Creare un report degli incidenti con Microsoft Copilot in Microsoft Defender
Microsoft Security Copilot nel portale di Microsoft Defender consente ai team delle operazioni di sicurezza di scrivere report sugli eventi imprevisti in modo efficiente. Usando l'elaborazione dati basata su intelligenza artificiale di Security Copilot, i team di sicurezza possono creare immediatamente report sugli eventi imprevisti con un clic di un pulsante nel portale di Microsoft Defender.
Questa guida elenca i dati nei report degli incidenti e contiene i passaggi per accedere alla funzionalità di creazione del report degli incidenti all'interno del portale di Microsoft Defender. Include anche informazioni su come fornire feedback sul report generato.
Sapere prima di iniziare
Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con questo articolo leggendo gli articoli seguenti:
- Che cos'è Security Copilot?
- esperienze Security Copilot
- Introduzione a Security Copilot
- Informazioni sull'autenticazione in Security Copilot
- Richiesta in Security Copilot
Un report degli incidenti completo e chiaro rappresenta un riferimento essenziale per i team di sicurezza e la gestione delle operazioni di sicurezza. Tuttavia, la scrittura di un report completo contenente i dettagli importanti può rappresentare un'attività dispendiosa in termini di tempo per i team delle operazioni di sicurezza. La raccolta, l'organizzazione e il riepilogo delle informazioni sugli incidenti da più origini richiedono lo stato attivo e un'analisi dettagliata per creare un report completo delle informazioni. Con Copilot in Defender, i team di sicurezza possono ora creare immediatamente un report degli incidenti completo all'interno del portale.
Mentre un riepilogo degli incidenti fornisce una panoramica di un incidente e di come si è verificato, un report degli incidenti consolida le informazioni sugli incidenti provenienti da varie origini dati, disponibili in Microsoft Sentinel e Defender XDR. Il report degli incidenti generato da Copilot include anche tutti i passaggi basati sugli analisti e sulle azioni automatizzate, gli analisti coinvolti nella risposta agli incidenti e i relativi commenti. Se i team di sicurezza usano Microsoft Sentinel, Defender XDR o entrambi, tutti i dati rilevanti degli incidenti vengono aggiunti al report degli incidenti generato.
Copilot genera il report degli incidenti in base alle azioni automatiche e manuali implementate e ai commenti e alle note degli analisti pubblicati nell'incidente. È possibile esaminare e seguire le raccomandazioni per assicurarsi che Copilot crei un report degli incidenti completo.
integrazione Security Copilot in Microsoft Defender
La funzionalità di generazione di report sugli eventi imprevisti in Microsoft Defender è disponibile per i clienti che hanno effettuato il provisioning dell'accesso a Security Copilot.
Questa funzionalità è disponibile anche nel portale autonomo Security Copilot tramite il plug-in Microsoft Defender XDR. Altre informazioni sui plug-in preinstallati in Security Copilot.
Funzionalità principali
Copilot in Defender crea un report degli incidenti contenente le informazioni seguenti:
- Timestamp delle azioni di gestione degli incidenti principali, tra cui:
- Creazione e chiusura di incidenti
- Il primo e l'ultimo log, a prescindere dal fatto che il log sia stato creato da un analista o sia stato automatizzato, acquisito nell'incidente.
- Gli analisti coinvolti nella risposta agli incidenti
- Classificazione incidenti, incluso il motivo dell'analista per la classificazione che Copilot riepiloga
- Azioni di indagine e rimedio
- Azioni di completamento quali raccomandazioni, problemi aperti o passaggi successivi annotati dagli analisti nei log degli incidenti
Azioni quali l'isolamento del dispositivo, la disabilitazione di un utente e l'eliminazione temporanea dei messaggi di posta elettronica sono incluse nel report degli incidenti. Per un elenco completo delle azioni incluse nel report degli incidenti, vedere il Centro notifiche. Il report degli incidenti include anche i playbook di Microsoft Sentinel eseguiti. I comandi di Live Response e le azioni di risposta provenienti da origini API pubbliche o da rilevamenti personalizzati non sono ancora supportati.
È consigliabile risolvere l'incidente per visualizzare tutte le azioni eseguite. Gli incidenti non risolti rifletteranno parzialmente le azioni nel report degli incidenti.
