共用方式為

在 Microsoft Defender 中使用 Microsoft Copilot 建立事件報告

  • 發行項

適用於:

  • Microsoft Defender XDR
  • Microsoft DEFENDER 整合安全性作業中心 (SOC) 平臺

Microsoft Defender 入口網站中的 Microsoft Copilot for Security 可協助安全性作業小組有效率地撰寫事件報告。 安全性小組可以利用 Copilot 進行安全性 AI 支援的數據處理,在 Microsoft Defender 入口網站中按兩下按鈕,立即建立事件報告。

詳盡且清楚的事件報告是安全性小組和安全性作業管理的必要參考資料。 不過,撰寫具有重要詳細數據的完整報表,對於安全性作業小組而言,是一項耗時的工作。 從多個來源收集、組織及摘要事件資訊需要專注和詳細分析,才能建立資訊豐富的報告。 使用Defender中的 Copilot,安全性小組現在可以在入口網站內立即建立廣泛的事件報告。

雖然 事件摘要 提供事件的概觀及其發生方式,但事件報告會從 Microsoft Sentinel 和 Defender XDR 中可用的各種數據源合併事件資訊。 Copilot 產生的事件報告也包含所有分析師驅動的步驟和自動化動作、涉及事件回應的分析師,以及分析師的意見。 無論安全性小組使用 Microsoft Sentinel、Defender XDR 或兩者,所有相關的事件數據都會新增至產生的事件報告。

Copilot 會根據所實作的自動和手動動作,以及分析師在事件中張貼的批註和附注,產生事件報告。 您可以檢閱並遵循 建議 ,以確保 Copilot 建立完整的事件報告。

Microsoft Defender 中的事件報告產生功能可透過 Copilot for Security 授權取得。 這項功能也可透過 Microsoft Defender XDR 外掛程式,在適用於安全性的 Copilot 獨立入口網站中使用。

本指南列出事件報告中的數據,並包含如何在 Microsoft Defender 入口網站中存取事件報告建立功能的步驟。 它也包含如何提供所產生報表意見反應的相關信息。

事件報告內容

Defender 中的 Copilot 會建立事件報告,其中包含下列資訊:

  • 主要事件管理動作的時間戳記,包括:
    • 事件的建立和關閉
    • 事件中擷取到的第一個和最後一個記錄,不論是由分析師驅動或是自動化動作的記錄
  • 參與事件回應的分析師
  • 事件分類,包括分析師的分類原因,Copilot 摘要說明
  • 調查和補救動作
  • 追蹤事件記錄檔中分析師所述的建議、已開啟問題或後續步驟等動作

事件報告中包含裝置隔離、停用使用者和虛刪除電子郵件等動作。 如需事件報告中包含的動作完整清單,請參閱 控制中心。 事件報告也包含 已執行Microsoft Sentinel 劇本。 尚不支援來自公用 API 來源或自定義偵測的即時回應命令和回應動作。

建議您解決事件,以檢視已採取的所有動作。 未解決的事件會部分反映事件報告中的動作。

建立事件報告

若要在 Defender 中使用 Copilot 建立事件報告,請執行下列步驟:

  1. 開啟事件頁面。 在事件頁面中,流覽至 [ 其他動作 ] 省略號 (...) ,然後選取 [ 產生事件報告]。 或者,您可以選取在 Copilot 側邊面板中找到的報表圖示。

    醒目提示事件頁面中所產生事件報告和報告圖示按鈕的螢幕快照。

  2. Copilot 會建立事件報告。 您可以選取 [取消] 停止建立報告,然後選取 [重新產生] 重新開始建立報告。 此外,如果您遇到錯誤,可以重新開始建立報告。

  3. 事件報告卡片會出現在 [Copilot] 窗格上。 產生的報告取決於可從 Microsoft Defender XDR 和 Microsoft Sentinel 取得的事件資訊。 請參閱建議以確保詳盡的事件報告。

    事件頁面中事件報告卡片的螢幕快照,其中顯示卡片的上半部。

    事件頁面中事件報告卡片的螢幕快照,其中顯示卡片的下方。

  4. 選取事件報告卡片右上角 (...) 的 [更多動作] 省略號。 若要複製報表,請選取 [ 複製到剪貼簿 ] 並將報表貼到您慣用的系統、 [張貼至活動記錄 ] 以將報告新增至 Microsoft Defender 入口網站中的活動記錄檔,或選取 [將 事件匯出為 PDF ] 以將 事件數據匯出至 PDF。 選取 [重新產生] 以重新開始建立報告。 您也可以 在 Copilot for Security 中開 啟以檢視結果,並繼續存取 Copilot for Security 獨立入口網站中可用的其他外掛程式。

    事件報告結果卡片中其他動作的螢幕快照。

  5. 檢閱產生的事件報告。 您可以選取結果底部找到的意見反應圖示,以提供報表的意見反應 。Defender 卡片中 Copilot 的意見反應圖示螢幕快照

將事件匯出至 PDF

您可以將事件數據匯出至 PDF,以建立可輕鬆與專案關係人共用的報告。 導出的事件數據包含相關信息,例如攻擊事件、受影響的資產、相關警示,以及來自 Copilot 的 AI 產生內容,例如事件摘要和事件報告。 透過這項功能,安全性小組可以快速匯出更多事件資訊,以便在小組成員或其他專案關係人內進行事件後討論。

您可以依照將 事件數據匯出至 PDF 中的步驟來產生 PDF。

建立事件報告的建議

以下是一些要考慮的建議,以確保 Copilot 產生完整且完整的事件報告:

  • 在產生事件報告之前,先分類並解決事件。
  • 請確定您在 Microsoft Sentinel 活動記錄檔或 Microsoft Defender XDR 事件活動記錄 檔中撰寫和儲存批注,以在事件報告中包含批注。
  • 使用詳盡且清楚的語言撰寫註解。 深入且清楚的註解可以為回應動作提供更好的脈絡。 請參閱下列步驟以了解如何存取註解欄位:
  • 若是 ServiceNow 使用者,請啟用 Microsoft Sentinel 和 ServiceNow 雙向同步,以取得更健全的事件資料。
  • 複製產生的事件報告,並將其張貼至 Microsoft Defender 入口網站中的活動記錄,以確保事件報告會儲存在事件頁面中。

另請參閱

提示

想要深入了解? 在我們的技術社群中與Microsoft安全性社群互動:Microsoft Defender XDR 技術社群。