Een incidentrapport maken met Microsoft Copilot in Microsoft Defender

• Van toepassing op:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Copilot voor Beveiliging in de Microsoft Defender-portal helpt beveiligingsteams bij het efficiënt schrijven van incidentrapporten. Met behulp van de door AI aangedreven gegevensverwerking van Copilot voor Beveiliging kunnen beveiligingsteams onmiddellijk met één klik op de knop incidentrapporten maken in de Microsoft Defender-portal.

Deze handleiding bevat een overzicht van de gegevens in incidentrapporten en bevat stappen voor het openen van de mogelijkheid voor het maken van incidentenrapporten in de Microsoft Defender-portal. Het bevat ook informatie over het geven van feedback over het gegenereerde rapport.

Weet voordat u begint

Als u niet bekend bent met Copilot for Security, moet u ermee vertrouwd raken door de volgende artikelen te lezen:

• Wat is Copilot for Security?
• Copilot voor beveiligingservaringen
• Aan de slag met Copilot voor Beveiliging
• Verificatie in Copilot for Security begrijpen
• Vragen in Copilot voor beveiliging

Een uitgebreid en duidelijk incidentrapport is een essentiële referentie voor beveiligingsteams en beheer van beveiligingsbewerkingen. Het schrijven van een uitgebreid rapport met de belangrijke details kan echter een tijdrovende taak zijn voor teams voor beveiligingsbewerkingen. Het verzamelen, organiseren en samenvatten van incidentgegevens uit meerdere bronnen vereist focus en gedetailleerde analyse om een rapport met veel informatie te maken. Met Copilot in Defender kunnen beveiligingsteams nu direct een uitgebreid incidentrapport maken in de portal.

Hoewel een incidentsamenvatting een overzicht biedt van een incident en hoe het is gebeurd, worden in een incidentrapport incidentgegevens uit verschillende gegevensbronnen die beschikbaar zijn in Microsoft Sentinel en Defender XDR, gecombineerd. Het door Copilot gegenereerde incidentrapport bevat ook alle door analisten gestuurde stappen en geautomatiseerde acties, de analisten die betrokken zijn bij de reactie op incidenten en de opmerkingen van de analisten. Ongeacht of beveiligingsteams Microsoft Sentinel, Defender XDR of beide gebruiken, alle relevante incidentgegevens worden toegevoegd aan het gegenereerde incidentrapport.

Copilot genereert het incidentrapport op basis van de automatische en handmatige acties die zijn geïmplementeerd, en de opmerkingen en notities van de analisten die in het incident zijn geplaatst. Je kunt aanbevelingen bekijken en volgen om ervoor te zorgen dat Copilot een uitgebreid incidentrapport maakt.

Copilot voor beveiligingsintegratie in Microsoft Defender

De mogelijkheid voor het genereren van incidentrapport in Microsoft Defender is beschikbaar voor klanten die toegang hebben ingericht tot Copilot for Security.

Deze mogelijkheid is ook beschikbaar in de zelfstandige portal van Copilot voor Beveiliging via de Microsoft Defender XDR-invoegtoepassing. Meer informatie over vooraf geïnstalleerde invoegtoepassingen in Copilot voor Beveiliging.

Belangrijkste functies

Copilot in Defender maakt een incidentrapport met de volgende informatie:

• De tijdstempels van de belangrijkste acties voor incidentbeheer, waaronder:
  • Incident maken en sluiten
  • Eerste en laatste logboeken, ongeacht of het logboek is gebaseerd op analisten of geautomatiseerd, vastgelegd in het incident
• De analisten die betrokken zijn bij de reactie op incidenten
• Incidentclassificatie, inclusief de reden van de analist voor de classificatie die Copilot samenvat
• Onderzoeks- en herstelacties
• Follow-upacties zoals aanbevelingen, openstaande problemen of volgende stappen die door de analisten in de incidentlogboeken zijn genoteerd

Acties zoals apparaatisolatie, het uitschakelen van een gebruiker en het voorlopig verwijderen van e-mailberichten zijn opgenomen in het incidentrapport. Zie het Actiecentrum voor een volledige lijst met acties die zijn opgenomen in het Actiecentrum. Het incidentrapport bevat ook Microsoft Sentinel-draaiboeken die zijn uitgevoerd. Live-Reactie opdrachten en antwoordacties die afkomstig zijn van openbare API-bronnen of van aangepaste detecties, worden nog niet ondersteund.

We raden je aan het incident op te lossen om alle acties weer te geven die zijn uitgevoerd. Incidenten die niet zijn opgelost, weerspiegelen gedeeltelijk de acties in het incidentrapport.

