Создание отчета об инциденте с помощью Microsoft Copilot в Microsoft Defender

• Применяется к:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Copilot для безопасности на портале Microsoft Defender помогает группам по обеспечению безопасности эффективно создавать отчеты об инцидентах. Используя обработку данных на основе ИИ Copilot для безопасности, группы безопасности могут сразу же создавать отчеты об инцидентах, нажав кнопку на портале Microsoft Defender.

Исчерпывающий и четкий отчет об инцидентах — это важный справочник для групп безопасности и групп управления операциями безопасности. Однако создание комплексного отчета с важными сведениями может занять много времени для команд по обеспечению безопасности. Сбор, систематизация и обобщение информации об инцидентах из нескольких источников требует сосредоточенности и детального анализа для создания информационного отчета. Благодаря Copilot в Defender команды безопасности теперь могут мгновенно создавать обширный отчет об инцидентах на портале.

Хотя сводка по инцидентам содержит общие сведения об инциденте и его возникновении, отчет об инциденте объединяет сведения об инцидентах из различных источников данных, доступных в Microsoft Sentinel и Defender XDR. Отчет об инцидентах, созданный Copilot, также включает все шаги и автоматизированные действия, выполняемые аналитиками, аналитиков, участвующих в реагировании на инциденты, а также комментарии аналитиков. Независимо от того, используют ли группы безопасности Microsoft Sentinel, Defender XDR или оба, все соответствующие данные об инцидентах добавляются в созданный отчет об инцидентах.

Copilot создает отчет об инциденте на основе реализованных автоматических и ручных действий, а также комментариев и заметок аналитиков, опубликованных в инциденте. Вы можете просмотреть и следовать рекомендациям, чтобы убедиться, что Copilot создает исчерпывающий отчет об инцидентах.

Возможность создания отчетов об инцидентах в Microsoft Defender доступна через лицензию Copilot для безопасности. Эта возможность также доступна на автономном портале Copilot для безопасности через плагин Microsoft Defender XDR.

В этом руководстве перечислены данные в отчетах об инцидентах и приведены инструкции по доступу к возможности создания отчетов об инцидентах на портале Microsoft Defender. Оно также содержит сведения о том, как предоставить отзыв о созданном отчете.

Содержимое отчета об инцидентах

Copilot в Defender создает отчет об инцидентах, содержащий следующие сведения:

• Основные метки времени действий по управлению инцидентами, в том числе:
  • Создание и закрытие инцидента
  • Первый и последний журналы, независимо от того, были ли они созданы аналитиками или автоматизированы, зафиксированы в инциденте.
• Аналитики, участвующие в реагировании на инциденты
• Классификация инцидентов, включая причину классификации, указанную аналитиком, которую резюмирует Copilot
• Действия по изучению и исправлению
• Дальнейшие действия, такие как рекомендации, открытые проблемы или дальнейшие шаги, отмеченные аналитиками в журналах инцидентов

В отчет об инциденте включаются такие действия, как изоляция устройства, отключение пользователя и обратимое удаление сообщений электронной почты. Полный список действий, включенных в отчет об инцидентах, см. в центре уведомлений. Отчет об инцидентах также включает запущенные сборники схем Microsoft Sentinel. Команды реагирования в реальном времени и ответные действия, поступающие из общедоступных источников API или в результате пользовательских обнаружений, пока не поддерживаются.

Мы рекомендуем устранить инцидент, чтобы просмотреть все выполненные действия. Инциденты, которые не разрешены, частично отражают действия в отчете об инциденте.

Создание отчета об инциденте

Чтобы создать отчет об инциденте с помощью Copilot в Defender, выполните следующие действия.

1. Откройте страницу инцидента. На странице инцидента перейдите к многоточию Дополнительные действия (...) и выберите Создать отчет об инциденте. Кроме того, можно выбрать значок отчета на боковой панели Copilot.

   

2. Copilot создает отчет об инциденте. Вы можете остановить создание сводки, нажав Отменить или перезапустить создание, выбрав Создать заново. Кроме того, при возникновении ошибки можно перезапустить создание отчета.

3. На панели Copilot появится карточка отчета об инциденте. Созданный отчет зависит от сведений об инцидентах, доступных в Microsoft Defender XDR и Microsoft Sentinel. Ознакомьтесь с рекомендациями, чтобы получить исчерпывающий отчет об инцидентах.

   

   

4. Выберите многоточие «Другие действия» (...), расположенное в правом верхнем углу карточки отчета об инциденте. Чтобы скопировать отчет, выберите Копировать в буфер обмена и вставьте отчет в предпочитаемую систему, Опубликовать в журнал действий, чтобы добавить отчет в журнал действий на портале Microsoft Defender, или Экспорт инцидента в формате PDF для экспорта данных об инцидентах в PDF. Выберите Создать повторно, чтобы перезапустить создание отчета. Вы также можете Открыть в Copilot для безопасности, чтобы просмотреть результаты и продолжить доступ к другим подключаемым модулям, доступным на автономном портале Copilot для безопасности.

   

5. Просмотрите созданный отчет об инциденте. Вы можете оставить отзыв об отчете, щелкнув значок обратной связи в нижней части результатов .

Экспорт инцидента в PDF

Вы можете экспортировать данные об инцидентах в PDF-файл, чтобы создать отчет, которым можно легко поделиться с заинтересованными лицами. Экспортированные данные об инцидентах содержат соответствующую информацию, такую как история атаки, затронутые ресурсы, соответствующие оповещения и содержимое, созданное ИИ из Copilot, например сводка по инцидентам и отчет об инцидентах. С помощью этой возможности группы безопасности могут быстро экспортировать дополнительные сведения об инцидентах для обсуждения после инцидента между участниками команды или с другими заинтересованными лицами.

Чтобы создать PDF-файл, выполните действия, описанные в статье Экспорт данных об инцидентах в PDF-файл.

Рекомендации по созданию отчета об инциденте

Вот несколько рекомендаций, которые следует учитывать, чтобы Copilot создавал исчерпывающий и полный отчет об инциденте:

• Классифицируйте и устраните инцидент перед созданием отчета об инциденте.
• Убедитесь, что вы записываете и сохраняете комментарии в журнале действий Microsoft Sentinel или в журнале действий по инцидентам XDR в Microsoft Defender, чтобы включить их в отчет об инциденте.
• Пишите комментарии, используя исчерпывающий и понятный язык. Подробные и четкие комментарии обеспечивают более понятный контекст о действиях по реагированию. Чтобы узнать, как получить доступ к полю комментариев, ознакомьтесь со следующими инструкциями.
  • Добавление комментариев к инцидентам на портале Microsoft Defender
  • Добавление комментариев к инцидентам в Microsoft Sentinel
• Для пользователей ServiceNow включите двунаправленную синхронизацию Microsoft Sentinel и ServiceNow, чтобы получить более надежные данные об инцидентах.
• Скопируйте созданный отчет об инциденте и опубликуйте его в журнал действий на портале Microsoft Defender, чтобы обеспечить сохранение отчета об инциденте на странице инцидента.

См. также

• Начало работы с Microsoft Copilot для безопасности
• Сведения о других внедренных интерфейсах Copilot для безопасности
• Дополнительные сведения о предустановленных подключаемых модулях в Copilot для безопасности

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.