Tworzenie raportu o zdarzeniu za pomocą funkcji Microsoft Copilot w usłudze Microsoft Defender

Artykuł
04/26/2024

Dotyczy:

Microsoft Defender XDR
Ujednolicona platforma centrum operacji zabezpieczeń (SOC) usługi Microsoft Defender

Funkcja Copilot dla rozwiązań zabezpieczających firmy Microsoft w portalu usługi Microsoft Defender pomaga zespołom ds. operacji zabezpieczeń w wydajnym tworzeniu raportów o zdarzeniach. Wykorzystując przetwarzanie danych funkcji Copilot dla rozwiązań zabezpieczających obsługiwanej przez sztuczną inteligencję, zespoły ds. zabezpieczeń mogą natychmiast tworzyć raporty o zdarzeniach za pomocą kliknięcia przycisku w portalu usługi Microsoft Defender.

Kompleksowy i przejrzysty raport o zdarzeniach jest istotnym punktem odniesienia dla zespołów ds. zabezpieczeń i zarządzania operacjami zabezpieczeń. Jednak napisanie kompleksowego raportu zawierającego ważne szczegóły może być czasochłonnym zadaniem dla zespołów ds. operacji zabezpieczeń. Zbieranie, organizowanie i podsumowywanie informacji o zdarzeniach z wielu źródeł wymaga skupienia i szczegółowej analizy w celu utworzenia raportu bogatego w informacje. Dzięki funkcji Copilot w usłudze Defender zespoły ds. zabezpieczeń mogą teraz błyskawicznie tworzyć w portalu obszerne raporty dotyczące zdarzeń.

Podczas gdy podsumowanie zdarzenia zapewnia przegląd zdarzenia i sposobu jego wystąpienia, raport o zdarzeniu konsoliduje informacje o zdarzeniu z różnych źródeł danych dostępnych w usługach Microsoft Sentinel i Defender XDR. Wygenerowany przez funkcję Copilot raport o zdarzeniu zawiera również wszystkie kroki podjęte przez analityków i zautomatyzowane działania, analityków zaangażowanych w reagowanie na zdarzenia oraz komentarze analityków. Niezależnie od tego, czy zespoły ds. zabezpieczeń korzystają z usługi Microsoft Sentinel, Defender XDR, czy obu, wszystkie istotne dane dotyczące zdarzenia są dodawane do wygenerowanego raportu o zdarzeniu.

Funkcja Copilot generuje raport o zdarzeniu na podstawie zaimplementowanych automatycznych i ręcznych działań oraz komentarzy i notatek analityków opublikowanych w zdarzeniu. Możesz przejrzeć i postępować zgodnie z zaleceniami, aby upewnić się, że funkcja Copilot utworzy kompleksowy raport o zdarzeniu.

Funkcja generowania raportów o zdarzeniach w usłudze Microsoft Defender jest dostępna w ramach licencji funkcji Copilot dla rozwiązań zabezpieczających. Ta funkcja jest również dostępna w autonomicznym portalu funkcji Copilot dla rozwiązań zabezpieczających za pośrednictwem wtyczki usługi Microsoft Defender XDR.

W tym przewodniku wymieniono dane w raportach o zdarzeniach i zawarto instrukcje dotyczące uzyskiwania dostępu do funkcji tworzenia raportów o zdarzeniach w portalu usługi Microsoft Defender. Zawiera również informacje o tym, jak przekazać opinię na temat wygenerowanego raportu.

Zawartość raportu o zdarzeniu

Funkcja Copilot w usłudze Defender tworzy raport o zdarzeniu zawierający następujące informacje:

Sygnatury czasowe głównych akcji zarządzania zdarzeniami, w tym:
- Tworzenie i zamykanie zdarzeń
- Pierwszy i ostatni dziennik, niezależnie od tego, czy dziennik był prowadzony przez analityka, czy automatycznie, zarejestrowany w zdarzeniu
Analitycy biorący udział w reagowaniu na zdarzenia.
Klasyfikacja zdarzeń, w tym uzasadnienie klasyfikacji przez analityka, które podsumowuje funkcja Copilot
Akcje badania i korygowania
Działania następcze, takie jak rekomendacje, otwarte kwestie lub kolejne kroki odnotowane przez analityków w dziennikach zdarzeń

Akcje, takie jak izolacja urządzenia, wyłączenie użytkownika i usuwanie nietrwałe wiadomości e-mail, są uwzględniane w raporcie o zdarzeniu. Aby uzyskać pełną listę akcji uwzględnionych w raporcie o zdarzeniu, zobacz Centrum akcji. Raport o zdarzeniu zawiera również uruchomione podręczniki usługi Microsoft Sentinel. Polecenia reagowania w czasie rzeczywistym i akcje reagowania pochodzące ze źródeł publicznego interfejsu API lub z wykrywania niestandardowego nie są jeszcze obsługiwane.

