通过

使用 Microsoft Defender 中的 Microsoft Copilot 创建事件报告

  • 项目
  • 适用于:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender 门户中的 Microsoft 安全 Copilot 可帮助安全运营团队高效编写事件报告。 利用安全 Copilot 进行 AI 支持的数据处理,安全团队只需单击 Microsoft Defender 门户中的按钮即可立即创建事件报告。

全面而清晰的事件报告是安全团队和安全运营管理的重要参考。 但是,对于安全运营团队来说,编写包含重要详细信息的综合报表可能是一项耗时的任务。 从多个源收集、组织和汇总事件信息需要重点和详细分析才能创建信息丰富的报表。 借助 Defender 中的 Copilot,安全团队现在可以在门户中立即创建大量事件报告。

虽然事件摘要提供了事件及其发生方式的概述,但事件报告合并了 Microsoft Sentinel 和 Defender XDR 中提供的各种数据源的事件信息。 Copilot 生成的事件报告还包括所有分析师驱动的步骤和自动操作、参与事件响应的分析师以及分析师的评论。 无论安全团队使用 Microsoft Sentinel、Defender XDR 还是两者,所有相关的事件数据都会添加到生成的事件报告中。

Copilot 根据已实施的自动和手动操作以及事件中发布的分析人员备注和注释生成事件报告。 可以查看并遵循建议,以确保 Copilot 创建全面的事件报告。

Microsoft Defender 中的事件报告生成功能可通过 安全 Copilot 许可证获得。 也可通过 Microsoft Defender XDR 插件在安全 Copilot 独立门户中使用此功能。

本指南列出了事件报告中的数据,并包含有关如何在 Microsoft Defender 门户中访问事件报告创建功能的步骤。 它还包括有关如何提供有关生成的报表的反馈的信息。

事件报告内容

Defender 中的 Copilot 创建包含以下信息的事件报告:

  • 主要事件管理操作的时间戳,包括:
    • 事件创建和关闭
    • 在事件中捕获的第一个和最后一个日志,无论日志是分析人员驱动的还是自动化的
  • 参与事件响应的分析师
  • 事件分类,包括 Copilot 总结的分析师分类原因
  • 调查和修正操作
  • 跟进事件日志中分析师记录的建议、未解决问题或后续步骤等操作

事件报告中包括设备隔离、禁用用户和软删除电子邮件等操作。 有关事件报告中包含的操作的完整列表,请参阅操作中心。 事件报告还包括运行的 Microsoft Sentinel 剧本。 尚不支持来自公共 API 源或自定义检测的实时响应命令和响应操作。

建议解决事件以查看已执行的所有操作。 未解决的事件将部分反映事件报告中的操作。

创建事件报告

若要使用 Defender 中的 Copilot 创建事件报告,请执行以下步骤:

  1. 打开事件页面。 在事件页中,导航到“更多操作”省略号 (...),然后选择“生成事件报告”。 或者,可以选择 Copilot 侧面板中的报告图标。

    屏幕截图突出显示事件页面中生成的事件报告和报告图标按钮。

  2. Copilot 创建事件报告。 可通过选择“取消”来停止创建报告,选择“重新生成”来重新开始创建报告。 此外,如果遇到错误,则可以重新开始创建报告。

  3. 事件报告卡显示在 Copilot 窗格中。 生成的报告取决于 Microsoft Defender XDR 和 Microsoft Sentinel 中提供的事件信息。 请参阅建议,以确保提供全面的事件报告。

    事件页中事件报告卡的屏幕截图,其中显示了卡片的上半部分。

    事件页中事件报告卡的屏幕截图,显示了卡的下面部分。

  4. 选择事件报告卡右上角的“更多操作”省略号 (...)。 若要复制报告,请选择“复制到剪贴板”并将报告粘贴到首选系统,选择“发布到活动日志”以在 Microsoft Defender 门户中将报告添加到活动日志,或选择“将事件导出为 PDF”以将事件数据导出为 PDF。 选择“重新生成”以重新开始创建报告。 还可以在 Microsoft 安全 Copilot 中打开以查看结果并继续访问安全 Copilot 独立门户中提供的其他插件。

    事件报告结果卡中其他操作的屏幕截图。

  5. 查看生成的报告。 可以通过选择结果底部的反馈图标 Defender 中的 Copilot 的反馈图标的屏幕截图 来提供有关报告的反馈。

将事件导出为 PDF

可以将事件数据导出为 PDF,以创建可轻松与利益干系人共享的报告。 导出的事件数据包含相关信息,如攻击情景、受影响的资产、相关警报以及 Copilot 的 AI 生成内容,如事件摘要和事件报告。 借助此功能,安全团队可以快速导出更多事件信息,以便在团队成员内部或与其他利益相关者进行事件后讨论。

可以按照将事件数据导出到 PDF 中的步骤生成 PDF。

有关创建事件报告的建议

下面是一些需要考虑的建议,以确保 Copilot 生成全面而完整的事件报告:

  • 在生成事件报告之前对事件进行分类和解决。
  • 确保在 Microsoft Sentinel 活动日志或 Microsoft Defender XDR 事件活动日志中写入和保存注释,以在事件报告中包括注释。
  • 使用全面清晰的语言撰写注释。 深入而清晰的注释可提供有关响应操作的更好上下文。 请参阅以下步骤,了解如何访问注释字段:
  • 对于 ServiceNow 用户,启用 Microsoft Sentinel 和 ServiceNow 双向同步,以获取更可靠的事件数据。
  • 复制生成的事件报告并将其发布到 Microsoft Defender 门户中的活动日志,以确保事件报告保存在事件页中。

另请参阅

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区