通过

在 Microsoft Defender 中使用 Microsoft Copilot 创建事件报告

  • 项目

适用于:

  • Microsoft Defender XDR
  • Microsoft Defender 统一安全运营中心 (SOC) 平台

Microsoft Microsoft Defender 门户中的 Copilot for Security 可帮助安全运营团队高效编写事件报告。 利用 Copilot 进行 AI 支持的数据处理,安全团队只需单击 Microsoft Defender 门户中的按钮即可立即创建事件报告。

全面而清晰的事件报告是安全团队和安全运营管理的重要参考。 但是,对于安全运营团队来说,编写包含重要详细信息的综合报表可能是一项耗时的任务。 从多个源收集、组织和汇总事件信息需要重点和详细分析才能创建信息丰富的报表。 借助 Defender 中的 Copilot,安全团队现在可以在门户中立即创建大量事件报告。

虽然 事件摘要 提供了事件及其发生方式的概述,但事件报告合并了 Microsoft Sentinel 和 Defender XDR 中提供的各种数据源的事件信息。 Copilot 生成的事件报告还包括所有分析师驱动的步骤和自动化操作、参与事件响应的分析师以及分析师的评论。 无论安全团队使用的是 Microsoft Sentinel 和/或 Defender XDR,所有相关事件数据都会添加到生成的事件报告中。

Copilot 根据已实施的自动和手动操作以及事件中发布的分析师评论和笔记生成事件报告。 可以查看并遵循 建议 ,以确保 Copilot 创建全面的事件报告。

Microsoft Defender 中的事件报告生成功能可通过 Copilot for Security 许可证获得。 此功能也可通过 Microsoft Defender XDR 插件在 Copilot for Security 独立门户中使用。

本指南列出了事件报告中的数据,并包含有关如何在 Microsoft Defender 门户中访问事件报告创建功能的步骤。 它还包括有关如何提供有关生成的报表的反馈的信息。

事件报告内容

Defender 中的 Copilot 创建包含以下信息的事件报告:

  • 主要事件管理操作的时间戳,包括:
    • 事件创建和关闭
    • 在事件中捕获的第一个和最后一个日志,无论日志是分析师驱动的还是自动化的
  • 参与事件响应的分析师
  • 事件分类,包括 Copilot 总结的分析师分类原因
  • 调查和修正操作
  • 跟进事件日志中分析人员记录的建议、打开的问题或后续步骤等操作

事件报告中包括设备隔离、禁用用户和软删除电子邮件等操作。 有关事件报告中包含的操作的完整列表,请参阅 操作中心。 事件报告还包括 运行Microsoft Sentinel playbook。 尚不支持来自公共 API 源或自定义检测的实时响应命令和响应操作。

建议解决事件以查看已执行的所有操作。 未解决的事件将部分反映事件报告中的操作。

创建事件报告

若要在 Defender 中使用 Copilot 创建事件报告,请执行以下步骤:

  1. 打开事件页面。 在事件页中,导航到 “更多操作 ”省略号 (...) ,然后选择“ 生成事件报告”。 或者,可以选择 Copilot 侧面板中的报表图标。

    突出显示事件页面中生成的事件报告和报告图标按钮的屏幕截图。

  2. Copilot 创建事件报告。 可以通过选择“ 取消 ”来停止报表创建,然后通过选择“ 重新生成”来重新启动报表创建。 此外,如果遇到错误,可以重启报表创建。

  3. 事件报告卡显示在 Copilot 窗格中。 生成的报告取决于 Microsoft Defender XDR 和 Microsoft Sentinel 中提供的事件信息。 请参阅 建议 以确保提供全面的事件报告。

    事件页中事件报告卡的屏幕截图,其中显示了卡片的上半部分。

    事件页中事件报告卡的屏幕截图,其中显示了卡片的下角。

  4. 选择事件报告卡右上角的“更多操作”省略号 (...) 。 若要复制报表,请选择“ 复制到剪贴板 ”并将报表粘贴到首选系统,选择“ 发布到活动日志 ”,在 Microsoft Defender 门户中将报表添加到活动日志,或选择“ 将事件导出为 PDF ”, 将事件数据导出为 PDF。 选择“ 重新生成 ”以重新启动报表创建。 还可以 在 Copilot for Security 中打开 以查看结果并继续访问 Copilot for Security 独立门户中提供的其他插件。

    事件报告结果卡中其他操作的屏幕截图。

  5. 查看生成的事件报告。 你可以通过选择结果底部的反馈图标 ,在 Defender 卡中为 Copilot 提供反馈图标的屏幕截图来提供有关报表的反馈。

将事件导出到 PDF

可以将事件数据导出为 PDF,以创建可轻松与利益干系人共享的报表。 导出的事件数据包含相关信息,例如攻击事件、受影响的资产、相关警报以及来自 Copilot 的 AI 生成的内容,例如事件摘要和事件报告。 借助此功能,安全团队可以快速导出更多事件信息,以便在团队成员或其他利益干系人中进行事后讨论。

可以按照将 事件数据导出到 PDF 中的步骤生成 PDF。

有关创建事件报告的建议

下面是一些需要考虑的建议,以确保 Copilot 生成全面而完整的事件报告:

  • 在生成事件报告之前对事件进行分类和解决。
  • 确保在 Microsoft Sentinel 活动日志或 Microsoft Defender XDR 事件活动日志 中写入和保存注释,以在事件报告中包括注释。
  • 使用全面清晰的语言撰写注释。 深入而清晰的注释提供了有关响应操作的更好上下文。 请参阅以下步骤,了解如何访问注释字段:
  • 对于 ServiceNow 用户, 启用 Microsoft Sentinel 和 ServiceNow 双向同步 ,以获取更可靠的事件数据。
  • 复制生成的事件报告并将其发布到 Microsoft Defender 门户中的活动日志,以确保事件报告保存在事件页中。

另请参阅

提示

想要了解更多信息? 在我们的技术社区:Microsoft Defender XDR 技术社区中与 Microsoft 安全社区互动