Vytvoření hlášení incidentu pomocí Microsoft Copilotu v Microsoft Defender

Článek
11/19/2024
Platí pro:

Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Security Copilot na portálu Microsoft Defender pomáhá týmům operací zabezpečení efektivně psát sestavy incidentů. S využitím zpracování dat využívajících umělou inteligenci Security Copilot můžou bezpečnostní týmy okamžitě vytvářet sestavy incidentů kliknutím na tlačítko na portálu Microsoft Defender.

Tato příručka obsahuje seznam dat v sestavách incidentů a obsahuje kroky pro přístup k funkci vytváření sestav incidentů na portálu Microsoft Defender. Obsahuje také informace o tom, jak poskytnout zpětnou vazbu k vygenerované sestavě.

Než začnete

Pokud s Security Copilot začínáte, měli byste se s ním seznámit v následujících článcích:

Komplexní a jasná zpráva o incidentech je základním odkazem pro bezpečnostní týmy a správu operací zabezpečení. Napsání komplexní sestavy s důležitými podrobnostmi však může být pro týmy bezpečnostních operací časově náročným úkolem. Shromažďování, organizování a shrnutí informací o incidentech z více zdrojů vyžaduje soustředění a podrobnou analýzu k vytvoření sestavy bohaté na informace. Bezpečnostní týmy teď můžou na portálu okamžitě vytvořit rozsáhlou zprávu o incidentech pomocí Copilot v Defenderu.

Zatímco souhrn incidentu poskytuje přehled o incidentu a o tom, jak k němu došlo, hlášení incidentu slučuje informace o incidentech z různých zdrojů dat dostupných ve službách Microsoft Sentinel a XDR v Defenderu. Zpráva incidentu vygenerovaná Copilotem obsahuje také všechny analytické kroky a automatizované akce, analytiky zapojené do reakce incidentu a komentáře analytiků. Ať už bezpečnostní týmy používají Microsoft Sentinel, XDR v Microsoft Defenderu, nebo obojí, všechna relevantní data incidentů se přidají do vygenerovaného hlášení incidentu.

Copilot generuje zprávu o incidentu na základě provedených automatických a manuálních akcí a komentářů a poznámek analytiků zveřejněných v incidentu. Můžete si prohlédnout a postupovat podle doporučení, abyste zajistili, že Copilot vytvoří komplexní zprávu o incidentu.

integrace Security Copilot v Microsoft Defender

Funkce generování sestav incidentů v Microsoft Defender je k dispozici zákazníkům, kteří zřídili přístup k Security Copilot.

Tato funkce je k dispozici také na Security Copilot samostatném portálu prostřednictvím modulu plug-in Microsoft Defender XDR. Další informace o předinstalovaných modulech plug-in v Security Copilot.

Klíčové funkce

Copilot v Defenderu vytvoří hlášení incidentu obsahující následující informace:

Časová razítka hlavních akcí správy incidentů, včetně:
- Vytvoření a uzavření incidentu
- První a poslední protokoly, ať už protokol řízený analytikem nebo automatizovaný, zachycený v incidentu
Analytici zapojení do reakce na incidenty
Klasifikace incidentu, včetně důvodu klasifikace analytika, kterou Copilot shrnuje
Prověřovací a nápravné akce
Řiďte se akcemi, jako jsou doporučení, otevřené problémy nebo další kroky uvedené analytiky v protokolech incidentů

Do hlášení incidentu jsou zahrnuty akce, jako je izolace zařízení, zakázání uživatele a obnovitelné odstranění e-mailů. Úplný seznam akcí zahrnutých v hlášení incidentu najdete v Centru akcí. Hlášení incidentu také obsahuje spuštěné playbooky Microsoft Sentinel. Příkazy okamžité reakce a akce odpovědí přicházející z veřejných zdrojů rozhraní API nebo z vlastních detekcí se zatím nepodporují.

Doporučujeme vyřešit incident, abyste mohli zobrazit všechny provedené akce. Incidenty, které nejsou vyřešené, budou částečně odrážet akce v hlášení incidentu.

