Skapa en incidentrapport med Microsoft Copilot i Microsoft Defender

• Gäller för:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Security Copilot i Microsoft Defender-portalen hjälper säkerhetsteamen att skriva incidentrapporter effektivt. Med hjälp av Security Copilot AI-baserad databehandling kan säkerhetsteam omedelbart skapa incidentrapporter med ett klick på en knapp i Microsoft Defender-portalen.

I den här guiden visas data i incidentrapporter och innehåller steg för hur du kommer åt funktionen för att skapa incidentrapporter i Microsoft Defender-portalen. Den innehåller även information om hur du ger feedback om den genererade rapporten.

Ha kunskap innan du börjar

Om du inte har Security Copilot tidigare bör du bekanta dig med det genom att läsa följande artiklar:

• Vad är Security Copilot?
• Security Copilot upplevelser
• Komma igång med Security Copilot
• Förstå autentisering i Security Copilot
• Fråga i Security Copilot

En omfattande och tydlig incidentrapport är en viktig referens för säkerhetsteam och hantering av säkerhetsåtgärder. Att skriva en omfattande rapport med viktig information kan dock vara en tidskrävande uppgift för säkerhetsteamen. Insamling, organisering och sammanfattning av incidentinformation från flera källor kräver fokus och detaljerad analys för att skapa en informationsrik rapport. Med Copilot i Defender kan säkerhetsteam nu direkt skapa en omfattande incidentrapport i portalen.

En incidentsammanfattning ger en översikt över en incident och hur den inträffade, men en incidentrapport konsoliderar incidentinformation från olika datakällor som är tillgängliga i Microsoft Sentinel och Defender XDR. Den Copilot-genererade incidentrapporten innehåller även alla analytikersteg och automatiserade åtgärder, de analytiker som är inblandade i incidentresponsen och kommentarer från analytikerna. Oavsett om säkerhetsteam använder Microsoft Sentinel, Defender XDR eller både och, läggs alla relevanta incidentdata till i den genererade incidentrapporten.

Copilot genererar incidentrapporten baserat på de automatiska och manuella åtgärder som implementeras samt analytikernas kommentarer och anteckningar som publicerats i incidenten. Du kan granska och följa rekommendationer för att säkerställa att Copilot skapar en fullständig incidentrapport.

Security Copilot integrering i Microsoft Defender

Funktionen för generering av incidentrapporter i Microsoft Defender är tillgänglig för kunder som har etablerat åtkomst till Security Copilot.

Den här funktionen är också tillgänglig i Security Copilot fristående portalen via Microsoft Defender XDR plugin-programmet. Läs mer om förinstallerade plugin-program i Security Copilot.

Nyckelfunktioner

Copilot i Defender skapar en incidentrapport som innehåller följande information:

• Tidsstämplarna för de viktigaste incidenthanteringsåtgärderna, inklusive:
  • Skapa och stänga incidenter
  • Första och sista loggarna, oavsett om loggen är analytikerdriven eller automatiserad, som har registrerats i incidenten
• De analytiker som är inblandade i svar på incident
• