Поделиться через

Создание отчета об инциденте с помощью Microsoft Copilot в Microsoft Defender

  • Статья
  • Применяется к:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Security Copilot на портале Microsoft Defender помогает группам по обеспечению безопасности эффективно создавать отчеты об инцидентах. Используя обработку данных на основе ИИ Security Copilot, группы безопасности могут немедленно создавать отчеты об инцидентах, нажав кнопку на портале Microsoft Defender.

В этом руководстве перечислены данные в отчетах об инцидентах и приведены инструкции по доступу к возможности создания отчетов об инцидентах на портале Microsoft Defender. Оно также содержит сведения о том, как предоставить отзыв о созданном отчете.

Перед началом работы

Если вы не знакомы с Security Copilot, ознакомьтесь со следующими статьями:

Исчерпывающий и четкий отчет об инцидентах — это важный справочник для групп безопасности и групп управления операциями безопасности. Однако создание комплексного отчета с важными сведениями может занять много времени для команд по обеспечению безопасности. Сбор, систематизация и обобщение информации об инцидентах из нескольких источников требует сосредоточенности и детального анализа для создания информационного отчета. Благодаря Copilot в Defender команды безопасности теперь могут мгновенно создавать обширный отчет об инцидентах на портале.

Хотя сводка по инцидентам содержит общие сведения об инциденте и его возникновении, отчет об инциденте объединяет сведения об инцидентах из различных источников данных, доступных в Microsoft Sentinel и Defender XDR. Отчет об инцидентах, созданный Copilot, также включает все шаги и автоматизированные действия, выполняемые аналитиками, аналитиков, участвующих в реагировании на инциденты, а также комментарии аналитиков. Независимо от того, используют ли группы безопасности Microsoft Sentinel, Defender XDR или оба, все соответствующие данные об инцидентах добавляются в созданный отчет об инцидентах.

Copilot создает отчет об инциденте на основе реализованных автоматических и ручных действий, а также комментариев и заметок аналитиков, опубликованных в инциденте. Вы можете просмотреть и следовать рекомендациям, чтобы убедиться, что Copilot создает исчерпывающий отчет об инцидентах.

интеграция Security Copilot в Microsoft Defender

Возможность создания отчетов об инцидентах в Microsoft Defender доступна для клиентов, которые подготовили доступ к Security Copilot.

Эта возможность также доступна на автономном портале Security Copilot через подключаемый модуль Microsoft Defender XDR. Узнайте больше о предустановленных подключаемых модулях в Security Copilot.

Основные возможности

Copilot в Defender создает отчет об инцидентах, содержащий следующие сведения:

  • Основные метки времени действий по управлению инцидентами, в том числе:
    • Создание и закрытие инцидента
    • Первый и последний журналы, независимо от того, были ли они созданы аналитиками или автоматизированы, зафиксированы в инциденте.
  • Аналитики, участвующие в реагировании на инциденты
  • Классификация инцидентов, включая причину классификации, указанную аналитиком, которую резюмирует Copilot
  • Действия по изучению и исправлению
  • Дальнейшие действия, такие как рекомендации, открытые проблемы или дальнейшие шаги, отмеченные аналитиками в журналах инцидентов

В отчет об инциденте включаются такие действия, как изоляция устройства, отключение пользователя и обратимое удаление сообщений электронной почты. Полный список действий, включенных в отчет об инцидентах, см. в центре уведомлений. Отчет об инцидентах также включает запущенные сборники схем Microsoft Sentinel. Команды реагирования в реальном времени и ответные действия, поступающие из общедоступных источников API или в результате пользовательских обнаружений, пока не поддерживаются.

Мы рекомендуем устранить инцидент, чтобы просмотреть все выполненные действия. Инциденты, которые не разрешены, частично отражают действия в отчете об инциденте.

Создание отчета об инциденте

Чтобы создать отчет об инциденте с помощью Copilot в Defender, выполните следующие действия.

  1. Откройте страницу инцидента. На странице инцидента перейдите к многоточию Дополнительные действия (...) и выберите Создать отчет об инциденте. Кроме того, можно выбрать значок отчета на боковой панели Copilot.

    Снимок экрана: выделенные кнопки созданного отчета об инциденте и значка отчета на странице инцидента.

