Create un report sugli eventi imprevisti con Microsoft Copilot in Microsoft Defender

Si applica a:

• Microsoft Defender XDR
• Microsoft Defender piattaforma SOC (Unified Security Operations Center)

Microsoft Copilot per la sicurezza nel portale di Microsoft Defender consente ai team delle operazioni di sicurezza di scrivere report sugli eventi imprevisti in modo efficiente. Utilizzando l'elaborazione dati basata su intelligenza artificiale di Copilot per la sicurezza, i team di sicurezza possono creare immediatamente report sugli eventi imprevisti con un clic di un pulsante nel portale Microsoft Defender.

Un report completo e chiaro sugli eventi imprevisti è un riferimento essenziale per i team di sicurezza e la gestione delle operazioni di sicurezza. Tuttavia, la scrittura di un report completo con i dettagli importanti presenti può essere un'attività che richiede molto tempo per i team delle operazioni di sicurezza. La raccolta, l'organizzazione e il riepilogo delle informazioni sugli eventi imprevisti da più origini richiedono l'attenzione e l'analisi dettagliata per creare un report ricco di informazioni. Con Copilot in Defender, i team di sicurezza possono ora creare immediatamente un report completo degli eventi imprevisti all'interno del portale.

Mentre un riepilogo degli eventi imprevisti offre una panoramica di un evento imprevisto e di come si è verificato, un report sugli eventi imprevisti consolida le informazioni sugli eventi imprevisti da varie origini dati disponibili in Microsoft Sentinel e Defender XDR. Il report sugli eventi imprevisti generato da Copilot include anche tutti i passaggi gestiti dagli analisti e le azioni automatizzate, gli analisti coinvolti nella risposta agli eventi imprevisti e i commenti degli analisti. Se i team di sicurezza usano Microsoft Sentinel, Defender XDR o entrambi, tutti i dati rilevanti degli eventi imprevisti vengono aggiunti al report degli eventi imprevisti generato.

Copilot genera il report degli eventi imprevisti in base alle azioni automatiche e manuali implementate e ai commenti e alle note degli analisti pubblicati nell'evento imprevisto. È possibile esaminare e seguire le raccomandazioni per assicurarsi che Copilot crei un report completo sugli eventi imprevisti.

La funzionalità di generazione dei report sugli eventi imprevisti in Microsoft Defender è disponibile tramite la licenza Copilot per la sicurezza. Questa funzionalità è disponibile anche nel portale autonomo Copilot per la sicurezza tramite il plug-in Microsoft Defender XDR.

Questa guida elenca i dati nei report degli eventi imprevisti e contiene i passaggi per accedere alla funzionalità di creazione dei report sugli eventi imprevisti all'interno del portale di Microsoft Defender. Include anche informazioni su come fornire commenti e suggerimenti sul report generato.

Contenuto del report degli eventi imprevisti

Copilot in Defender crea un report sugli eventi imprevisti contenente le informazioni seguenti:

• Timestamp delle principali azioni di gestione degli eventi imprevisti, tra cui:
  • Creazione e chiusura degli eventi imprevisti
  • Primo e ultimo log, indipendentemente dal fatto che il log sia stato guidato dagli analisti o automatizzato, acquisito nell'evento imprevisto
• Gli analisti coinvolti nella risposta agli eventi imprevisti
• Classificazione degli eventi imprevisti, incluso il motivo dell'analista per la classificazione riepilogato da Copilot
• Azioni di indagine e correzione
• Eseguire azioni come raccomandazioni, problemi aperti o passaggi successivi annotati dagli analisti nei log degli eventi imprevisti

Azioni come l'isolamento del dispositivo, la disabilitazione di un utente e l'eliminazione temporanea dei messaggi di posta elettronica sono incluse nel report degli eventi imprevisti. Per un elenco completo delle azioni incluse nel report sugli eventi imprevisti, vedere il Centro notifiche. Il report sugli eventi imprevisti include anche i playbook di Microsoft Sentinel eseguiti. I comandi di risposta dinamica e le azioni di risposta provenienti da origini API pubbliche o da rilevamenti personalizzati non sono ancora supportati.

È consigliabile risolvere l'evento imprevisto per visualizzare tutte le azioni eseguite. Gli eventi imprevisti non risolti rifletteranno parzialmente le azioni nel report degli eventi imprevisti.

