Tapausraportin luominen Microsoft Copilotilla Microsoft Defenderissä
Microsoft Security Copilot Microsoft Defender portaalissa auttavat suojaustoimintoryhmiä kirjoittamaan tapahtumaraportteja tehokkaasti. Suojaustiimit voivat Security Copilot tekoälyn avulla luoda tapahtumaraportteja välittömästi napsauttamalla painiketta Microsoft Defender portaalissa.
Tässä oppaassa luetellaan tapahtumaraporttien tiedot ja kerrotaan, miten voit käyttää tapahtumaraportin luontiominaisuutta Microsoft Defender -portaalissa. Se sisältää myös tietoja siitä, miten voit antaa palautetta luodusta raportista.
Tiedä ennen kuin aloitat
Jos et ole aiemmin käyttänyt Security Copilot, tutustu siihen lukemalla seuraavat artikkelit:
- Mitä Security Copilot on?
- Security Copilot käyttökokemukset
- Security Copilotin käytön aloittaminen
- Security Copilot todentamisen ymmärtäminen
- Näytetään Security Copilot
Kattava ja selkeä tapahtumaraportti on olennainen lähde tietoturvatiimeille ja tietoturvatoimintojen hallinnalle. Kattavan raportin kirjoittaminen tärkeillä tiedoilla voi kuitenkin olla aikaa vievä tehtävä tietoturvatiimille. Tapahtumatietojen kerääminen, järjestäminen ja yhteenveto useista lähteistä edellyttää tarkennusta ja yksityiskohtaista analyysia, jotta voit luoda monipuolisen raportin. Käyttämällä Copilotia Defenderissä tietoturvatiimit voivat nyt välittömästi luoda laajan tapahtumaraportin portaalissa.
Vaikka tapausyhteenveto tarjoaa yleiskatsauksen tapauksesta ja siitä, miten se tapahtui, tapausraportti kokoaa yhteen tapaustiedot eri tietolähteistä, jotka ovat käytettävissä Microsoft Sentinelissä ja Defender XDR:ssä. Copilotin luoma tapahtumaraportti sisältää myös kaikki analyytikkolähtöiset vaiheet ja automatisoidut toimet, vastaukseen osallistuneet analyytikot sekä analyytikoiden kommentit. Riippumatta siitä, käyttävätkö tietoturvatiimit Defender XDR:ää, Microsoft Sentineliä vai molempia, kaikki olennaiset tapaustiedot lisätään luotuun tapausraporttiin.
Copilot luo tapausraportin, joka perustuu automaattisiin ja manuaalisiin toimiin sekä analyytikoiden kommentteihin ja muistiinpanoihin tapahtumasta. Voit tarkastella ja seurata suosituksia varmistaaksesi, että Copilot luo kattavan tapausraportin.
Security Copilot integrointi Microsoft Defender
tapausraportin luontiominaisuus Microsoft Defender on saatavilla asiakkaille, jotka ovat varanneet Security Copilot.
Tämä ominaisuus on käytettävissä myös erillisessä Security Copilot portaalissa Microsoft Defender XDR laajennuksen kautta. Lisätietoja Security Copilot valmiiksi asennetuista laajennuksista.
Tärkeimmät ominaisuudet
Copilot Defenderissä luo tapahtumaraportin, joka sisältää seuraavat tiedot:
- Tapahtuman hallinnan päätoimintojen aikaleimat, mukaan lukien:
- Tapahtuman luominen ja sulkeminen
- Tapahtumaan tallentuneet ensimmäiset ja viimeiset lokit olivat ne sitten analyytikkolähtöisiä tai automatisoituja.
- Tapahtuman käsittelyyn osallistuneet analyytikot.
- Tapauksen luokitus, mukaan lukien analyytikon syy luokitukselle, mistä Copilot tekee yhteenvedon
- Tutkimus- ja korjaustoimet
- Seurantatoimintoja, kuten suosituksia, avoimia ongelmia tai seuraavia vaiheita, joita analyytikot ovat maininneet tapahtumalokeissa
Tapahtumaraporttiin sisältyvät toiminnot, kuten laitteen eristäminen, käyttäjän poistaminen käytöstä ja sähköpostien pehmeä poistaminen. Täydellinen luettelo tapahtumaraporttiin sisältyvistä toiminnoista on toimintokeskuksessa. Tapausraportti sisältää myös Microsoft Sentinel -käsikirjoja, jotka on suoritettu. Live-vastauskomentoja ja vastaustoimintoja, jotka ovat peräisin julkisista ohjelmointirajapintalähteistä tai mukautetuista tunnistuksia, ei vielä tueta.
Suosittelemme tapauksen ratkaisemista, jotta näet kaikki tehdyt toimet. Tapaukset, joita ei ole ratkaistu, heijastavat osittain tapausraportin toimintoja.
