Opprette en hendelsesrapport med Microsoft Copilot i Microsoft Defender
Microsoft Copilot for sikkerhet i Microsoft Defender-portalen hjelper sikkerhetsoperasjonsteam med effektiv skriving av hendelsesrapporter. Ved hjelp av Copilot for sikkerhets kunstig intelligens-drevne databehandling kan sikkerhetsteam umiddelbart opprette hendelsesrapporter med et klikk på en knapp i Microsoft Defender-portalen.
Denne veiledningen viser dataene i hendelsesrapporter og inneholder trinn for hvordan du får tilgang til opprettingsfunksjonen for hendelsesrapporten i Microsoft Defender-portalen. Den inneholder også informasjon om hvordan du gir tilbakemelding om den genererte rapporten.
Vit om før du begynner
Hvis du ikke har brukt Copilot for Security før, bør du gjøre deg kjent med det ved å lese følgende artikler:
- Hva er Copilot for Sikkerhet?
- Copilot for Sikkerhetsopplevelser
- Kom i gang med Copilot for sikkerhet
- Forstå godkjenning i Copilot for Sikkerhet
- Ledende i Copilot for sikkerhet
En omfattende og tydelig hendelsesrapport er en viktig referanse for sikkerhetsteam og administrasjon av sikkerhetsoperasjoner. Det å skrive en omfattende rapport med den viktige informasjonen som finnes, kan imidlertid være en tidkrevende oppgave for sikkerhetsoperasjonsteam. Innsamling, organisering og oppsummering av hendelsesinformasjon fra flere kilder krever fokus og detaljert analyse for å opprette en informasjonsrik rapport. Med Copilot i Defender kan sikkerhetsteam nå umiddelbart opprette en omfattende hendelsesrapport i portalen.
Mens et hendelsessammendrag gir en oversikt over en hendelse og hvordan det skjedde, konsoliderer en hendelsesrapport hendelsesinformasjon fra ulike datakilder som er tilgjengelige i Microsoft Sentinel og Defender XDR. Den Copilot-genererte hendelsesrapporten inkluderer også alle analysedrevne trinn og automatiserte handlinger, analytikere som er involvert i hendelsesrespons og kommentarene fra analytikere. Uansett om sikkerhetsteam bruker Microsoft Sentinel, Defender XDR eller begge deler, legges alle relevante hendelsesdata til i den genererte hendelsesrapporten.
Copilot genererer hendelsesrapporten basert på de automatiske og manuelle handlingene som er implementert, og analytikeres kommentarer og notater som er lagt inn i hendelsen. Du kan se gjennom og følge anbefalinger for å sikre at Copilot oppretter en omfattende hendelsesrapport.
Copilot for Sikkerhetsintegrering i Microsoft Defender
Funksjonen for generering av hendelsesrapport i Microsoft Defender er tilgjengelig for kunder som har klargjort tilgang til Copilot for Sikkerhet.
Denne funksjonen er også tilgjengelig i den frittstående portalen Copilot for sikkerhet via Microsoft Defender XDR-programtillegget. Få mer informasjon om forhåndsinstallerte programtillegg i Copilot for sikkerhet.
Nøkkelfunksjoner
Copilot i Defender oppretter en hendelsesrapport som inneholder følgende informasjon:
- Tidsstemplene for de viktigste hendelsesbehandlingshandlingene, inkludert:
- Oppretting og lukking av hendelse
- Første og siste logger, enten loggen var analytikerdrevet eller automatisert, registrert i hendelsen
- Analytikere involvert i svar på hendelser
- Hendelsesklassifisering, inkludert analytikerens årsak til klassifisering som Copilot oppsummerer
- Undersøkelses- og utbedringshandlinger
- Følg opp handlinger som anbefalinger, åpne problemer eller neste trinn som er angitt av analytikere i hendelsesloggene
Handlinger som enhetsisolasjon, deaktivering av en bruker og myk sletting av e-postmeldinger er inkludert i hendelsesrapporten. Hvis du vil ha en fullstendig liste over handlinger som er inkludert i hendelsesrapporten, kan du se handlingssenteret. Hendelsesrapporten inneholder også Microsoft Sentinel-strategiplanene som ble kjørt. Direkte svarkommandoer og svarhandlinger som kommer fra offentlige API-kilder eller fra egendefinerte gjenkjenninger, støttes ennå ikke.
Vi anbefaler at du løser hendelsen for å vise alle handlinger som er utført. Hendelser som ikke er løst, gjenspeiler delvis handlingene i hendelsesrapporten.
