Jaa


Tapausraportin luominen Microsoft Copilotilla Microsoft Defenderissä

Microsoft Security Copilot Microsoft Defender portaalissa auttavat suojaustoimintoryhmiä kirjoittamaan tapahtumaraportteja tehokkaasti. Suojaustiimit voivat Security Copilot tekoälyn avulla luoda tapahtumaraportteja välittömästi napsauttamalla painiketta Microsoft Defender portaalissa.

Tässä oppaassa luetellaan tapahtumaraporttien tiedot ja kerrotaan, miten voit käyttää tapahtumaraportin luontiominaisuutta Microsoft Defender -portaalissa. Se sisältää myös tietoja siitä, miten voit antaa palautetta luodusta raportista.

Tiedä ennen kuin aloitat

Jos et ole aiemmin käyttänyt Security Copilot, tutustu siihen lukemalla seuraavat artikkelit:

Kattava ja selkeä tapahtumaraportti on olennainen lähde tietoturvatiimeille ja tietoturvatoimintojen hallinnalle. Kattavan raportin kirjoittaminen tärkeillä tiedoilla voi kuitenkin olla aikaa vievä tehtävä tietoturvatiimille. Tapahtumatietojen kerääminen, järjestäminen ja yhteenveto useista lähteistä edellyttää tarkennusta ja yksityiskohtaista analyysia, jotta voit luoda monipuolisen raportin. Käyttämällä Copilotia Defenderissä tietoturvatiimit voivat nyt välittömästi luoda laajan tapahtumaraportin portaalissa.

Vaikka tapausyhteenveto tarjoaa yleiskatsauksen tapauksesta ja siitä, miten se tapahtui, tapausraportti kokoaa yhteen tapaustiedot eri tietolähteistä, jotka ovat käytettävissä Microsoft Sentinelissä ja Defender XDR:ssä. Copilotin luoma tapahtumaraportti sisältää myös kaikki analyytikkolähtöiset vaiheet ja automatisoidut toimet, vastaukseen osallistuneet analyytikot sekä analyytikoiden kommentit. Riippumatta siitä, käyttävätkö tietoturvatiimit Defender XDR:ää, Microsoft Sentineliä vai molempia, kaikki olennaiset tapaustiedot lisätään luotuun tapausraporttiin.

Copilot luo tapausraportin, joka perustuu automaattisiin ja manuaalisiin toimiin sekä analyytikoiden kommentteihin ja muistiinpanoihin tapahtumasta. Voit tarkastella ja seurata suosituksia varmistaaksesi, että Copilot luo kattavan tapausraportin.

Security Copilot integrointi Microsoft Defender

tapausraportin luontiominaisuus Microsoft Defender on saatavilla asiakkaille, jotka ovat varanneet Security Copilot.

Tämä ominaisuus on käytettävissä myös erillisessä Security Copilot portaalissa Microsoft Defender XDR laajennuksen kautta. Lisätietoja Security Copilot valmiiksi asennetuista laajennuksista.

Tärkeimmät ominaisuudet

Copilot Defenderissä luo tapahtumaraportin, joka sisältää seuraavat tiedot:

  • Tapahtuman hallinnan päätoimintojen aikaleimat, mukaan lukien:
    • Tapahtuman luominen ja sulkeminen
    • Tapahtumaan tallentuneet ensimmäiset ja viimeiset lokit olivat ne sitten analyytikkolähtöisiä tai automatisoituja.
  • Tapahtuman käsittelyyn osallistuneet analyytikot.
  • Tapauksen luokitus, mukaan lukien analyytikon syy luokitukselle, mistä Copilot tekee yhteenvedon
  • Tutkimus- ja korjaustoimet
  • Seurantatoimintoja, kuten suosituksia, avoimia ongelmia tai seuraavia vaiheita, joita analyytikot ovat maininneet tapahtumalokeissa

Tapahtumaraporttiin sisältyvät toiminnot, kuten laitteen eristäminen, käyttäjän poistaminen käytöstä ja sähköpostien pehmeä poistaminen. Täydellinen luettelo tapahtumaraporttiin sisältyvistä toiminnoista on toimintokeskuksessa. Tapausraportti sisältää myös Microsoft Sentinel -käsikirjoja, jotka on suoritettu. Live-vastauskomentoja ja vastaustoimintoja, jotka ovat peräisin julkisista ohjelmointirajapintalähteistä tai mukautetuista tunnistuksia, ei vielä tueta.

