Share via

Opprette en hendelsesrapport med Microsoft Copilot i Microsoft Defender

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR
  • Microsoft Defender-plattformen for enhetlig sikkerhetsoperasjonssenter (SOC)

Microsoft Copilot for sikkerhet i Microsoft Defender-portalen hjelper sikkerhetsoperasjonsteam med effektiv skriving av hendelsesrapporter. Ved hjelp av Copilot for sikkerhets kunstig intelligens-drevne databehandling kan sikkerhetsteam umiddelbart opprette hendelsesrapporter med et klikk på en knapp i Microsoft Defender-portalen.

En omfattende og tydelig hendelsesrapport er en viktig referanse for sikkerhetsteam og administrasjon av sikkerhetsoperasjoner. Det å skrive en omfattende rapport med den viktige informasjonen som finnes, kan imidlertid være en tidkrevende oppgave for sikkerhetsoperasjonsteam. Innsamling, organisering og oppsummering av hendelsesinformasjon fra flere kilder krever fokus og detaljert analyse for å opprette en informasjonsrik rapport. Med Copilot i Defender kan sikkerhetsteam nå umiddelbart opprette en omfattende hendelsesrapport i portalen.

Mens et hendelsessammendrag gir en oversikt over en hendelse og hvordan det skjedde, konsoliderer en hendelsesrapport hendelsesinformasjon fra ulike datakilder som er tilgjengelige i Microsoft Sentinel og Defender XDR. Den Copilot-genererte hendelsesrapporten inkluderer også alle analysedrevne trinn og automatiserte handlinger, analytikere som er involvert i hendelsesrespons og kommentarene fra analytikere. Uansett om sikkerhetsteam bruker Microsoft Sentinel, Defender XDR eller begge deler, legges alle relevante hendelsesdata til i den genererte hendelsesrapporten.

Copilot genererer hendelsesrapporten basert på de automatiske og manuelle handlingene som er implementert, og analytikeres kommentarer og notater som er lagt inn i hendelsen. Du kan se gjennom og følge anbefalinger for å sikre at Copilot oppretter en omfattende hendelsesrapport.

Funksjonaliteten for generering av hendelsesrapport i Microsoft Defender er tilgjengelig via Copilot for sikkerhet-lisensen. Denne funksjonen er også tilgjengelig i den frittstående portalen Copilot for sikkerhet via Microsoft Defender XDR-programtillegget.

Denne veiledningen viser dataene i hendelsesrapporter og inneholder trinn for hvordan du får tilgang til opprettingsfunksjonen for hendelsesrapporten i Microsoft Defender-portalen. Den inneholder også informasjon om hvordan du gir tilbakemelding om den genererte rapporten.

Innhold i hendelsesrapport

Copilot i Defender oppretter en hendelsesrapport som inneholder følgende informasjon:

  • Tidsstemplene for de viktigste hendelsesbehandlingshandlingene, inkludert:
    • Oppretting og lukking av hendelse
    • Første og siste logger, enten loggen var analytikerdrevet eller automatisert, registrert i hendelsen
  • Analytikere involvert i svar på hendelser
  • Hendelsesklassifisering, inkludert analytikerens årsak til klassifisering som Copilot oppsummerer
  • Undersøkelses- og utbedringshandlinger
  • Følg opp handlinger som anbefalinger, åpne problemer eller neste trinn som er angitt av analytikere i hendelsesloggene

Handlinger som enhetsisolasjon, deaktivering av en bruker og myk sletting av e-postmeldinger er inkludert i hendelsesrapporten. Hvis du vil ha en fullstendig liste over handlinger som er inkludert i hendelsesrapporten, kan du se handlingssenteret. Hendelsesrapporten inneholder også Microsoft Sentinel-strategiplanene som ble kjørt. Direkte svarkommandoer og svarhandlinger som kommer fra offentlige API-kilder eller fra egendefinerte gjenkjenninger, støttes ennå ikke.

Vi anbefaler at du løser hendelsen for å vise alle handlinger som er utført. Hendelser som ikke er løst, gjenspeiler delvis handlingene i hendelsesrapporten.

