Udostępnij za pośrednictwem

Tworzenie raportu o zdarzeniu za pomocą funkcji Microsoft Copilot w usłudze Microsoft Defender

  • Artykuł
  • Dotyczy:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Security Copilot w portalu Microsoft Defender pomaga zespołom ds. operacji zabezpieczeń efektywnie pisać raporty o zdarzeniach. Korzystając z przetwarzania danych opartego na sztucznej inteligencji Security Copilot, zespoły ds. zabezpieczeń mogą natychmiast tworzyć raporty zdarzeń za pomocą kliknięcia przycisku w portalu Microsoft Defender.

W tym przewodniku wymieniono dane w raportach o zdarzeniach i zawarto instrukcje dotyczące uzyskiwania dostępu do funkcji tworzenia raportów o zdarzeniach w portalu usługi Microsoft Defender. Zawiera również informacje o tym, jak przekazać opinię na temat wygenerowanego raportu.

Przed rozpoczęciem

Jeśli dopiero zaczynasz Security Copilot, zapoznaj się z nim, czytając następujące artykuły:

Kompleksowy i przejrzysty raport o zdarzeniach jest istotnym punktem odniesienia dla zespołów ds. zabezpieczeń i zarządzania operacjami zabezpieczeń. Jednak napisanie kompleksowego raportu zawierającego ważne szczegóły może być czasochłonnym zadaniem dla zespołów ds. operacji zabezpieczeń. Zbieranie, organizowanie i podsumowywanie informacji o zdarzeniach z wielu źródeł wymaga skupienia i szczegółowej analizy w celu utworzenia raportu bogatego w informacje. Dzięki funkcji Copilot w usłudze Defender zespoły ds. zabezpieczeń mogą teraz błyskawicznie tworzyć w portalu obszerne raporty dotyczące zdarzeń.

Podczas gdy podsumowanie zdarzenia zapewnia przegląd zdarzenia i sposobu jego wystąpienia, raport o zdarzeniu konsoliduje informacje o zdarzeniu z różnych źródeł danych dostępnych w usługach Microsoft Sentinel i Defender XDR. Wygenerowany przez funkcję Copilot raport o zdarzeniu zawiera również wszystkie kroki podjęte przez analityków i zautomatyzowane działania, analityków zaangażowanych w reagowanie na zdarzenia oraz komentarze analityków. Niezależnie od tego, czy zespoły ds. zabezpieczeń korzystają z usługi Microsoft Sentinel, Defender XDR, czy obu, wszystkie istotne dane dotyczące zdarzenia są dodawane do wygenerowanego raportu o zdarzeniu.

Funkcja Copilot generuje raport o zdarzeniu na podstawie zaimplementowanych automatycznych i ręcznych działań oraz komentarzy i notatek analityków opublikowanych w zdarzeniu. Możesz przejrzeć i postępować zgodnie z zaleceniami, aby upewnić się, że funkcja Copilot utworzy kompleksowy raport o zdarzeniu.

integracja Security Copilot w Microsoft Defender

Możliwość generowania raportów o zdarzeniach w Microsoft Defender jest dostępna dla klientów, którzy aprowizowali dostęp do Security Copilot.

Ta funkcja jest również dostępna w autonomicznym portalu Security Copilot za pośrednictwem wtyczki Microsoft Defender XDR. Dowiedz się więcej o wstępnie zainstalowanych wtyczkach w Security Copilot.

Najważniejsze cechy

Funkcja Copilot w usłudze Defender tworzy raport o zdarzeniu zawierający następujące informacje:

  • Sygnatury czasowe głównych akcji zarządzania zdarzeniami, w tym:
    • Tworzenie i zamykanie zdarzeń
    • Pierwszy i ostatni dziennik, niezależnie od tego, czy dziennik był prowadzony przez analityka, czy automatycznie, zarejestrowany w zdarzeniu
  • Analitycy biorący udział w reagowaniu na zdarzenia.
  • Klasyfikacja zdarzeń, w tym uzasadnienie klasyfikacji przez analityka, które podsumowuje funkcja Copilot
  • Akcje badania i korygowania
  • Działania następcze, takie jak rekomendacje, otwarte kwestie lub kolejne kroki odnotowane przez analityków w dziennikach zdarzeń

Akcje, takie jak izolacja urządzenia, wyłączenie użytkownika i usuwanie nietrwałe wiadomości e-mail, są uwzględniane w raporcie o zdarzeniu. Aby uzyskać pełną listę akcji uwzględnionych w raporcie o zdarzeniu, zobacz Centrum akcji. Raport o zdarzeniu zawiera również uruchomione podręczniki usługi Microsoft Sentinel. Polecenia reagowania w czasie rzeczywistym i akcje reagowania pochodzące ze źródeł publicznego interfejsu API lub z wykrywania niestandardowego nie są jeszcze obsługiwane.

Zalecamy rozwiązanie zdarzenia w celu wyświetlenia wszystkich wykonanych akcji. Zdarzenia, które nie zostały rozwiązane, częściowo odzwierciedlą akcje w raporcie o zdarzeniu.

Utwórz raport o zdarzeniu

Aby utworzyć raport o zdarzeniu za pomocą funkcji Copilot w usłudze Defender, wykonaj następujące kroki:

  1. Otwórz stronę zdarzenia. Na stronie zdarzenia przejdź do wielokropka (...) Więcej akcji, a następnie wybierz pozycję Generuj raport o zdarzeniu. Możesz też wybrać ikonę raportu znajdującą się w panelu bocznym funkcji Copilot.

