרים.
באפשרותך לבצע את השלבים המפורטים ב-נתוני מקרה ל- PDF כדי ליצור את ה- PDF.
המלצות ליצירת דוח מקרה
הנה כמה המלצות שכדאי לקחת בחשבון כדי להבטיח ש- Copilot יפיק דוח תקריות מקיף ומלא:
- סווג ופתור את המקרה לפני יצירת דוח המקרה.
- הקפד לכתוב ולשמור הערות ביומן הפעילות של Microsoft Sentinel או ב יומן הפעילות של אירוע Microsoft Defender XDR כדי לכלול את ההערות בדוח המקרה.
- כתוב הערות עם שפה מקיפה וברורה. הערות מעמיקות וברורות מספקות הקשר טוב יותר לגבי פעולות התגובה. עיין בשלבים הבאים כדי לדעת כיצד לגשת לשדה ההערות:
- הוסף הערות למקרים בפורטל Microsoft Defender
- הוספת הערות למקרים ב- Microsoft Sentinel
- עבור משתמשי ServiceNow, הפוך את הסנכרון הדו-כיווני של Microsoft Sentinel ו- ServiceNow לזמין כדי לקבל נתוני מקרה חזקים יותר.
- העתק את דוח המקרה שנוצר ופרסם אותו ביומן הפעילות בפורטל Microsoft Defender כדי לוודא שדוח המקרה נשמר בדף המקרה.
בקשה לדוגמה ליצירת דוח אירוע
בפורטל העצמאי Copilot עבור אבטחה, באפשרותך להשתמש בבקשה הבאה כדי ליצור את דוח האירוע:
- צור את דוח האירוע עבור מקרה Defender {incident ID}.
עצה
בעת יצירת דוחות אירוע בפורטל Copilot עבור אבטחה, Microsoft ממליצה לכלול את המילה Defender בהנחיות שלך כדי להבטיח כי יכולת יצירת דוח האירועים מספקת את התוצאות.
ספק משוב
Microsoft ממליצה מאוד לספק משוב ל- Copilot, מכיוון שהיא חיונית לשיפור מתמשך של היכולת. כדי לספק משוב, נווט לחלק התחתון של הלוח הצדדי של Copilot ובחר את סמל המשוב צילום מסך של סמל המשוב עבור .
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.