Een incidentrapport maken

Voer de volgende stappen uit om een incidentrapport te maken met Copilot in Defender:

1. Open een incidentpagina. Ga op de incidentpagina naar het beletselteken Meer acties (...) en selecteer vervolgens Incidentrapport genereren. Je kunt ook het rapportpictogram in het Copilot-zijpaneel selecteren.

   

2. Copilot maakt het incidentrapport. Je kunt het maken van het rapport stoppen door Annuleren te selecteren en het maken van rapporten opnieuw te starten door Opnieuw genereren te selecteren. Daarnaast kun je het maken van rapporten opnieuw starten als er een fout optreedt.

3. De kaart incidentrapport wordt weergegeven in het deelvenster Copilot. Het gegenereerde rapport is afhankelijk van de incidentinformatie die beschikbaar is in Microsoft Defender XDR en Microsoft Sentinel. Raadpleeg de aanbevelingen voor een uitgebreid incidentrapport.

   

   

4. Selecteer het beletselteken Meer acties (...) in de rechterbovenhoek van de kaart incidentrapport. Als je het rapport wilt kopiëren, selecteer je Kopiëren naar klembord en plakt je het rapport in een systeem naar voorkeur, Posten in activiteitenlogboek om het rapport toe te voegen aan het activiteitenlogboek in de Microsoft Defender-portal of Incident exporteren als PDF om de incidentgegevens exporteren naar PDF. Selecteer Opnieuw genereren om het maken van rapporten opnieuw te starten. Je kunt ook Openen in Copilot voor Beveiliging om de resultaten te bekijken en toegang te blijven krijgen tot andere invoegtoepassingen die beschikbaar zijn in de zelfstandige portal van Copilot voor Beveiliging.

   

5. Bekijk het gegenereerde incidentrapport. Je kunt feedback geven over het rapport door het feedbackpictogram onderaan de resultaten te selecteren .

Incidentgegevens exporteren naar PDF

Je kunt de incidentgegevens exporteren naar PDF om een rapport te maken dat je eenvoudig kunt delen met belanghebbenden. De geëxporteerde incidentgegevens bevatten relevante informatie, zoals het aanvalsverhaal, beïnvloede assets, relevante waarschuwingen en door AI gegenereerde inhoud van Copilot, zoals het incidentoverzicht en het incidentrapport. Met deze mogelijkheid kunnen beveiligingsteams snel meer incidentgegevens exporteren voor post-incidentdiscussies binnen teamleden of met andere belanghebbenden.

Je kunt de stappen in het exporteren van incidentgegevens naar PDF volgen om het PDF-bestand te genereren.

Aanbevelingen voor het maken van incidentrapport

Hier volgen enkele aanbevelingen die je kunt overwegen om ervoor te zorgen dat Copilot een uitgebreid en volledig incidentrapport genereert:

• Classificeer en los het incident op voordat u het incidentrapport genereert.
• Zorg ervoor dat je opmerkingen schrijft en opslaat in het Activiteitenlogboek van Microsoft Sentinel of in het Activiteitenlogboek van Microsoft Defender XDR om de opmerkingen in het incidentrapport op te nemen.
• Schrijf opmerkingen in uitgebreide en duidelijke taal. Uitgebreide en duidelijke opmerkingen bieden een betere context over de reactieacties. Zie de volgende stappen om te weten hoe je toegang hebt tot het opmerkingenveld:
  • Opmerkingen toevoegen aan incidenten in de Microsoft Defender-portal
  • Opmerkingen toevoegen aan incidenten in Microsoft Sentinel
• Schakel voor ServiceNow-gebruikers de bidirectionele synchronisatie van Microsoft Sentinel en ServiceNow in om robuustere incidentgegevens op te halen.
• Kopieer het gegenereerde incidentrapport en plaats het in het activiteitenlogboek in de Microsoft Defender-portal om ervoor te zorgen dat het incidentrapport wordt opgeslagen op de incidentpagina.

Voorbeeldprompt voor het maken van een incidentrapport

In de zelfstandige portal van Copilot for Security kunt u de volgende prompt gebruiken om het incidentrapport te maken:

• Genereer het incidentrapport voor Defender-incident {incident-id}.

Tip

Wanneer u incidentrapporten genereert in de Copilot for Security-portal, raadt Microsoft aan het woord Defender op te slaan in uw prompts om ervoor te zorgen dat het maken van het incidentrapport de resultaten oplevert.

Feedback geven

Microsoft raadt u ten zeerste aan om feedback te geven aan Copilot, omdat dit van cruciaal belang is voor de continue verbetering van de mogelijkheden. Als u feedback wilt geven, navigeert u naar de onderkant van het copilot-zijpaneel en selecteert u het feedbackpictogram .

Zie ook

• meer informatie over andere ingesloten Copilot voor Beveiliging-ervaringen
• Privacy en gegevensbeveiliging in Copilot for Security

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.