Del via

Opret en hændelsesrapport med Microsoft Copilot i Microsoft Defender

  • Artikel
  • Gælder for:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Security Copilot på Microsoft Defender-portalen hjælper sikkerhedsteams med at skrive hændelsesrapporter effektivt. Ved hjælp af Security Copilot AI-drevne databehandling kan sikkerhedsteams med det samme oprette hændelsesrapporter med et klik på en knap på Microsoft Defender-portalen.

Denne vejledning viser dataene i hændelsesrapporter og indeholder trin til, hvordan du får adgang til oprettelsesfunktionen for hændelsesrapporter på Microsoft Defender-portalen. Den indeholder også oplysninger om, hvordan du giver feedback om den genererede rapport.

Vær at vide, før du begynder

Hvis du ikke kender Security Copilot, bør du blive fortrolig med den ved at læse følgende artikler:

En omfattende og tydelig hændelsesrapport er en vigtig reference til sikkerhedsteams og administration af sikkerhedshandlinger. Det kan dog være en tidskrævende opgave for sikkerhedsteams at skrive en omfattende rapport med de vigtige detaljer. Indsamling, organisering og opsummering af hændelsesoplysninger fra flere kilder kræver fokus og detaljeret analyse for at oprette en rapport med omfattende oplysninger. Med Copilot i Defender kan sikkerhedsteams nu øjeblikkeligt oprette en omfattende hændelsesrapport på portalen.

Mens en oversigt over hændelser giver et overblik over en hændelse, og hvordan den er sket, konsoliderer en hændelsesrapport oplysninger fra forskellige datakilder, der er tilgængelige i Microsoft Sentinel og Defender XDR. Hændelsesrapporten genereret af Copilot indeholder også alle analytikerbaserede trin og automatiserede handlinger, de analytikere, der er involveret i svaret på hændelse, og kommentarerne fra analytikerne. Uanset om sikkerhedsteams bruger Microsoft Sentinel, Defender XDR eller begge dele, føjes alle relevante hændelsesdata til den genererede hændelsesrapport.

Copilot genererer hændelsesrapporten baseret på de implementerede automatiske og manuelle handlinger, der er implementeret, og analytikernes kommentarer og noter, der er angivet i hændelsen. Du kan gennemse og følge anbefalinger for at sikre, at Copilot opretter en omfattende hændelsesrapport.

Security Copilot integration i Microsoft Defender

Funktionaliteten til generering af hændelsesrapport i Microsoft Defender er tilgængelig for kunder, der har klargjort adgang til Security Copilot.

Denne funktion er også tilgængelig på Security Copilot enkeltstående portal via Microsoft Defender XDR-plug-in'en. Få mere at vide om forudinstallerede plug-ins i Security Copilot.

Nøglefunktioner

Copilot i Defender opretter en hændelsesrapport, der indeholder følgende oplysninger:

  • Tidsstempler for de vigtigste hændelser i forbindelse med administration af hændelser, herunder:
    • Oprettelse og lukning af hændelse
    • Første og sidste logge, uanset om loggen var analytikerdrevet eller automatiseret, registreret i hændelsen
  • De analytikere, der er involveret i svar på hændelse
  • Hændelsesklassificering, inkluderer analytikerens begrundelse for klassificering, som Copilot opsummerer
  • Undersøgelses- og afhjælpningshandlinger
  • Opfølgningshandlinger som f.eks. anbefalinger, åbne problemer eller næste trin, der er angivet af analytikerne i hændelsesloggene

Handlinger som enhedsisolering, deaktivering af en bruger og blød sletning af mails er inkluderet i hændelsesrapporten. Du kan se en komplet liste over handlinger, der er inkluderet i hændelsesrapporten, i Handlingscenter. Hændelsesrapporten inkluderer også kørte Microsoft Sentinel-strategiplaner. Direkte svar-kommandoer og responshandlinger, der kommer fra offentlige API-kilder eller fra brugerdefinerede registreringer, understøttes endnu ikke.

Vi anbefaler, at du løser hændelsen for at få vist alle de handlinger, der er foretaget. Hændelser, der ikke løses, afspejler delvist handlingerne i hændelsesrapporten.