Suosittelemme tapauksen ratkaisemista, jotta näet kaikki tehdyt toimet. Tapaukset, joita ei ole ratkaistu, heijastavat osittain tapausraportin toimintoja.

Tapahtumaraportin luominen

Jos haluat luoda tapausraportin Copilotin kanssa Defenderissä, suorita seuraavat vaiheet:

  1. Avaa tapahtumasivu. Siirry tapaussivulla kohtaan Lisää toimintoja kolme pistettä (...) ja valitse sitten Luo tapausraportti. Vaihtoehtoisesti voit valita Copilot -sivupaneelista löytyvän raporttikuvakkeen.

    Näyttökuva, jossa korostetaan Luotu tapahtumaraportti- ja Raportti-kuvakepainikkeita tapahtumasivulla.

  2. Copilot luo tapahtumaraportin. Voit lopettaa raportin luomisen valitsemalla Peruuta ja aloittaa raportin luomisen uudelleen valitsemalla Luo uudelleen. Lisäksi voit aloittaa raportin luomisen uudelleen, jos kohtaat virheen.

  3. Tapahtumaraporttikortti näkyy Copilot -ruudussa. Luotu raportti riippuu Microsoft Defender XDR:stä ja Microsoft Sentinelistä saatavilla olevista tapaustiedoista. Katso suositukset, joiden avulla voit luoda kattavan tapahtumaraportin.

    Näyttökuva tapausraporttikortista tapaussivulla, jossa näkyy kortin yläreuna.

    Näyttökuva tapausraporttikortista tapaussivulla, jossa näkyy kortin alareuna.

  4. Valitse Lisää toimintoja -kolme pistettä (...), joka sijaitsee tapausraporttikortin oikeassa yläkulmassa. Jos haluat kopioida raportin, valitse Kopioi leikepöydälle ja liitä raportti haluamaasi järjestelmään, Lisää Toimintalokiin lisätäksesi raportin Microsoft Defender -portaalin toimintolokiin tai Vie tapaus PDF-tiedostona, jos haluat viedä tapaustiedot PDF-tiedostoon. Aloita raportin luominen uudelleen valitsemalla Luo uudelleen. Voit myös avata Security Copilot, jos haluat tarkastella tuloksia ja jatkaa muiden Security Copilot erillisessä portaalissa käytettävissä olevien laajennusten käyttöä.

    Näyttökuva tapahtumaraportin tuloskortin lisätoiminnoista.

  5. Tarkastele luotua tapausraporttia. Voit antaa palautetta raportista valitsemalla palautekuvakkeen, joka löytyy tulosten alareunasta Näyttökuva Copilotin palautekuvakkeesta Defender-korteissa.

Tapahtumatietojen vieminen PDF-muotoon

Voit viedä tapaustiedot PDF-tiedostoon ja luoda raportin, jonka voit helposti jakaa sidosryhmien kanssa. Viedyt tapaustiedot sisältävät olennaisia tietoja, kuten hyökkäystarinan, vaikutuksen kohteena olevat resurssit, olennaiset hälytykset ja tekoälyn luoman sisällön Copilotista, kuten tapauksen yhteenvedon ja tapausraportin. Tämän ominaisuuden avulla tietoturvatiimit voivat viedä nopeasti lisää tapaustietoja tapauksen jälkeisiin keskusteluihin tiimin jäsenten tai muiden sidosryhmien kanssa.

Voit luoda PDF-tiedoston noudattamalla tapauksen tietojen pdf-muotoon viemisen ohjeita.

Tapahtumaraportin luontia koskevat suositukset

Seuraavien suosituksien avulla varmistetaan, että Security Copilot luo kattavan tapahtumaraportin:

Esimerkkikehote tapausraportin luomista varten

Voit luoda tapahtumaraportin erillisessä Security Copilot portaalissa seuraavan kehotteen avulla:

  • Luo tapausraportti Defenderin tapaukselle {incident ID}.

Vihje

Kun luot tapausraportteja Security Copilot-portaalissa, Microsoft suosittelee, että lisäät Defender-sanan kehotteihisi varmistaaksesi, että tapausraportin luontiominaisuus tuottaa tulokset.

Anna palautetta

Microsoft rohkaisee sinua antamaan palautetta Copilotille, sillä se on erittäin tärkeää ominaisuuden jatkuvan parantamisen kannalta. Jos haluat antaa palautetta, siirry Copilot-sivupaneelin alareunaan ja valitse palautekuvake Näyttökuva Defender-korttien Copilot-palautekuvakkeesta.

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.