Erstellen eines Incidentberichts mit Microsoft Copilot in Microsoft Defender

• Gilt für::

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Security Copilot im Microsoft Defender-Portal unterstützt Sicherheitsteams bei der effizienten Erstellung von Incidentberichten. Mithilfe der KI-gestützten Datenverarbeitung von Security Copilot können Sicherheitsteams sofort Mit einem Klick auf eine Schaltfläche im Microsoft Defender-Portal Incidentberichte erstellen.

Dieser Leitfaden listet die Daten in Incidentberichten auf und enthält Schritte zum Zugriff auf die Funktion zum Erstellen von Incidentberichten im Microsoft Defender-Portal. Außerdem enthält sie Informationen dazu, wie Sie Feedback zum generierten Bericht geben können.

Klare Ideen vor dem Loslegen

Wenn Sie noch nicht mit Security Copilot vertraut sind, sollten Sie sich mit den folgenden Artikeln vertraut machen:

• Was ist Security Copilot?
• Security Copilot Erfahrungen
• Erste Schritte mit Security Copilot
• Grundlegendes zur Authentifizierung in Security Copilot
• Eingabeaufforderung in Security Copilot

Ein umfassender und klarer Incidentbericht ist eine wichtige Referenz für Sicherheitsteams und die Verwaltung von Sicherheitsvorgängen. Das Schreiben eines umfassenden Berichts mit den vorhandenen wichtigen Details kann jedoch eine zeitaufwändige Aufgabe für Sicherheitsbetriebsteams sein. Das Sammeln, Organisieren und Zusammenfassen von Incidentinformationen aus mehreren Quellen erfordert eine fokussierte und detaillierte Analyse, um einen Bericht mit umfangreichen Informationen zu erstellen. Mit Copilot in Defender können Sicherheitsteams jetzt sofort einen umfangreichen Incidentbericht im Portal erstellen.

Während eine Incidentzusammenfassung einen Überblick über einen Incident und dessen Auftreten bietet, werden in einem Incidentbericht Incidentinformationen aus verschiedenen Datenquellen konsolidiert, die in Microsoft Sentinel und Defender XDR verfügbar sind. Der von Copilot generierte Incidentbericht enthält auch alle von Analysten gesteuerten Schritte und automatisierten Aktionen, die an der Reaktion auf Vorfälle beteiligten Analysten und die Kommentare der Analysten. Unabhängig davon, ob Sicherheitsteams Microsoft Sentinel, Defender XDR oder beides verwenden, werden alle relevanten Incidentdaten dem generierten Incidentbericht hinzugefügt.

Copilot generiert den Schadensbericht basierend auf den automatischen und manuell implementierten Aktionen sowie den Kommentaren und Notizen der Analysten, die im Incident gepostet wurden. Sie können die Empfehlungen überprüfen und befolgen, um sicherzustellen, dass Copilot einen umfassenden Incidentbericht erstellt.

Security Copilot Integration in Microsoft Defender

Die Funktion zum Generieren von Incidentberichten in Microsoft Defender ist für Kunden verfügbar, die Zugriff auf Security Copilot bereitgestellt haben.

Diese Funktion ist auch im eigenständigen Security Copilot-Portal über das Microsoft Defender XDR-Plug-In verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Security Copilot.

Hauptmerkmale

Copilot in Defender erstellt einen Incidentbericht mit den folgenden Informationen:

• Zeitstempel der wichtigsten Incidentmanagementmaßnahmen, einschließlich:
  • Erstellen und Schließen vom Incident
  • Erste und letzte Protokolle, unabhängig davon, ob das Protokoll vom Analysten gesteuert oder automatisiert war, werden im Incident erfasst.
• Die Analysten, die an der Incident Response beteiligt sind
• Incidentklassifizierung, einschließlich des Analysegrunds für die Klassifizierung, die Copilot zusammenfasst
• Untersuchungs- und Wartungsaktionen
• Nachverfolgung von Aktionen wie Empfehlungen, offenen Problemen oder nächsten Schritten, die von den Analysten in den Incidentprotokollen angegeben werden

Aktionen wie Geräteisolation, Deaktivieren eines Benutzers und vorläufiges Löschen von E-Mails sind im Schadensbericht enthalten. Eine vollständige Liste der im Incidentbericht enthaltenen Aktionen finden Sie im Info-Center. Der Incidentbericht enthält auch Microsoft Sentinel-Playbooks, die ausgeführt wurden. Liveantwortbefehle und Antwortaktionen aus öffentlichen API-Quellen oder benutzerdefinierten Erkennungen werden noch nicht unterstützt.

Es wird empfohlen, den Incident zu beheben, um alle ausgeführten Aktionen anzuzeigen. Incidents, die nicht aufgelöst werden, spiegeln teilweise die Aktionen im Schadensbericht wider.

Erstellen eines Schadensberichts

Führen Sie zum Erstellen eines Incidentberichts mit Copilot in Defender die folgenden Schritte aus:

1. Öffnen Sie eine Vorfallsseite. Navigieren Sie auf der Incidentseite zu den Auslassungspunkten für weitere Aktionen (...), und wählen Sie dann Incidentbericht generieren aus. Alternativ können Sie das Berichtssymbol im Copilot-Seitenbereich auswählen.

