Incidensjelentés létrehozása a Microsoft Defenderben elérhető Microsoft Copilottal

• A következőre érvényes::

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

A Microsoft Defender portálon elérhető Microsoft Copilot a biztonságért segít a biztonsági üzemeltetési csapatoknak az incidensjelentések hatékony megírásában. A biztonsági csapatok a Copilot a biztonságért AI-alapú adatfeldolgozási lehetőségeit kihasználva azonnal, egy kattintással hozhatnak létre incidensjelentéseket a Microsoft Defender portálon.

Ez az útmutató felsorolja az incidensjelentések adatait, és lépéseket tartalmaz az incidensjelentés-létrehozási képesség Microsoft Defender portálon belüli elérésére. Emellett információkat is tartalmaz arról, hogyan küldhet visszajelzést a létrehozott jelentésről.

Tudnivalók a kezdés előtt

Ha még nem ismeri a Copilot for Securityt, érdemes megismerkednie vele az alábbi cikkekben:

• Mi az a Copilot for Security?
• A Copilot biztonsági szolgáltatásai
• Ismerkedés a Copilot a biztonságért szolgáltatással
• A Copilot for Security hitelesítésének ismertetése
• Kérés a Copilot for Security szolgáltatásban

Az átfogó és egyértelmű incidensjelentés alapvető kézikönyve a biztonsági csapatoknak és a biztonsági műveletek felügyeletének. A fontos részleteket tartalmazó átfogó jelentés megírása azonban időigényes feladat lehet a biztonsági műveleti csapatok számára. Az incidensinformációk több forrásból való gyűjtéséhez, rendszerezéséhez és összegzéséhez nagyfokú összpontosításra és részletes elemzésre van szükség annak érdekében, hogy információkban gazdag jelentések jöjjenek létre. A Defenderben elérhető Copilottal a biztonsági csapatok most már azonnal létrehozhatnak egy átfogó incidensjelentést a portálon.

Míg az incidens-összefoglalók az incidensekről és a történtekről nyújtanak áttekintést, az incidensjelentések a Microsoft Sentinel és a Defender XDR különböző adatforrásaiból származó incidensinformációkat foglalják össze. A Copilot által generált incidensjelentés az összes, elemző által vezérelt lépést és automatizált műveletet, az incidenselhárításban részt vevő elemzőket, valamint az elemzők megjegyzéseit is tartalmazza. Függetlenül attól, hogy a biztonsági csapatok a Microsoft Sentinelt, a Defender XDR-t vagy mindkettőt használják-e, a rendszer az összes releváns incidensadatot hozzáadja a létrehozott incidensjelentéshez.

A Copilot a végrehajtott automatikus és manuális műveletek, valamint az elemzők által az incidensben közzétett hozzászólások és megjegyzések alapján hozza létre az incidensjelentést. A javaslatokat áttekintve és követve gondoskodhat arról, hogy a Copilot átfogó incidensjelentést hozzon létre.

A Copilot for Security integrációja a Microsoft Defender

A Microsoft Defender incidensjelentés-létrehozási képessége azoknak az ügyfeleknek érhető el, akik hozzáférést biztosítottak a Copilot for Security szolgáltatáshoz.

Ez a képesség a Copilot a biztonságért különálló portálján is elérhető a Microsoft Defender XDR beépülő modulon keresztül. További információ a Copilot a biztonságért előre telepített beépülő moduljairól.

Főbb funkciók

A Defenderben elérhető Copilot létrehoz egy incidensjelentést, amely a következő információkat tartalmazza:

• Az incidenskezelési műveletek fő időbélyegei, beleértve a következőket:
  • Incidens létrehozása és lezárása
  • Az első és utolsó naplók, függetlenül attól, hogy a napló elemzőalapú vagy automatizált volt-e, rögzítve az incidensben
• Az incidenselhárításban részt vevő elemzők
• Az incidens besorolása, beleértve a Copilot által összegzett besorolás elemző által megadott okát
• Vizsgálati és szervizelési műveletek
• Nyomon követhet olyan műveleteket, mint amilyenek például a javaslatok, a megoldatlan problémák vagy az elemzők által az incidensnaplókban feljegyzett következő lépések

Az incidensjelentés olyan műveleteket tartalmaz, mint amilyen például az eszközök elkülönítése, a felhasználók letiltása és az e-mailek helyreállítható törlése. Az incidensjelentésben szereplő műveletek teljes listáját a Műveletközpontban találja. Az incidensjelentés a futtatott Microsoft Sentinel-forgatókönyveket is tartalmazza. A nyilvános API-forrásokból vagy egyéni észlelésekből származó valós idejű válaszparancsok és válaszműveletek még nem támogatottak.

Azt javasoljuk, hogy oldja meg az incidenst az összes végrehajtott művelet megtekintéséhez. A megoldatlan incidensek részben fogják tükrözni az incidensjelentésben szereplő műveleteket.