Tapahtumaraportin luominen
Jos haluat luoda tapausraportin Copilotin kanssa Defenderissä, suorita seuraavat vaiheet:
Avaa tapahtumasivu. Siirry tapaussivulla kohtaan Lisää toimintoja kolme pistettä (...) ja valitse sitten Luo tapausraportti. Vaihtoehtoisesti voit valita Copilot -sivupaneelista löytyvän raporttikuvakkeen.
Copilot luo tapahtumaraportin. Voit lopettaa raportin luomisen valitsemalla Peruuta ja aloittaa raportin luomisen uudelleen valitsemalla Luo uudelleen. Lisäksi voit aloittaa raportin luomisen uudelleen, jos kohtaat virheen.
Tapahtumaraporttikortti näkyy Copilot -ruudussa. Luotu raportti riippuu Microsoft Defender XDR:stä ja Microsoft Sentinelistä saatavilla olevista tapaustiedoista. Katso suositukset, joiden avulla voit luoda kattavan tapahtumaraportin.
Valitse Lisää toimintoja -kolme pistettä (...), joka sijaitsee tapausraporttikortin oikeassa yläkulmassa. Jos haluat kopioida raportin, valitse Kopioi leikepöydälle ja liitä raportti haluamaasi järjestelmään, Lisää Toimintalokiin lisätäksesi raportin Microsoft Defender -portaalin toimintolokiin tai Vie tapaus PDF-tiedostona, jos haluat viedä tapaustiedot PDF-tiedostoon. Aloita raportin luominen uudelleen valitsemalla Luo uudelleen. Voit myös avata Security Copilot, jos haluat tarkastella tuloksia ja jatkaa muiden Security Copilot erillisessä portaalissa käytettävissä olevien laajennusten käyttöä.
Tarkastele luotua tapausraporttia. Voit antaa palautetta raportista valitsemalla palautekuvakkeen, joka löytyy tulosten alareunasta
Tapahtumatietojen vieminen PDF-muotoon
Voit viedä tapaustiedot PDF-tiedostoon ja luoda raportin, jonka voit helposti jakaa sidosryhmien kanssa. Viedyt tapaustiedot sisältävät olennaisia tietoja, kuten hyökkäystarinan, vaikutuksen kohteena olevat resurssit, olennaiset hälytykset ja tekoälyn luoman sisällön Copilotista, kuten tapauksen yhteenvedon ja tapausraportin. Tämän ominaisuuden avulla tietoturvatiimit voivat viedä nopeasti lisää tapaustietoja tapauksen jälkeisiin keskusteluihin tiimin jäsenten tai muiden sidosryhmien kanssa.
Voit luoda PDF-tiedoston noudattamalla tapauksen tietojen pdf-muotoon viemisen ohjeita.
Tapahtumaraportin luontia koskevat suositukset
Seuraavien suosituksien avulla varmistetaan, että Security Copilot luo kattavan tapahtumaraportin:
- Luokittele ja ratkaise tapaus ennen tapahtumaraportin luomista.
- Varmista, että kirjoitat ja tallennat kommentteja Microsoft Sentinelin toimintalokiin tai Microsoft Defender XDR -tapauksen toimintalokiin, jotta voit sisällyttää kommentit tapausraporttiin.
- Kirjoita kommentteja käyttämällä kattavaa ja selkeää kieltä. Perusteelliset ja selkeät kommentit tarjoavat paremman kontekstin vastaustoiminnoille. Seuraavista vaiheista saat lisätietoja kommenttikentän käytöstä:
- Kommenttien lisääminen Tapauksiin Microsoft Defender XDR:ssä
- Kommenttien lisääminen tapahtumiin Microsoft Sentinelissä
- Jos olet ServiceNow-käyttäjä, ota käyttöön Microsoft Sentinelin ja ServiceNow’n kaksisuuntainen synkronointi, jotta saat vankempia tapahtumatietoja.
- Kopioi luotu tapausraportti ja julkaise se Toimintalokiin Microsoft Defender -portaalissa varmistaaksesi, että tapausraportti tallennetaan tapaussivulle.
Esimerkkikehote tapausraportin luomista varten
Voit luoda tapahtumaraportin erillisessä Security Copilot portaalissa seuraavan kehotteen avulla:
- Luo tapausraportti Defenderin tapaukselle {incident ID}.
Vihje
Kun luot tapausraportteja Security Copilot-portaalissa, Microsoft suosittelee, että lisäät Defender-sanan kehotteihisi varmistaaksesi, että tapausraportin luontiominaisuus tuottaa tulokset.
Anna palautetta
Microsoft rohkaisee sinua antamaan palautetta Copilotille, sillä se on erittäin tärkeää ominaisuuden jatkuvan parantamisen kannalta. Jos haluat antaa palautetta, siirry Copilot-sivupaneelin alareunaan ja valitse palautekuvake .
Tutustu myös seuraaviin ohjeartikkeleihin:
- Lisätietoja muista Security Copilotin upotetuista käyttökokemuksista
- Security Copilotin yksityisyys ja tietosuoja
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.