Opret en hændelsesrapport

Hvis du vil oprette en hændelsesrapport med Copilot i Defender, skal du udføre følgende:

  1. Åbn en hændelsesside. På hændelsessiden skal du navigere til ellipsen Flere handlinger (…) og derefter vælge Generér hændelsesrapport. Du kan også vælge rapportikonet, der findes i Copilot-sidepanelet.

    Skærmbillede, der fremhæver ikonknapperne til generering af hændelsesrapport og rapport på hændelsessiden.

  2. Copilot opretter hændelsesrapporten. Du kan stoppe oprettelsen af rapporten ved at vælge Annuller og genstarte oprettelsen af rapporten ved at vælge Generér igen. Du kan også genstarte oprettelsen af rapporten, hvis der opstår en fejl.

  3. Kortet hændelsesrapport vises i Copilot-ruden. Den genererede rapport afhænger af de hændelsesoplysninger, der er tilgængelige fra Microsoft Defender XDR og Microsoft Sentinel. Se anbefalingerne for at sikre en omfattende hændelsesrapport.

    Skærmbillede af hændelsesrapportkortet på hændelsessiden, der viser den øverste halvdel af kortet.

    Skærmbillede af hændelsesrapportkortet på hændelsessiden, der viser den nederst knap på kortet.

  4. Vælg ellipsen Flere handlinger (…) øverst til højre på hændelsesrapportkortet. Hvis du vil kopiere rapporten, skal du vælge Kopiér til udklipsholder og indsæt rapporten i dit foretrukne system, Slå op i aktivitetslog for at føje rapporten til aktivitetsloggen på Microsoft Defender portalen eller Eksportér hændelse som PDF for at eksportere hændelsesdataene til PDF. Vælg Generér igen for at genstarte oprettelsen af rapporten. Du kan også åbne i Security Copilot for at få vist resultaterne og fortsætte med at få adgang til andre plug-ins, der er tilgængelige i Security Copilot enkeltstående portal.

    Skærmbillede af yderligere handlinger på hændelsesrapportens resultatkort.

  5. Gennemse den genererede hændelsesrapport. Du kan give feedback om rapporten ved at vælge feedback-ikonet, der findes nederst i resultaterne.Skærmbillede af feedback-ikonet til Copilot i Defender-kortet.

Eksportér hændelsesdata til PDF

Du kan eksportere hændelsesdataene til PDF for at oprette en rapport, som du nemt kan dele med interessenter. De eksporterede hændelsesdata indeholder relevante oplysninger som angrebshistorien, påvirkede aktiver, relevante beskeder og indhold fra Copilot, der er genereret af kunstig intelligens, f.eks. hændelsesoversigten og hændelsesrapporten. Med denne funktion kan sikkerhedsteams hurtigt eksportere flere oplysninger om hændelser for diskussioner efter hændelser i teammedlemmer eller med andre interessenter.

Du kan følge trinnene i eksport af hændelsesdata til PDF for at generere PDF-filen.

Anbefalinger til oprettelse af hændelsesrapport

Her er nogle anbefalinger, du bør overveje for at sikre, at Copilot genererer en omfattende og komplet hændelsesrapport:

Eksempelprompt om oprettelse af hændelsesrapport

I Security Copilot enkeltstående portal kan du bruge følgende prompt til at oprette hændelsesrapporten:

  • Generér hændelsesrapporten for Defender-hændelsen {incident ID}.

Tip

Når du genererer hændelsesrapporter på Security Copilot-portalen, anbefaler Microsoft, at du inkluderer ordet Defender i dine prompter for at sikre, at funktionen til oprettelse af hændelsesrapporter leverer resultaterne.

Giv feedback

Microsoft opfordrer dig på det kraftigste til at give feedback til Copilot, da det er afgørende for en funktions fortsatte forbedring. Hvis du vil give feedback, skal du gå til bunden af Sidepanelet Copilot og vælge feedbackikonet Skærmbillede af feedbackikonet for Copilot på Defender-kort.

Se også

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.