Compartilhar via


Criar um relatório de incidentes com o Microsoft Copilot no Microsoft Defender

Microsoft Security Copilot no portal do Microsoft Defender ajuda as equipas de operações de segurança a escrever relatórios de incidentes de forma eficiente. Ao utilizar o processamento de dados baseados em IA do Security Copilot, as equipas de segurança podem criar imediatamente relatórios de incidentes com um clique num botão no portal do Microsoft Defender.

Esse guia lista os dados em relatórios de incidentes e contém etapas sobre como acessar a funcionalidade de criação de relatório de incidentes no portal do Microsoft Defender. Ele também inclui informações sobre como fornecer comentários sobre o relatório gerado.

Antes de começar

Se não estiver familiarizado com Security Copilot, deve familiarizar-se com o mesmo ao ler os seguintes artigos:

Um relatório de incidentes abrangente e claro é uma referência essencial para equipes de segurança e para o gerenciamento de operações de segurança. Porém, escrever um relatório abrangente com os detalhes importantes presentes pode ser uma tarefa demorada para as equipes de operações de segurança. Coletar, organizar e resumir informações sobre incidentes de várias fontes requer foco e uma análise detalhada para criar um relatório com informações avançadas. Com o Copilot no Defender, agora as equipes de segurança podem criar instantaneamente um relatório de incidentes abrangente no portal.

Ainda que um resumo do incidente forneça uma visão geral de um incidente e como ele aconteceu, um relatório de incidentes consolida as informações sobre o incidente de várias fontes de dados disponíveis no Microsoft Sentinel e no Defender XDR. O relatório de incidentes gerado pelo Copilot também inclui todas as etapas orientadas por analistas e ações automatizadas, além dos analistas envolvidos na resposta a incidentes e seus comentários. Se as equipes de segurança estiverem usando o Microsoft Sentinel, o Defender XDR ou ambos, todos os dados relevantes do incidente serão adicionados ao relatório de incidentes gerado.

O Copilot gera o relatório de incidentes com base nas ações automáticas e manuais implementadas e também nos comentários e anotações dos analistas postadas no incidente. Você pode examinar e seguir as recomendações para garantir que o Copilot crie um relatório de incidentes abrangente.

integração do Security Copilot no Microsoft Defender

A capacidade de geração de relatórios de incidentes no Microsoft Defender está disponível para clientes que tenham acesso a Security Copilot.

Esta capacidade também está disponível no portal autónomo Security Copilot através do plug-in Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Security Copilot.

Principais recursos

O Copilot no Defender cria um relatório de incidentes que contém as seguintes informações:

  • Os carimbos de data/hora das principais ações do gerenciamento de incidentes, incluindo:
    • Criação e encerramento de incidentes
    • Primeiro e último logs, se o log foi controlado por analistas ou automatizado, capturado no incidente
  • Os analistas envolvidos na resposta a incidentes
  • Classificação de incidentes, incluindo o motivo do analista para a classificação que o Copilot resume
  • Investigação e ações corretivas
  • Acompanhar ações como recomendações, problemas abertos ou próximas etapas descritas pelos analistas nos logs de incidentes

No relatório de incidentes, são incluídas ações como isolamento de dispositivo, desabilitação de um usuário e exclusão reversível de emails. Para obter uma lista completa das ações incluídas no relatório de incidentes, consulte a Central de ações. O relatório de incidentes também inclui guias estratégicos do Microsoft Sentinel executados. Ainda não há suporte para comandos de Resposta Imediata e ações de resposta provenientes de fontes de API públicas ou de detecções personalizadas.

É recomendável resolver o incidente para exibir todas as ações que foram executadas. Os incidentes não resolvidos refletirão parcialmente as ações no relatório de incidentes.

Criar um relatório de incidentes

Para criar um relatório de incidentes com o Copilot no Defender, execute as seguintes etapas:

  1. Abra uma página de incidentes. Na página de incidentes, navegue até as reticências (...) de mais ações e selecione Gerar relatório de incidentes. Como alternativa, você pode selecionar o ícone de relatório encontrado no painel lateral do Copilot.

    Captura de tela realçando os botões Gerar relatório de incidentes e do ícone de relatório na página do incidente.

  2. O Copilot cria o relatório de incidentes. Você pode interromper a criação do relatório selecionando Cancelar e reiniciar a criação do relatório selecionando Gerar novamente. Além disso, você poderá reiniciar a criação do relatório caso encontre um erro.

  3. O cartão do relatório de incidentes aparece no painel do Copilot. O relatório gerado depende das informações sobre os incidentes disponíveis no Microsoft Defender XDR e no Microsoft Sentinel. Consulte as recomendações para garantir a obtenção de um relatório de incidentes abrangente.

    Captura de tela do cartão de relatório de incidentes na página de incidentes mostrando a metade superior do cartão.

    Captura de tela do cartão de relatório de incidentes na página de incidentes mostrando a parte inferior do cartão.

  4. Selecione as reticências (...) de mais ações localizadas no canto superior direito do cartão de relatório de incidentes. Para copiar o relatório, selecione Copiar para a área de transferência e cole o relatório em seu sistema preferido, Postar no log de atividades para adicionar o relatório ao log de atividades no portal do Microsoft Defender ou Exportar incidente como PDF para exportar os dados do incidente para PDF. Selecione Gerar novamente para reiniciar a criação do relatório. Também pode Abrir no Security Copilot para ver os resultados e continuar a aceder a outros plug-ins disponíveis no portal Security Copilot autónomo.

    Captura de tela de ações adicionais no cartão de resultados do relatório de incidentes.

  5. Analise o relatório de incidentes gerado. Você pode fornecer comentários sobre o relatório selecionando o ícone de comentários localizado na parte inferior do painel do Copilot Captura de tela do ícone de comentários dos cartões do Copilot no Defender.

Exportar dados de incidentes para PDF

Você pode exportar os dados de incidentes para PDF para criar um relatório que pode ser compartilhado facilmente com as partes interessadas. Os dados de incidente exportados contêm informações relevantes, como a história do ataque, os ativos afetados, os alertas relevantes e o conteúdo gerado por IA do Copilot, como o resumo do incidente e o relatório de incidentes. Com essa funcionalidade, as equipes de segurança podem exportar rapidamente mais informações sobre incidentes para discussões pós-incidentes entre os membros da equipe ou com outras partes interessadas.

Você pode seguir as etapas de exportar dados de incidentes para PDF para gerar o PDF.

Recomendações para a criação do relatório de incidentes

Aqui estão algumas recomendações a serem levadas em consideração para garantir que o Copilot gere um relatório de incidentes completo e abrangente:

Pedido de exemplo para a criação de relatórios de incidentes

No portal autónomo Security Copilot, pode utilizar o seguinte pedido para criar o relatório de incidentes:

  • Gere o relatório de incidente para o incidente do Defender {incident ID}.

Dica

Ao gerar relatórios de incidentes no portal Security Copilot, a Microsoft recomenda incluir a palavra Defender nas suas instruções para garantir que a capacidade de criação do relatório de incidentes fornece os resultados.

Faça comentários

A Microsoft incentiva-o vivamente a fornecer feedback à Copilot, uma vez que é crucial para a melhoria contínua de uma capacidade. Para fornecer feedback, navegue para a parte inferior do painel lateral copilot e selecione o ícone de feedback Captura de ecrã do ícone de feedback para o Copilot nos cartões do Defender.

Confira também

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.