Zalecamy rozwiązanie zdarzenia w celu wyświetlenia wszystkich wykonanych akcji. Zdarzenia, które nie zostały rozwiązane, częściowo odzwierciedlą akcje w raporcie o zdarzeniu.

Utwórz raport o zdarzeniu

Aby utworzyć raport o zdarzeniu za pomocą funkcji Copilot w usłudze Defender, wykonaj następujące kroki:

Otwórz stronę zdarzenia. Na stronie zdarzenia przejdź do wielokropka (...) Więcej akcji, a następnie wybierz pozycję Generuj raport o zdarzeniu. Możesz też wybrać ikonę raportu znajdującą się w panelu bocznym funkcji Copilot.
Funkcja Copilot tworzy raport o zdarzeniu. Tworzenie raportu można zatrzymać, wybierając pozycję Anuluj i uruchom ponownie tworzenie raportu, wybierając pozycję Wygeneruj ponownie. Ponadto w przypadku napotkania błędu można ponownie uruchomić tworzenie raportu.
Karta raportu o zdarzeniu zostanie wyświetlona w okienku funkcji Copilot. Wygenerowany raport zależy od informacji o zdarzeniu dostępnych w usługach Microsoft Defender XDR i Microsoft Sentinel. Zapoznaj się z zaleceniami, aby zapewnić kompleksowy raport o zdarzeniach.
Wybierz wielokropek (...) Więcej akcji znajdujący się w prawym górnym rogu karty raportu o zdarzeniu. Aby skopiować raport, wybierz pozycję Kopiuj do schowka i wklej raport do preferowanego systemu, pozycję Opublikuj w dzienniku aktywności, aby dodać raport do dziennika aktywności w portalu Microsoft Defender, lub pozycję Eksportuj zdarzenie do formatu PDF, aby wyeksportować dane incydentu do formatu PDF. Wybierz pozycję Wygeneruj ponownie, aby ponownie uruchomić tworzenie raportu. Możesz również wybrać pozycję Otwórz w funkcji Copilot dla rozwiązań zabezpieczających, aby wyświetlić wyniki i kontynuować dostęp do innych wtyczek dostępnych w autonomicznym portalu Copilot dla rozwiązań zabezpieczających.
Przejrzyj wygenerowany raport o zdarzeniu. Możesz przekazać opinię na temat raportu, wybierając ikonę opinii znajdującą się w dolnej części wyników .

Eksportowanie zdarzenia do pliku PDF

Możesz wyeksportować dane zdarzenia do pliku PDF, aby utworzyć raport, który następnie możesz łatwo udostępnić uczestnikom projektu. Wyeksportowane dane zdarzenia zawierają istotne informacje, takie jak historia ataku, zasoby, których dotyczy atak, odpowiednie alerty i zawartość generowaną przez sztuczną inteligencję z funkcji Copilot, taką jak podsumowanie zdarzenia i raport o zdarzeniu. Dzięki tej funkcji zespoły ds. zabezpieczeń mogą szybko wyeksportować więcej informacji o zdarzeniach w celu przeprowadzenia dyskusji po zdarzeniu wśród członków zespołu lub z innymi uczestnikami projektu.

Aby wygenerować plik PDF, możesz postępować zgodnie z krokami opisanymi w sekcji Eksportowanie danych zdarzenia do pliku PDF.

Rekomendacje dotyczące tworzenia raportów o zdarzeniach

Poniżej przedstawiono kilka rekomendacji, które należy wziąć pod uwagę, aby upewnić się, że funkcja Copilot generuje kompleksowy i kompletny raport o zdarzeniach:

Sklasyfikuj i rozwiąż zdarzenie przed wygenerowaniem raportu o zdarzeniu.
Upewnij się, że piszesz i zapisujesz komentarze w dzienniku aktywności usługi Microsoft Sentinel lub dzienniku aktywności zdarzeń usługi Microsoft Defender XDR, aby uwzględnić komentarze w raporcie o zdarzeniu.
Pisz komentarze przy użyciu kompleksowego i przejrzystego języka. Szczegółowe i przejrzyste komentarze zapewniają lepszy kontekst dla akcji odpowiedzi. Aby dowiedzieć się, jak uzyskać dostęp do pola komentarzy, wykonaj następujące czynności:
- Dodaj komentarze do zdarzeń w portalu Microsoft Defender
- Dodaj komentarze do zdarzeń w usłudze Microsoft Sentinel
W przypadku użytkowników usługi ServiceNow włącz synchronizację dwukierunkową usług Microsoft Sentinel i ServiceNow, aby uzyskać bardziej niezawodne dane zdarzeń.
Skopiuj wygenerowany raport o zdarzeniu i opublikuj go w dzienniku aktywności w portalu Microsoft Defender, aby upewnić się, że raport o zdarzeniu został zapisany na stronie zdarzenia.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.

Udostępnij za pośrednictwem