    Zrzut ekranu przedstawiający wygenerowany raport o zdarzeniu i przyciski ikony raportu na stronie zdarzenia.

  2. Funkcja Copilot tworzy raport o zdarzeniu. Tworzenie raportu można zatrzymać, wybierając pozycję Anuluj i uruchom ponownie tworzenie raportu, wybierając pozycję Wygeneruj ponownie. Ponadto w przypadku napotkania błędu można ponownie uruchomić tworzenie raportu.

  3. Karta raportu o zdarzeniu zostanie wyświetlona w okienku funkcji Copilot. Wygenerowany raport zależy od informacji o zdarzeniu dostępnych w usługach Microsoft Defender XDR i Microsoft Sentinel. Zapoznaj się z zaleceniami, aby zapewnić kompleksowy raport o zdarzeniach.

    Zrzut ekranu karty raportu o zdarzeniu na stronie zdarzenia pokazujący górną połowę karty.

    Zrzut ekranu karty raportu o zdarzeniu na stronie zdarzenia pokazujący dolną połowę karty.

  4. Wybierz wielokropek (...) Więcej akcji znajdujący się w prawym górnym rogu karty raportu o zdarzeniu. Aby skopiować raport, wybierz pozycję Kopiuj do schowka i wklej raport do preferowanego systemu, pozycję Opublikuj w dzienniku aktywności, aby dodać raport do dziennika aktywności w portalu Microsoft Defender, lub pozycję Eksportuj zdarzenie do formatu PDF, aby wyeksportować dane incydentu do formatu PDF. Wybierz pozycję Wygeneruj ponownie, aby ponownie uruchomić tworzenie raportu. Możesz również otworzyć w Security Copilot, aby wyświetlić wyniki i kontynuować uzyskiwanie dostępu do innych wtyczek dostępnych w autonomicznym portalu Security Copilot.

    Zrzut ekranu przedstawiający dodatkowe akcje na karcie wyników raportu o zdarzeniu.

  5. Przejrzyj wygenerowany raport o zdarzeniu. Możesz przekazać opinię na temat raportu, wybierając ikonę opinii znajdującą się w dolnej części wyników Zrzut ekranu przedstawiający ikonę opinii dla kart funkcji Copilot w usłudze Defender.

Eksportowanie danych zdarzeń do formatu PDF

Możesz wyeksportować dane zdarzenia do pliku PDF, aby utworzyć raport, który następnie możesz łatwo udostępnić uczestnikom projektu. Wyeksportowane dane zdarzenia zawierają istotne informacje, takie jak historia ataku, zasoby, których dotyczy atak, odpowiednie alerty i zawartość generowaną przez sztuczną inteligencję z funkcji Copilot, taką jak podsumowanie zdarzenia i raport o zdarzeniu. Dzięki tej funkcji zespoły ds. zabezpieczeń mogą szybko wyeksportować więcej informacji o zdarzeniach w celu przeprowadzenia dyskusji po zdarzeniu wśród członków zespołu lub z innymi uczestnikami projektu.

Aby wygenerować plik PDF, możesz postępować zgodnie z krokami opisanymi w sekcji Eksportowanie danych zdarzenia do pliku PDF.

Rekomendacje dotyczące tworzenia raportów o zdarzeniach

Poniżej przedstawiono kilka rekomendacji, które należy wziąć pod uwagę, aby upewnić się, że funkcja Copilot generuje kompleksowy i kompletny raport o zdarzeniach:

  • Sklasyfikuj i rozwiąż zdarzenie przed wygenerowaniem raportu o zdarzeniu.
  • Upewnij się, że piszesz i zapisujesz komentarze w dzienniku aktywności usługi Microsoft Sentinel lub dzienniku aktywności zdarzeń usługi Microsoft Defender XDR, aby uwzględnić komentarze w raporcie o zdarzeniu.
  • Pisz komentarze przy użyciu kompleksowego i przejrzystego języka. Szczegółowe i przejrzyste komentarze zapewniają lepszy kontekst dla akcji odpowiedzi. Aby dowiedzieć się, jak uzyskać dostęp do pola komentarzy, wykonaj następujące czynności:
  • W przypadku użytkowników usługi ServiceNow włącz synchronizację dwukierunkową usług Microsoft Sentinel i ServiceNow, aby uzyskać bardziej niezawodne dane zdarzeń.
  • Skopiuj wygenerowany raport o zdarzeniu i opublikuj go w dzienniku aktywności w portalu Microsoft Defender, aby upewnić się, że raport o zdarzeniu został zapisany na stronie zdarzenia.

Przykładowy monit o utworzenie raportu o zdarzeniu

W Security Copilot autonomicznym portalu możesz użyć następującego monitu, aby utworzyć raport o zdarzeniu:

  • Wygeneruj raport o zdarzeniu usługi Defender {identyfikator zdarzenia}.

Porada

Podczas generowania raportów o zdarzeniach w portalu Security Copilot firma Microsoft zaleca dołączenie słowa Defender w monitach, aby upewnić się, że funkcja tworzenia raportu o zdarzeniach zapewnia wyniki.

Przekazywanie opinii

Firma Microsoft zdecydowanie zachęca do przekazywania opinii do rozwiązania Copilot, ponieważ jest to kluczowe dla ciągłego ulepszania możliwości. Aby przekazać opinię, przejdź do dołu panelu bocznego Copilot i wybierz ikonę opinii Zrzut ekranu przedstawiający ikonę opinii dla rozwiązania Copilot na kartach usługi Defender.

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.