Criar um relatório de incidentes com o Microsoft Copilot no Microsoft Defender

Aplica-se a:

• Microsoft Defender XDR
• Plataforma do Centro de Operações de Segurança Unificada (SOC) do Microsoft Defender

O Microsoft Copilot for Security no portal do Microsoft Defender ajuda as equipas de operações de segurança a escrever relatórios de incidentes de forma eficiente. Ao utilizar o Copilot para o processamento de dados baseados em IA da Segurança, as equipas de segurança podem criar imediatamente relatórios de incidentes com um clique num botão no portal do Microsoft Defender.

Um relatório de incidentes abrangente e claro é uma referência essencial para as equipas de segurança e a gestão de operações de segurança. No entanto, escrever um relatório abrangente com os detalhes importantes presentes pode ser uma tarefa morosa para as equipas de operações de segurança. Recolher, organizar e resumir informações de incidentes de várias origens requer análise detalhada e de concentração para criar um relatório com informações avançadas. Com o Copilot no Defender, as equipas de segurança podem agora criar instantaneamente um extenso relatório de incidentes no portal.

Embora um resumo de incidentes forneça uma descrição geral de um incidente e como aconteceu, um relatório de incidentes consolida as informações de incidentes de várias origens de dados disponíveis no Microsoft Sentinel e no Defender XDR. O relatório de incidentes gerado por Copilot também inclui todos os passos orientados por analistas e ações automatizadas, os analistas envolvidos na resposta a incidentes e os comentários dos analistas. Quer as equipas de segurança estejam a utilizar o Microsoft Sentinel, o Defender XDR ou ambos, todos os dados de incidentes relevantes são adicionados ao relatório de incidentes gerado.

O Copilot gera o relatório de incidentes com base nas ações automáticas e manuais implementadas e nos comentários e notas dos analistas publicados no incidente. Pode rever e seguir recomendações para garantir que o Copilot cria um relatório de incidentes abrangente.

A capacidade de geração de relatórios de incidentes no Microsoft Defender está disponível através da licença Copilot for Security. Esta capacidade também está disponível no portal autónomo copilot for Security através do plug-in do Microsoft Defender XDR.

Este guia lista os dados nos relatórios de incidentes e contém passos sobre como aceder à capacidade de criação de relatórios de incidentes no portal do Microsoft Defender. Também inclui informações sobre como fornecer feedback sobre o relatório gerado.

Conteúdo do relatório de incidentes

O Copilot no Defender cria um relatório de incidente com as seguintes informações:

• Os principais carimbos de data/hora das ações de gestão de incidentes, incluindo:
  • Criação e encerramento de incidentes
  • Os primeiros e últimos registos, quer o registo tenha sido orientado pelo analista ou automatizado, são capturados no incidente
• Os analistas envolvidos na resposta a incidentes
• Classificação de incidentes, incluindo o motivo do analista para a classificação que Copilot resume
• Ações de investigação e remediação
• Dar seguimento a ações como recomendações, problemas abertos ou passos seguintes indicados pelos analistas nos registos de incidentes

As ações como o isolamento do dispositivo, a desativação de um utilizador e a eliminação recuperável de e-mails são incluídas no relatório de incidentes. Para obter uma lista completa das ações incluídas no relatório de incidentes, consulte o Centro de ação. O relatório de incidentes também inclui manuais de procedimentos do Microsoft Sentinel executados. Os comandos de resposta em direto e as ações de resposta provenientes de origens de API públicas ou de deteções personalizadas ainda não são suportadas.

Recomendamos que resolva o incidente para ver todas as ações que foram tomadas. Os incidentes que não são resolvidos refletirão parcialmente as ações no relatório de incidentes.

Criar um relatório de incidentes

Para criar um relatório de incidentes com o Copilot no Defender, execute os seguintes passos:

1. Abra uma página de incidentes. Na página do incidente, navegue para as reticências Mais ações (...) e, em seguida, selecione Gerar relatório de incidente. Em alternativa, pode selecionar o ícone de relatório encontrado no painel lateral Copilot.

   

2. O Copilot cria o relatório de incidentes. Pode parar a criação do relatório ao selecionar Cancelar e reiniciar a criação do relatório ao selecionar Regenerar. Além disso, pode reiniciar a criação do relatório se encontrar um erro.

3. O cartão do relatório do incidente é apresentado no painel Copilot. O relatório gerado depende das informações de incidente disponíveis no Microsoft Defender XDR e no Microsoft Sentinel. Veja as recomendações para garantir um relatório de incidentes abrangente.

   

   

4. Selecione as reticências mais ações (...) localizadas no canto superior direito do cartão de relatório de incidente. Para copiar o relatório, selecione Copiar para a área de transferência e cole o relatório no seu sistema preferido, Publicar no registo de atividades para adicionar o relatório ao registo de atividades no portal do Microsoft Defender ou Exportar incidente como PDF para exportar os dados do incidente para PDF. Selecione Regenerar para reiniciar a criação do relatório. Também pode Abrir no Copilot for Security para ver os resultados e continuar a aceder a outros plug-ins disponíveis no portal autónomo copilot for Security.

   

5. Reveja o relatório de incidentes gerado. Pode fornecer feedback sobre o relatório ao selecionar o ícone de feedback encontrado na parte inferior dos resultados .

Exportar incidente para PDF

Pode exportar os dados do incidente para PDF para criar um relatório que pode partilhar facilmente com os intervenientes. Os dados do incidente exportados contêm informações relevantes, como a história do ataque, os recursos afetados, os alertas relevantes e o conteúdo gerado pela IA da Copilot, como o resumo do incidente e o relatório de incidentes. Com esta capacidade, as equipas de segurança podem exportar rapidamente mais informações sobre incidentes para debates pós-incidente dentro dos membros da equipa ou com outros intervenientes.

Pode seguir os passos em exportar dados de incidentes para PDF para gerar o PDF.

Recomendações para a criação de relatórios de incidentes

Seguem-se algumas recomendações a considerar para garantir que o Copilot gera um relatório de incidentes completo e abrangente:

• Classifique e resolva o incidente antes de gerar o relatório de incidentes.
• Certifique-se de que escreve e guarda comentários no registo de atividades do Microsoft Sentinel ou no registo de atividades de incidentes do Microsoft Defender XDR para incluir os comentários no relatório de incidentes.
• Escreva comentários com um idioma abrangente e claro. Os comentários detalhados e claros proporcionam um melhor contexto sobre as ações de resposta. Veja os seguintes passos para saber como aceder ao campo de comentários:
  • Adicionar comentários a incidentes no portal do Microsoft Defender
  • Adicionar comentários a incidentes no Microsoft Sentinel
• Para os utilizadores do ServiceNow, ative a sincronização bidirecional do Microsoft Sentinel e do ServiceNow para obter dados de incidentes mais robustos.
• Copie o relatório de incidente gerado e publique-o no registo de atividades no portal do Microsoft Defender para garantir que o relatório de incidentes é guardado na página do incidente.

Confira também

• Introdução ao Microsoft Copilot para Segurança
• Saiba mais sobre outras experiências incorporadas do Copilot for Security
• Saiba mais sobre plug-ins pré-instalados no Copilot for Security

Dica

Você deseja aprender mais? Contacte a comunidade de Segurança da Microsoft na nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.