Creare un report degli incidenti

Per creare un report sugli eventi imprevisti con Copilot in Defender, seguire questa procedura:

1. Aprire la pagina di un incidente. Nella pagina dell'evento imprevisto passare ai puntini di sospensione Altre azioni (...) e quindi selezionare Genera report eventi imprevisti. In alternativa, è possibile selezionare l'icona del report disponibile nel pannello laterale Copilot.

   

2. Copilot crea il report degli eventi imprevisti. È possibile arrestare la creazione del report selezionando Annulla e riavvia la creazione del report selezionando Rigenera. Inoltre, è possibile riavviare la creazione del report se si verifica un errore.

3. La scheda del report degli eventi imprevisti viene visualizzata nel riquadro Copilot. Il report generato dipende dalle informazioni sugli eventi imprevisti disponibili da Microsoft Defender XDR e Microsoft Sentinel. Fare riferimento alle raccomandazioni per garantire un report completo degli eventi imprevisti.

   

   

4. Selezionare i puntini di sospensione Altre azioni (...) in alto a destra nella scheda del report degli eventi imprevisti. Per copiare il report, selezionare Copia negli Appunti e incollare il report nel sistema preferito, Registra nel log attività per aggiungere il report al log attività nel portale di Microsoft Defender oppure Esporta evento imprevisto come PDF per esportare i dati degli eventi imprevisti in FORMATO PDF. Selezionare Rigenera per riavviare la creazione del report. È anche possibile aprire in Copilot per la sicurezza per visualizzare i risultati e continuare ad accedere ad altri plug-in disponibili nel portale autonomo Copilot per la sicurezza.

   

5. Esaminare il report degli eventi imprevisti generato. È possibile fornire commenti e suggerimenti sul report selezionando l'icona di feedback disponibile nella parte inferiore dei risultati .

Esportare l'evento imprevisto in PDF

È possibile esportare i dati degli eventi imprevisti in formato PDF per creare un report che è possibile condividere facilmente con gli stakeholder. I dati degli eventi imprevisti esportati contengono informazioni rilevanti come la storia dell'attacco, gli asset interessati, gli avvisi pertinenti e il contenuto generato dall'intelligenza artificiale di Copilot, ad esempio il riepilogo degli eventi imprevisti e il report sugli eventi imprevisti. Con questa funzionalità, i team di sicurezza possono esportare rapidamente altre informazioni sugli eventi imprevisti per le discussioni post-evento imprevisto all'interno dei membri del team o con altri stakeholder.

È possibile seguire la procedura descritta nell'esportazione dei dati degli eventi imprevisti in FORMATO PDF per generare il PDF.

Raccomandazioni per la creazione di report sugli eventi imprevisti

Ecco alcuni consigli da prendere in considerazione per garantire che Copilot generi un report completo e completo sugli eventi imprevisti:

• Classificare e risolvere l'evento imprevisto prima di generare il report dell'evento imprevisto.
• Assicurarsi di scrivere e salvare i commenti nel log attività di Microsoft Sentinel o nel log attività degli eventi imprevisti Microsoft Defender XDR per includere i commenti nel report degli eventi imprevisti.
• Scrivere commenti usando un linguaggio completo e chiaro. I commenti approfonditi e chiari forniscono un contesto migliore per le azioni di risposta. Per informazioni su come accedere al campo commenti, vedere la procedura seguente:
  • Aggiungere commenti agli eventi imprevisti nel portale di Microsoft Defender
  • Aggiungere commenti agli eventi imprevisti in Microsoft Sentinel
• Per gli utenti di ServiceNow, abilitare la sincronizzazione bidirezionale di Microsoft Sentinel e ServiceNow per ottenere dati sugli eventi imprevisti più affidabili.
• Copiare il report eventi imprevisti generato e pubblicarlo nel log attività nel portale di Microsoft Defender per assicurarsi che il report degli eventi imprevisti venga salvato nella pagina degli eventi imprevisti.

Vedere anche

• Introduzione a Microsoft Copilot per la sicurezza.
• Informazioni su altre esperienze Copilot per la sicurezza incorporate
• Altre informazioni sui plug-in preinstallati in Copilot per la sicurezza

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.