Creare un report degli incidenti
Per creare un report degli incidenti con Copilot in Defender, seguire questa procedura:
Aprire la pagina di un incidente. Nella pagina dell'evento imprevisto passare ai puntini di sospensione (...) Altre azioni e quindi selezionare Genera report degli incidenti. In alternativa, è possibile selezionare l'icona del report disponibile nel pannello laterale di Copilot.
Copilot crea il report degli incidenti. È possibile arrestare la creazione del report selezionando Annulla e riavviarla facendo clic su Rigenera. Inoltre, è possibile riavviare la creazione del report, se si verifica un errore.
La scheda del report degli incidenti viene visualizzata nel riquadro di Copilot. Il report generato dipende dalle informazioni sugli incidenti disponibili da Microsoft Defender XDR e Microsoft Sentinel. Fare riferimento alle raccomandazioni per garantire un report degli incidenti completo.
Selezionare i puntini di sospensione Altre azioni (...) nell'angolo in alto a destra della scheda del report degli incidenti. Per copiare il report, selezionare Copia negli appunti e incollare il report nel sistema preferito, scegliere Pubblica nel log attività per aggiungere il report al log attività nel portale di Microsoft Defender o Esporta incidente in PDF per esportare i dati dell'incidente in PDF. Per riavviare la creazione del report, selezionare Rigenera. È anche possibile aprire in Security Copilot per visualizzare i risultati e continuare ad accedere ad altri plug-in disponibili nel portale autonomo Security Copilot.
Esaminare il report degli incidenti generato. È possibile fornire feedback sul report selezionando l'icona di feedback disponibile nella parte inferiore dei risultati .
Esportare i dati degli eventi imprevisti in FORMATO PDF
È possibile esportare i dati degli incidenti in formato PDF per creare un report che è possibile condividere facilmente con gli stakeholder. I dati degli incidenti esportati contengono informazioni rilevanti come la storia di attacco, gli asset interessati, gli avvisi pertinenti e il contenuto generato dall'intelligenza artificiale di Copilot, ad esempio il riepilogo degli incidenti e il report degli incidenti. Grazie a questa funzionalità, i team di sicurezza possono esportare rapidamente un maggior numero di informazioni sugli incidenti per le discussioni successive all'incidente tra i membri del team o con altri stakeholder.
È possibile seguire i passaggi per esportare i dati degli incidenti in PDF per generare il PDF.
Raccomandazioni per la creazione di report degli incidenti
Ecco alcune raccomandazioni da considerare per garantire che Copilot generi un report completo e completo sugli incidenti:
- Prima di generare il report degli incidenti, classificare e risolvere l'evento imprevisto.
- Assicurarsi di scrivere e salvare i commenti nel log attività di Microsoft Sentinel o nel log attività degli incidenti di Microsoft Defender XDR per includere i commenti nel report degli incidenti.
- Scrivere i commenti usando un linguaggio completo e chiaro. I commenti approfonditi e dettagliati forniscono un contesto migliore sulle azioni di risposta. Per informazioni su come accedere al campo dei commenti, vedere la procedura seguente:
- Aggiungere commenti agli incidenti nel portale di Microsoft Defender
- Aggiungere commenti agli incidenti in Microsoft Sentinel
- Per gli utenti di ServiceNow, abilitare la sincronizzazione bidirezionale di Microsoft Sentinel e ServiceNow per ottenere dati più affidabili sugli incidenti.
- Copiare il report degli incidenti generato e pubblicarlo nel log attività del portale di Microsoft Defender per assicurarsi che il report degli incidenti venga salvato nella pagina dell'incidente.
Richiesta di esempio per la creazione di report sugli eventi imprevisti
Nel portale autonomo Security Copilot è possibile usare la richiesta seguente per creare il report degli eventi imprevisti:
- Generare il report degli eventi imprevisti per l'evento imprevisto di Defender {ID evento imprevisto}.
Consiglio
Quando si generano report sugli eventi imprevisti nel portale di Security Copilot, Microsoft consiglia di includere la parola Defender nelle richieste per assicurarsi che la funzionalità di creazione dei report sugli eventi imprevisti offra i risultati.
Inviare feedback
Microsoft incoraggia vivamente l'utente a fornire feedback a Copilot, in quanto è fondamentale per il miglioramento continuo di una funzionalità. Per inviare commenti e suggerimenti, passare alla parte inferiore del pannello laterale copilot e selezionare l'icona .
Vedere anche
- Informazioni su altre esperienze Security Copilot incorporate
- Privacy e sicurezza dei dati in Security Copilot
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.