Incidensjelentés létrehozása

Ha incidensjelentést szeretne létrehozni a Defenderben elérhető Copilottal, hajtsa végre a következő lépéseket:

1. Nyisson meg egy incidensoldalt. Az incidens oldalán lépjen a További műveletek három pontra (...), és válassza az Incidensjelentés készítése lehetőséget. Másik lehetőségként kiválaszthatja a Copilot oldalsó paneljén található jelentés ikont.

   

2. A Copilot létrehozza az incidensjelentést. A jelentés létrehozásának leállításához válassza a Mégse lehetőséget, és az újraindításához az Újbóli létrehozás lehetőséget. Emellett újraindíthatja a jelentések létrehozását, ha hibát tapasztal.

3. Az incidensjelentés kártyája megjelenik a Copilot paneljén. A létrehozott jelentés a Microsoft Defender XDR és a Microsoft Sentinel által elérhető incidensadatoktól függ. Az átfogó incidensjelentés biztosításához tekintse meg a javaslatokat,.

   

   

4. Válassza a További műveletek három pontot (...) az incidensjelentés kártyájának jobb felső sarkában. A jelentés vágólapra másolásához válassza a Másolás a vágólapra lehetőséget, és illessze be a jelentést a kívánt rendszerbe, a Közzététel tevékenységnaplóba lehetőséget választva adja hozzá a jelentést a Microsoft Defender portál tevékenységnaplójához, vagy válassza Az incidens exportálása PDF-fájlként lehetőséget az incidens adatainak PDF-fájlba való exportálásához. Válassza az Újbóli létrehozás lehetőséget a jelentés létrehozásának újraindításához. Azt is megteheti, hogy az eredmények megtekintéséhez és a Copilot a biztonságért különálló portálján elérhető egyéb beépülő modulokhoz való hozzáféréshez a Megnyitás a Copilot a biztonságért szolgáltatásban lehetőséget választja.

   

5. Tekintse át a létrehozott incidensjelentést. A jelentésről az eredmények alján található Visszajelzés ikont választva küldhet visszajelzést .

Incidensadatok exportálása PDF-fájlba

Az incidensadatokat egy PDF-fájlba exportálva létrehozhat egy jelentést, amelyet egyszerűen megoszthat az érdekelt felekkel. Az exportált incidensadatok olyan releváns információkat tartalmaznak, mint amilyen például a támadási történet, az érintett objektumok, a releváns riasztások és a Copilot AI által generált tartalmai, például az incidensek összegzése és az incidensjelentés. Ezzel a képességgel a biztonsági csapatok gyorsan exportálhatnak további incidensadatokat az incidens után a csapattagokkal vagy más érdekelt felekkel folytatott megbeszélésekhez.

A PDF létrehozásához követheti az incidensadatok PDF-be való exportálásának lépéseit.

Javaslatok incidensjelentések létrehozásához

Íme néhány javaslat, amelyekkel gondoskodhat róla, hogy a Copilot átfogó és teljes incidensjelentést készítsen:

• Sorolja be és oldja meg az incidenst az incidensjelentés létrehozása előtt.
• Ne feledkezzen meg arról, hogy megjegyzéseket írjon és mentsen a Microsoft Sentinel tevékenységnaplójába vagy a Microsoft Defender XDR incidensekkel kapcsolatos tevékenységnaplójába, hogy a megjegyzések szerepeljenek az incidensjelentésben.
• Átfogó és világos nyelven írjon megjegyzéseket. A részletes és egyértelmű megjegyzések jobb kontextust biztosítanak a válaszműveletekkel kapcsolatban. A következő lépésekből megtudhatja, hogyan férhet hozzá a megjegyzések mezőhöz:
  • Megjegyzések hozzáadása incidensekhez a Microsoft Defender portálon
  • Megjegyzések hozzáadása incidensekhez a Microsoft Sentinelben
• A ServiceNow-felhasználók számára engedélyezze a Microsoft Sentinel és a ServiceNow kétirányú szinkronizálását a robusztusabb incidensadatok lekéréséhez.
• Másolja a vágólapra a létrehozott incidensjelentést, és tegye közzé a Microsoft Defender portál tevékenységnaplójában, így gondoskodva róla, hogy a rendszer mentse az incidensjelentést az incidens oldalán.

Mintakérés incidensjelentések létrehozásához

Az önálló Copilot for Security portálon az alábbi parancssor használatával hozhatja létre az incidensjelentést:

• Hozza létre az incidensjelentést a(z) {incident ID} Defender-incidenshez.

Tipp

Amikor incidensjelentéseket hoz létre a Copilot for Security portálon, a Microsoft azt javasolja, hogy foglalja bele a Defender szót a kérések közé, hogy az incidensjelentés-létrehozási képesség biztosítsa az eredményeket.

Visszajelzés küldése

A Microsoft nagy mértékben arra ösztönzi Önt, hogy adjon visszajelzést a Copilotnak, mivel ez elengedhetetlen a képesség folyamatos fejlesztéséhez. Visszajelzés küldéséhez lépjen a Copilot oldalpaneljének aljára, és válassza a visszajelzés .

Lásd még

• További információ a beágyazott Copilot a biztonságért-funkciókról
• Adatvédelem és adatbiztonság a Copilot for Securityben

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.