   

2. Copilot erstellt den Incidentbericht. Sie können die Berichtserstellung beenden, indem Sie Abbrechen auswählen und die Berichtserstellung neu starten, indem Sie Erneut generieren auswählen. Darüber hinaus können Sie die Berichtserstellung neu starten, wenn ein Fehler auftritt.

3. Die Karte "Incidentbericht" wird im Bereich "Copilot" angezeigt. Der generierte Bericht hängt von den Incidentinformationen ab, die von Microsoft Defender XDR und Microsoft Sentinel verfügbar sind. Lesen Sie die Empfehlungen, um einen umfassenden Incidentbericht sicherzustellen.

   

   

4. Wählen Sie die Auslassungspunkte für weitere Aktionen (...) in der oberen rechten Ecke der Karte "Incidentbericht" aus. Um den Bericht zu kopieren, wählen Sie In Zwischenablage kopieren aus, und fügen Sie den Bericht in Ihr bevorzugtes System ein, In Aktivitätsprotokoll posten, um den Bericht dem Aktivitätsprotokoll im Microsoft Defender-Portal hinzuzufügen, oder Incident als PDF exportieren, um die Incidentdaten in PDF zu exportieren. Wählen Sie Neu generieren aus, um die Berichtserstellung neu zu starten. Sie können auch in Security Copilot öffnen, um die Ergebnisse anzuzeigen und weiterhin auf andere Plug-Ins zuzugreifen, die im eigenständigen Security Copilot-Portal verfügbar sind.

   

5. Überprüfen Sie den generierten Incidentbericht. Sie können Feedback zum Bericht bereitstellen, indem Sie das Feedbacksymbol am unteren Rand der Ergebnisse auswählen .

Exportieren von Incidentdaten in eine PDF-Datei

Sie können die Incidentdaten als PDF-Datei exportieren, um einen Bericht zu erstellen, den Sie problemlos für Projektbeteiligte freigeben können. Die exportierten Incidentdaten enthalten relevante Informationen wie die Angriffsgeschichte, betroffene Ressourcen, relevante Warnungen und KI-generierte Inhalte von Copilot, z. B. die Incidentzusammenfassung und den Incidentbericht. Mit dieser Funktion können Sicherheitsteams schnell weitere Informationen zu Vorfällen exportieren, um Diskussionen nach dem Incident innerhalb von Teammitgliedern oder mit anderen Beteiligten zu führen.

Sie können die Schritte unter Exportieren von Incidentdaten in PDF ausführen, um die PDF-Datei zu generieren.

Empfehlungen für die Erstellung von Incidentberichten

Im Folgenden sind einige Empfehlungen aufgeführt, die Sie berücksichtigen sollten, um sicherzustellen, dass Copilot einen umfassenden und vollständigen Incidentbericht generiert:

• Klassifizieren und beheben Sie den Incident, bevor Sie den Incidentbericht erstellen.
• Stellen Sie sicher, dass Sie Kommentare im Microsoft Sentinel-Aktivitätsprotokoll oder im Microsoft Defender XDR-Incidentaktivitätsprotokoll schreiben und speichern, um die Kommentare in den Incidentbericht einzuschließen.
• Schreiben Sie Kommentare in einer umfassenden und klaren Sprache. Ausführliche und klare Kommentare bieten einen besseren Kontext zu den Antwortaktionen. In den folgenden Schritten erfahren Sie, wie Sie auf das Kommentarfeld zugreifen:
  • Hinzufügen von Kommentaren zu Incidents im Microsoft Defender-Portal
  • Hinzufügen von Kommentaren zu Incidents in Microsoft Sentinel
• Aktivieren Sie für ServiceNow-Benutzer die bidirektionale Synchronisierung von Microsoft Sentinel und ServiceNow, um stabilere Incidentdaten zu erhalten.
• Kopieren Sie den generierten Incidentbericht, und stellen Sie ihn im Aktivitätsprotokoll im Microsoft Defender-Portal bereit, um sicherzustellen, dass der Incidentbericht auf der Incidentseite gespeichert wird.

Beispielaufforderung für die Erstellung eines Incidentberichts

Im Security Copilot eigenständigen Portal können Sie die folgende Eingabeaufforderung verwenden, um den Incidentbericht zu erstellen:

• Generieren Sie den Incidentbericht für defender incident {incident ID}.

Tipp

Beim Generieren von Incidentberichten im Security Copilot-Portal empfiehlt Microsoft, das Wort Defender in Ihre Eingabeaufforderungen aufzunehmen, um sicherzustellen, dass die Funktion zum Erstellen von Incidentberichten die Ergebnisse liefert.

Feedback geben

Microsoft empfiehlt Ihnen dringend, Copilot Feedback zu geben, da dies für die kontinuierliche Verbesserung einer Funktion von entscheidender Bedeutung ist. Um Feedback zu geben, navigieren Sie zum unteren Rand des Copilot-Seitenbereichs, und wählen Sie das Feedbacksymbol aus.

Siehe auch

• Weitere Informationen zu anderen in Security Copilot eingebetteten Umgebungen
• Datenschutz und Datensicherheit in Security Copilot

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.