Incidensjelentés létrehozása a Microsoft Defenderben elérhető Microsoft Copilottal
Cikk
A következőre érvényes::
Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal
Microsoft Security Copilot a Microsoft Defender portálon hatékonyan segíti a biztonsági műveleti csapatokat az incidensjelentések írásában. A biztonsági csapatok a Security Copilot AI-alapú adatfeldolgozását kihasználva azonnal létrehozhatnak incidensjelentéseket egy kattintással a Microsoft Defender portálon.
Ez az útmutató felsorolja az incidensjelentések adatait, és lépéseket tartalmaz az incidensjelentés-létrehozási képesség Microsoft Defender portálon belüli elérésére. Emellett információkat is tartalmaz arról, hogyan küldhet visszajelzést a létrehozott jelentésről.
Tudnivalók a kezdés előtt
Ha még nem ismeri a Security Copilot, az alábbi cikkekben megismerkedhet vele:
Az átfogó és egyértelmű incidensjelentés alapvető kézikönyve a biztonsági csapatoknak és a biztonsági műveletek felügyeletének. A fontos részleteket tartalmazó átfogó jelentés megírása azonban időigényes feladat lehet a biztonsági műveleti csapatok számára. Az incidensinformációk több forrásból való gyűjtéséhez, rendszerezéséhez és összegzéséhez nagyfokú összpontosításra és részletes elemzésre van szükség annak érdekében, hogy információkban gazdag jelentések jöjjenek létre. A Defenderben elérhető Copilottal a biztonsági csapatok most már azonnal létrehozhatnak egy átfogó incidensjelentést a portálon.
Míg az incidens-összefoglalók az incidensekről és a történtekről nyújtanak áttekintést, az incidensjelentések a Microsoft Sentinel és a Defender XDR különböző adatforrásaiból származó incidensinformációkat foglalják össze. A Copilot által generált incidensjelentés az összes, elemző által vezérelt lépést és automatizált műveletet, az incidenselhárításban részt vevő elemzőket, valamint az elemzők megjegyzéseit is tartalmazza. Függetlenül attól, hogy a biztonsági csapatok a Microsoft Sentinelt, a Defender XDR-t vagy mindkettőt használják-e, a rendszer az összes releváns incidensadatot hozzáadja a létrehozott incidensjelentéshez.
A Copilot a végrehajtott automatikus és manuális műveletek, valamint az elemzők által az incidensben közzétett hozzászólások és megjegyzések alapján hozza létre az incidensjelentést. A javaslatokat áttekintve és követve gondoskodhat arról, hogy a Copilot átfogó incidensjelentést hozzon létre.
Security Copilot integrációja Microsoft Defender
A Microsoft Defender incidensjelentés-létrehozási képessége azoknak az ügyfeleknek érhető el, akik hozzáférést biztosítottak a Security Copilot.
A Defenderben elérhető Copilot létrehoz egy incidensjelentést, amely a következő információkat tartalmazza:
Az incidenskezelési műveletek fő időbélyegei, beleértve a következőket:
Incidens létrehozása és lezárása
Az első és utolsó naplók, függetlenül attól, hogy a napló elemzőalapú vagy automatizált volt-e, rögzítve az incidensben
Az incidenselhárításban részt vevő elemzők
Az incidens besorolása, beleértve a Copilot által összegzett besorolás elemző által megadott okát
Vizsgálati és szervizelési műveletek
Nyomon követhet olyan műveleteket, mint amilyenek például a javaslatok, a megoldatlan problémák vagy az elemzők által az incidensnaplókban feljegyzett következő lépések
Az incidensjelentés olyan műveleteket tartalmaz, mint amilyen például az eszközök elkülönítése, a felhasználók letiltása és az e-mailek helyreállítható törlése. Az incidensjelentésben szereplő műveletek teljes listáját a Műveletközpontban találja. Az incidensjelentés a futtatott Microsoft Sentinel-forgatókönyveket is tartalmazza. A nyilvános API-forrásokból vagy egyéni észlelésekből származó valós idejű válaszparancsok és válaszműveletek még nem támogatottak.