Opprett en hendelsesrapport

Hvis du vil opprette en hendelsesrapport med Copilot i Defender, utfører du følgende trinn:

  1. Åpne en hendelsesside. Gå til Flere handlinger ellipse (...) på hendelsessiden, og velg deretter Generer hendelsesrapport. Alternativt kan du velge rapportikonet som finnes i Copilot-sidepanelet.

    Skjermbilde som uthever de genererte hendelsesrapportene og rapportikonknappene på hendelsessiden.

  2. Copilot oppretter hendelsesrapporten. Du kan stoppe opprettingen av rapporten ved å velge Avbryt, og starte rapportoppretting på nytt ved å velge Generer på nytt. I tillegg kan du starte rapportoppretting på nytt hvis det oppstår en feil.

  3. Hendelsesrapportkortet vises i Copilot-ruten. Den genererte rapporten avhenger av hendelsesinformasjonen som er tilgjengelig fra Microsoft Defender XDR og Microsoft Sentinel. Se anbefalingenefor å sikre en omfattende hendelsesrapport.

    Skjermbilde av hendelsesrapportkortet på hendelsessiden som viser den øverste halvdelen av kortet.

    Skjermbilde av hendelsesrapportkortet på hendelsessiden som viser nederst på kortet.

  4. Velg Flere handlinger-ellipsen (...) øverst til høyre på hendelsesrapportkortet. Hvis du vil kopiere rapporten, velger du Kopier til utklippstavlen og limer inn rapporten i det foretrukne systemet, Legg inn i aktivitetsloggen for å legge til rapporten i aktivitetsloggen i Microsoft Defender-portalen, eller Eksporter hendelse som PDF- for å eksportere hendelsesdataene til PDF-. Velg Generer på nytt for å starte rapportoppretting på nytt. Du kan også Åpne i Copilot for Security for å vise resultatene og fortsette å få tilgang til andre programtillegg som er tilgjengelige i den frittstående Copilot for Security-portalen.

    Skjermbilde av flere handlinger i resultatkortet for hendelsesrapporten.

  5. Se gjennom den genererte hendelsesrapporten. Du kan gi tilbakemelding på rapporten ved å velge tilbakemeldingsikonet nederst i resultatene Skjermbilde av tilbakemeldingsikonet for Copilot i Defender-kort.

Eksporter hendelse til PDF

Du kan eksportere hendelsesdataene til PDF for å opprette en rapport som du enkelt kan dele med interessenter. De eksporterte hendelsesdataene inneholder relevant informasjon som angrepshistorien, påvirkede ressurser, relevante varsler og kunstig intelligens-generert innhold fra Copilot, for eksempel hendelsessammendraget og hendelsesrapporten. Med denne funksjonaliteten kan sikkerhetsteam raskt eksportere mer hendelsesinformasjon for diskusjoner etter hendelser i teammedlemmer eller med andre interessenter.

Du kan følge trinnene i eksportere hendelsesdata til PDF- for å generere PDF-filen.

Anbefalinger for oppretting av hendelsesrapport

Her er noen anbefalinger du bør vurdere for å sikre at Copilot genererer en omfattende og fullstendig hendelsesrapport:

  • Klassifiser og løs hendelsen før du genererer hendelsesrapporten.
  • Sørg for at du skriver og lagrer kommentarer i aktivitetsloggen for Microsoft Sentinel eller i aktivitetsloggen for Microsoft Defender XDR-hendelser for å inkludere kommentarene i hendelsesrapporten.
  • Skriv kommentarer ved hjelp av omfattende og tydelig språk. Dyptgående og tydelige kommentarer gir bedre kontekst om svarhandlingene. Se følgende fremgangsmåte for å finne ut hvordan du får tilgang til kommentarfeltet:
  • For ServiceNow-brukere kan du aktivere toveis synkronisering av Microsoft Sentinel og ServiceNow for å få mer robuste hendelsesdata.
  • Kopier den genererte hendelsesrapporten, og legg den inn i aktivitetsloggen i Microsoft Defender-portalen for å sikre at hendelsesrapporten lagres på hendelsessiden.

Se også

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.