  2. Copilot создает отчет об инциденте. Вы можете остановить создание сводки, нажав Отменить или перезапустить создание, выбрав Создать заново. Кроме того, при возникновении ошибки можно перезапустить создание отчета.

  3. На панели Copilot появится карточка отчета об инциденте. Созданный отчет зависит от сведений об инцидентах, доступных в Microsoft Defender XDR и Microsoft Sentinel. Ознакомьтесь с рекомендациями, чтобы получить исчерпывающий отчет об инцидентах.

    Снимок экрана: карточка отчета об инциденте на странице инцидента, показывающая верхнюю половину карточки.

    Снимок экрана: карточка отчета об инциденте на странице инцидента с нижней частью карточки.

  4. Выберите многоточие «Другие действия» (...), расположенное в правом верхнем углу карточки отчета об инциденте. Чтобы скопировать отчет, выберите Копировать в буфер обмена и вставьте отчет в предпочитаемую систему, Опубликовать в журнал действий, чтобы добавить отчет в журнал действий на портале Microsoft Defender, или Экспорт инцидента в формате PDF для экспорта данных об инцидентах в PDF. Выберите Создать повторно, чтобы перезапустить создание отчета. Вы также можете открыть в Security Copilot, чтобы просмотреть результаты и продолжить доступ к другим подключаемым модулям, доступным на автономном портале Security Copilot.

    Снимок экрана: дополнительные действия в карточке результатов отчета об инциденте.

  5. Просмотрите созданный отчет об инциденте. Вы можете оставить отзыв об отчете, щелкнув значок обратной связи в нижней части результатов Снимок экрана: значок обратной связи для Copilot в карточках Defender.

Экспорт данных об инцидентах в PDF-файл

Вы можете экспортировать данные об инцидентах в PDF-файл, чтобы создать отчет, которым можно легко поделиться с заинтересованными лицами. Экспортированные данные об инцидентах содержат соответствующую информацию, такую как история атаки, затронутые ресурсы, соответствующие оповещения и содержимое, созданное ИИ из Copilot, например сводка по инцидентам и отчет об инцидентах. С помощью этой возможности группы безопасности могут быстро экспортировать дополнительные сведения об инцидентах для обсуждения после инцидента между участниками команды или с другими заинтересованными лицами.

Чтобы создать PDF-файл, выполните действия, описанные в статье Экспорт данных об инцидентах в PDF-файл.

Рекомендации по созданию отчета об инциденте

Вот несколько рекомендаций, которые следует учитывать, чтобы Copilot создавал исчерпывающий и полный отчет об инциденте:

  • Классифицируйте и устраните инцидент перед созданием отчета об инциденте.
  • Убедитесь, что вы записываете и сохраняете комментарии в журнале действий Microsoft Sentinel или в журнале действий по инцидентам XDR в Microsoft Defender, чтобы включить их в отчет об инциденте.
  • Пишите комментарии, используя исчерпывающий и понятный язык. Подробные и четкие комментарии обеспечивают более понятный контекст о действиях по реагированию. Чтобы узнать, как получить доступ к полю комментариев, ознакомьтесь со следующими инструкциями.
  • Для пользователей ServiceNow включите двунаправленную синхронизацию Microsoft Sentinel и ServiceNow, чтобы получить более надежные данные об инцидентах.
  • Скопируйте созданный отчет об инциденте и опубликуйте его в журнал действий на портале Microsoft Defender, чтобы обеспечить сохранение отчета об инциденте на странице инцидента.

Пример запроса на создание отчета об инциденте

На автономном портале Security Copilot можно создать отчет об инциденте с помощью следующего запроса:

  • Создайте отчет об инциденте в Defender {идентификатор инцидента}.

Совет

При создании отчетов об инцидентах на портале Security Copilot корпорация Майкрософт рекомендует включить в запросы слово Defender, чтобы гарантировать, что возможность создания отчета об инцидентах предоставляет результаты.

Предоставление отзывов

Корпорация Майкрософт настоятельно рекомендует предоставить отзыв компании Copilot, так как она имеет решающее значение для постоянного совершенствования возможностей. Чтобы отправить отзыв, перейдите в нижнюю часть боковой панели Copilot и выберите значок обратной связи Снимок экрана: значок обратной связи для Copilot в карточках Defender.

См. также

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.