Create отчет об инциденте с помощью Microsoft Copilot в Microsoft Defender
Область применения:
- Microsoft Defender XDR
- Microsoft Defender платформу единого центра управления безопасностью (SOC)
Microsoft Copilot для безопасности на портале Microsoft Defender помогает группам по обеспечению безопасности эффективно создавать отчеты об инцидентах. Используя обработку данных на основе ИИ Copilot для безопасности, группы безопасности могут сразу же создавать отчеты об инцидентах, нажав кнопку на портале Microsoft Defender.
Исчерпывающий и четкий отчет об инцидентах — это важный справочник для групп безопасности и управления операциями безопасности. Однако создание комплексного отчета с важными сведениями может занять много времени для команд по обеспечению безопасности. Сбор, упорядочение и обобщение сведений об инцидентах из нескольких источников требует сосредоточения и подробного анализа для создания полнофункционированного отчета. Благодаря Copilot в Defender команды безопасности теперь могут мгновенно создавать обширный отчет об инцидентах на портале.
Хотя сводка по инцидентам содержит обзор инцидента и его возникновения, отчет об инциденте объединяет сведения об инцидентах из различных источников данных, доступных в Microsoft Sentinel и Defender XDR. Отчет об инциденте, созданный Copilot, также включает все шаги, управляемые аналитиком, и автоматизированные действия, аналитиков, участвующих в реагировании на инциденты, и комментарии аналитиков. Независимо от того, используют ли группы безопасности Microsoft Sentinel, Defender XDR или оба, все соответствующие данные об инцидентах добавляются в созданный отчет об инцидентах.
Copilot создает отчет об инциденте на основе автоматических и ручных действий, реализованных, а также комментариев и примечаний аналитиков, размещенных в инциденте. Вы можете просмотреть и следовать рекомендациям , чтобы убедиться, что Copilot создает исчерпывающий отчет об инцидентах.
Возможность создания отчетов об инцидентах в Microsoft Defender доступна через лицензию Copilot для безопасности. Эта возможность также доступна на автономном портале Copilot для безопасности через подключаемый модуль Microsoft Defender XDR.
В этом руководстве перечислены данные в отчетах об инцидентах и приведены инструкции по доступу к возможности создания отчетов об инцидентах на портале Microsoft Defender. Он также содержит сведения о том, как предоставить отзыв о созданном отчете.
Содержимое отчета об инциденте
Copilot в Defender создает отчет об инцидентах, содержащий следующие сведения:
- В main метки времени действий по управлению инцидентами, в том числе:
- Создание и закрытие инцидента
- Первый и последний журналы, независимо от того, был ли журнал управляемый аналитиком или автоматизирован, были записаны в инциденте
- Аналитики, участвующие в реагировании на инциденты
- Классификация инцидентов, включая причину классификации аналитика, которую подытожил Copilot
- Действия по изучению и исправлению
- Дальнейшие действия, такие как рекомендации, открытые проблемы или дальнейшие шаги, отмеченные аналитиками в журналах инцидентов
В отчет об инциденте включаются такие действия, как изоляция устройства, отключение пользователя и обратимое удаление сообщений электронной почты. Полный список действий, включенных в отчет об инцидентах, см. в центре уведомлений. Отчет об инцидентах также включает сборники схем Microsoft Sentinel запущены. Команды динамического ответа и действия ответа, поступающие из общедоступных источников API или из пользовательских обнаружений, пока не поддерживаются.
Мы рекомендуем устранить инцидент, чтобы просмотреть все выполненные действия. Инциденты, которые не разрешены, частично отражают действия в отчете об инциденте.
Создание отчета об инциденте
Чтобы создать отчет об инциденте с помощью Copilot в Defender, выполните следующие действия.
Откройте страницу инцидента. На странице инцидента перейдите к многоточию Дополнительные действия (...) и выберите Создать отчет об инциденте. Кроме того, можно выбрать значок отчета на боковой панели Copilot.
Copilot создает отчет об инциденте. Вы можете остановить создание отчета, выбрав Отменить и перезапустить создание отчета, выбрав Повторное создание. Кроме того, при возникновении ошибки можно перезапустить создание отчета.
Отчет об инциденте карта появится на панели Copilot. Созданный отчет зависит от сведений об инцидентах, доступных от Microsoft Defender XDR и Microsoft Sentinel. Ознакомьтесь с рекомендациями , чтобы получить исчерпывающий отчет об инцидентах.
Выберите многоточие других действий (...), расположенный в правом верхнем углу отчета об инциденте, карта. Чтобы скопировать отчет, выберите Копировать в буфер обмена и вставьте отчет в предпочитаемую систему, Опубликовать в журнал действий, чтобы добавить отчет в журнал действий на портале Microsoft Defender, или Экспорт инцидента в формате PDF для экспорта данных об инцидентах в PDF. Выберите Повторно, чтобы перезапустить создание отчета. Вы также можете открыть в Copilot для безопасности, чтобы просмотреть результаты и продолжить доступ к другим подключаемым модулям, доступным на автономном портале Copilot для безопасности.
Просмотрите созданный отчет об инцидентах. Вы можете оставить отзыв об отчете, щелкнув значок обратной связи в нижней части результатов
.
Экспорт инцидента в PDF-файл
Вы можете экспортировать данные об инцидентах в PDF-файл, чтобы создать отчет, которым можно легко поделиться с заинтересованными лицами. Экспортированные данные об инцидентах содержат соответствующую информацию, такую как история атаки, затронутые ресурсы, соответствующие оповещения и содержимое, созданное ИИ из Copilot, например сводка по инцидентам и отчет об инцидентах. С помощью этой возможности группы безопасности могут быстро экспортировать дополнительные сведения об инцидентах для обсуждения после инцидента между участниками команды или с другими заинтересованными лицами.
Чтобы создать PDF-файл, выполните действия, описанные в статье Экспорт данных об инцидентах в PDF .
Рекомендации по созданию отчета об инциденте
Ниже приведены некоторые рекомендации по обеспечению того, чтобы Copilot создавала полный и полный отчет об инцидентах:
- Классифицируйте и устраните инцидент перед созданием отчета об инциденте.
- Убедитесь, что вы записываете и сохраняете комментарии в журнале действий Microsoft Sentinel или в журнале действий Microsoft Defender XDR инцидентов, чтобы включить комментарии в отчет об инциденте.
- Пишите комментарии, используя исчерпывающий и понятный язык. Подробные и четкие комментарии обеспечивают более понятный контекст о действиях по реагированию. Чтобы узнать, как получить доступ к полю примечаний, ознакомьтесь со следующими инструкциями.
- Добавление комментариев к инцидентам на портале Microsoft Defender
- Добавление комментариев к инцидентам в Microsoft Sentinel
- Для пользователей ServiceNow включите двунаправленную синхронизацию Microsoft Sentinel и ServiceNow , чтобы получить более надежные данные об инцидентах.
- Скопируйте созданный отчет об инциденте и опубликуйте его в журнал действий на портале Microsoft Defender, чтобы убедиться, что отчет об инциденте сохранен на странице инцидента.
См. также
- Начало работы с Microsoft Copilot для безопасности
- Сведения о других встроенных интерфейсах Copilot для безопасности
- Узнайте больше о предустановленных подключаемых модулях в Copilot для безопасности
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по