Vytvoření hlášení incidentu

Pokud chcete vytvořit hlášení incidentu pomocí Copilot v Defenderu, proveďte následující kroky:

Otevřete stránku incidentu. Na stránce incidentu přejděte na Další akcetři tečky (...) a pak vyberteVygenerovat sestavu incidentu. Případně můžete vybrat ikonu sestavy, která se nachází v bočním panelu Copilota.
Copilot vytvoří hlášení incidentu. Vytváření sestavy můžete zastavit výběrem možnosti Zrušit a opětovným vytvořením sestavy výběrem možnosti Znovu vygenerovat. Kromě toho můžete vytvoření sestavy restartovat, pokud dojde k chybě.
Karta hlášení incidentu se zobrazí v podokně Copilota. Vygenerovaná sestava závisí na informacích o incidentu, které jsou k dispozici v XDR v Microsoft Defenderu a Microsoft Sentinelu. Přečtěte si doporučení pokud chcete zajistit ucelenou zprávu o incidentech.
Vyberte tři tečky Další akce (...) umístěné v pravém horním rohu karty hlášení incidentu. Pokud chcete sestavu zkopírovat, vyberte Kopírovat do schránky a vložte sestavu do preferovaného systému, publikovat do protokolu aktivit a přidat sestavu do protokolu aktivit na portálu Microsoft Defender. Pokud chcete exportovat data incidentu do PDF, exportujte incident jako PDF. Vyberte Znovu vygenerovat a znovu spusťte vytváření sestavy. Můžete také otevřít v Security Copilot a zobrazit výsledky a pokračovat v přístupu k dalším modulům plug-in dostupným na Security Copilot samostatném portálu.
Zkontrolujte vygenerované hlášení incidentu. Zpětnou vazbu k sestavě můžete poskytnout výběrem ikony zpětné vazby, která se nachází v dolní části výsledků .

Export dat incidentů do PDF

Data incidentu můžete exportovat do PDF a vytvořit sestavu, kterou můžete snadno sdílet se zúčastněnými stranami. Exportovaná data incidentu obsahují relevantní informace, jako je příběh útoku, ovlivněné prostředky, relevantní výstrahy a obsah vygenerovaný umělou inteligencí od společnosti Copilot, jako je souhrn incidentu a hlášení incidentu. Díky této funkci můžou bezpečnostní týmy rychle exportovat další informace o incidentech pro diskuze po incidentech v rámci členů týmu nebo s dalšími zúčastněnými stranami.

Soubor PDF můžete vygenerovat podle pokynů v exportu dat incidentu do PDF.

Doporučení pro vytváření sestav incidentů

Tady je několik doporučení, která byste měli zvážit, abyste zajistili, že Copilot vygeneruje komplexní a kompletní hlášení incidentů:

Před generováním hlášení incidentu incident klasifikujte a vyřešte incident.
Nezapomeňte psát a ukládat komentáře do protokolu aktivit služby Microsoft Sentinel nebo do komentářů a historie incidentů v protokolu aktivit incidentů služby Microsoft Defender XDR , abyste do hlášení incidentu zahrnuli komentáře.
Pište komentáře pomocí komplexního a jasného jazyka. Podrobné a jasné komentáře poskytují lepší kontext o akcích odezvy. V následujících krocích zjistíte, jak získat přístup k poli komentářů:
- Přidání komentářů k incidentům v portálu Microsoft Defender
- Přidání komentářů k incidentům ve službě Microsoft Sentinel
Uživatelům ServiceNow povolit obousměrnou synchronizační Microsoft Sentinel a ServiceNow, abyste získali robustnější data incidentů.
Zkopírujte vygenerovanou sestavu incidentu a publikujte ji do protokolu aktivit na portálu Microsoft Defender, abyste měli jistotu, že se sestava incidentu uloží na stránce incidentu.

Ukázková výzva k vytvoření sestavy incidentů

Na Security Copilot samostatném portálu můžete pomocí následující výzvy vytvořit sestavu incidentu:

Vygenerujte sestavu incidentu pro incident defenderu {ID incidentu}.

Tip

Při generování sestav incidentů na portálu Security Copilot Microsoft doporučuje zahrnout do výzev slovo Defender, aby se zajistilo, že funkce vytváření sestav incidentů přináší výsledky.

Poskytnutí zpětné vazby

Společnost Microsoft vás velmi doporučuje, abyste společnosti Copilot poskytli zpětnou vazbu, protože je to zásadní pro neustálé vylepšování schopností. Pokud chcete poskytnout zpětnou vazbu, přejděte do dolní části bočního panelu Copilot a vyberte ikonu zpětné vazby Snímek obrazovky s ikonou zpětné vazby pro Copilot na kartách Defenderu .

Viz také

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.

Sdílet prostřednictvím