Opprett en hendelsesrapport
Hvis du vil opprette en hendelsesrapport med Copilot i Defender, utfører du følgende trinn:
Åpne en hendelsesside. Gå til Flere handlinger ellipse (...) på hendelsessiden, og velg deretter Generer hendelsesrapport. Alternativt kan du velge rapportikonet som finnes i Copilot-sidepanelet.
Copilot oppretter hendelsesrapporten. Du kan stoppe opprettingen av rapporten ved å velge Avbryt, og starte rapportoppretting på nytt ved å velge Generer på nytt. I tillegg kan du starte rapportoppretting på nytt hvis det oppstår en feil.
Hendelsesrapportkortet vises i Copilot-ruten. Den genererte rapporten avhenger av hendelsesinformasjonen som er tilgjengelig fra Microsoft Defender XDR og Microsoft Sentinel. Se anbefalingenefor å sikre en omfattende hendelsesrapport.
Velg Flere handlinger-ellipsen (...) øverst til høyre på hendelsesrapportkortet. Hvis du vil kopiere rapporten, velger du Kopier til utklippstavlen og limer inn rapporten i det foretrukne systemet, Legg inn i aktivitetsloggen for å legge til rapporten i aktivitetsloggen i Microsoft Defender-portalen, eller Eksporter hendelse som PDF- for å eksportere hendelsesdataene til PDF-. Velg Generer på nytt for å starte rapportoppretting på nytt. Du kan også Åpne i Copilot for Security for å vise resultatene og fortsette å få tilgang til andre programtillegg som er tilgjengelige i den frittstående Copilot for Security-portalen.
Se gjennom den genererte hendelsesrapporten. Du kan gi tilbakemelding på rapporten ved å velge tilbakemeldingsikonet nederst i resultatene .
Eksporter hendelsesdata til PDF
Du kan eksportere hendelsesdataene til PDF for å opprette en rapport som du enkelt kan dele med interessenter. De eksporterte hendelsesdataene inneholder relevant informasjon som angrepshistorien, påvirkede ressurser, relevante varsler og kunstig intelligens-generert innhold fra Copilot, for eksempel hendelsessammendraget og hendelsesrapporten. Med denne funksjonaliteten kan sikkerhetsteam raskt eksportere mer hendelsesinformasjon for diskusjoner etter hendelser i teammedlemmer eller med andre interessenter.
Du kan følge trinnene i eksportere hendelsesdata til PDF- for å generere PDF-filen.
Anbefalinger for oppretting av hendelsesrapport
Her er noen anbefalinger du bør vurdere for å sikre at Copilot genererer en omfattende og fullstendig hendelsesrapport:
- Klassifiser og løs hendelsen før du genererer hendelsesrapporten.
- Sørg for at du skriver og lagrer kommentarer i aktivitetsloggen for Microsoft Sentinel eller i aktivitetsloggen for Microsoft Defender XDR-hendelser for å inkludere kommentarene i hendelsesrapporten.
- Skriv kommentarer ved hjelp av omfattende og tydelig språk. Dyptgående og tydelige kommentarer gir bedre kontekst om svarhandlingene. Se følgende fremgangsmåte for å finne ut hvordan du får tilgang til kommentarfeltet:
- Legg til kommentarer i hendelser i Microsoft Defender-portalen
- Legg til kommentarer i hendelser i Microsoft Sentinel
- For ServiceNow-brukere kan du aktivere toveis synkronisering av Microsoft Sentinel og ServiceNow for å få mer robuste hendelsesdata.
- Kopier den genererte hendelsesrapporten, og legg den inn i aktivitetsloggen i Microsoft Defender-portalen for å sikre at hendelsesrapporten lagres på hendelsessiden.
Eksempel på ledetekst for oppretting av hendelsesrapport
I den frittstående Copilot for Security-portalen kan du bruke følgende ledetekst til å opprette hendelsesrapporten:
- Generer hendelsesrapporten for Defender-hendelsen {incident ID}.
Tips
Når du genererer hendelsesrapporter i Copilot for Security-portalen, anbefaler Microsoft å inkludere ordet Defender i instruksjonene for å sikre at opprettingsfunksjonen for hendelsesrapporten leverer resultatene.
Gi tilbakemelding
Microsoft oppfordrer deg sterkt til å gi tilbakemelding til Copilot, da det er avgjørende for en funksjons kontinuerlig forbedring. Hvis du vil gi tilbakemelding, går du til bunnen av Copilot-sidepanelet og velger tilbakemeldingsikonet .
Se også
- Finn ut mer om andre innebygde Copilot for sikkerhet-opplevelser
- Personvern og datasikkerhet i Copilot for Sikkerhet
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.