Azt javasoljuk, hogy oldja meg az incidenst az összes végrehajtott művelet megtekintéséhez. A megoldatlan incidensek részben fogják tükrözni az incidensjelentésben szereplő műveleteket.
Incidensjelentés létrehozása
Ha incidensjelentést szeretne létrehozni a Defenderben elérhető Copilottal, hajtsa végre a következő lépéseket:
Nyisson meg egy incidensoldalt. Az incidens oldalán lépjen a További műveletek három pontra (...), és válassza az Incidensjelentés készítése lehetőséget. Másik lehetőségként kiválaszthatja a Copilot oldalsó paneljén található jelentés ikont.
A Copilot létrehozza az incidensjelentést. A jelentés létrehozásának leállításához válassza a Mégse lehetőséget, és az újraindításához az Újbóli létrehozás lehetőséget. Emellett újraindíthatja a jelentések létrehozását, ha hibát tapasztal.
Az incidensjelentés kártyája megjelenik a Copilot paneljén. A létrehozott jelentés a Microsoft Defender XDR és a Microsoft Sentinel által elérhető incidensadatoktól függ. Az átfogó incidensjelentés biztosításához tekintse meg a javaslatokat,.
Válassza a További műveletek három pontot (...) az incidensjelentés kártyájának jobb felső sarkában. A jelentés vágólapra másolásához válassza a Másolás a vágólapra lehetőséget, és illessze be a jelentést a kívánt rendszerbe, a Közzététel tevékenységnaplóba lehetőséget választva adja hozzá a jelentést a Microsoft Defender portál tevékenységnaplójához, vagy válassza Az incidens exportálása PDF-fájlként lehetőséget az incidens adatainak PDF-fájlba való exportálásához. Válassza az Újbóli létrehozás lehetőséget a jelentés létrehozásának újraindításához. Az eredmények megtekintéséhez és a Security Copilot önálló portálon elérhető egyéb beépülő modulok eléréséhez megnyithatja a Security Copilot-ban is.
Tekintse át a létrehozott incidensjelentést. A jelentésről az eredmények alján található Visszajelzés ikont választva küldhet visszajelzést .
Incidensadatok exportálása PDF-fájlba
Az incidensadatokat egy PDF-fájlba exportálva létrehozhat egy jelentést, amelyet egyszerűen megoszthat az érdekelt felekkel. Az exportált incidensadatok olyan releváns információkat tartalmaznak, mint amilyen például a támadási történet, az érintett objektumok, a releváns riasztások és a Copilot AI által generált tartalmai, például az incidensek összegzése és az incidensjelentés. Ezzel a képességgel a biztonsági csapatok gyorsan exportálhatnak további incidensadatokat az incidens után a csapattagokkal vagy más érdekelt felekkel folytatott megbeszélésekhez.
Átfogó és világos nyelven írjon megjegyzéseket. A részletes és egyértelmű megjegyzések jobb kontextust biztosítanak a válaszműveletekkel kapcsolatban. A következő lépésekből megtudhatja, hogyan férhet hozzá a megjegyzések mezőhöz:
Másolja a vágólapra a létrehozott incidensjelentést, és tegye közzé a Microsoft Defender portál tevékenységnaplójában, így gondoskodva róla, hogy a rendszer mentse az incidensjelentést az incidens oldalán.
Mintakérés incidensjelentések létrehozásához
Az Security Copilot önálló portálon az alábbi parancssor használatával hozhatja létre az incidensjelentést:
Hozza létre az incidensjelentést a(z) {incident ID} Defender-incidenshez.
Tipp.
Amikor incidensjelentéseket hoz létre a Security Copilot portálon, a Microsoft azt javasolja, hogy a Defender szót is adja meg a kérések közé, hogy az incidensjelentés-létrehozási képesség biztosítsa az eredményeket.
Visszajelzés küldése
A Microsoft nagy mértékben arra ösztönzi Önt, hogy adjon visszajelzést a Copilotnak, mivel ez elengedhetetlen a képesség folyamatos fejlesztéséhez. Visszajelzés küldéséhez lépjen a Copilot oldalpaneljének aljára, és válassza a visszajelzés .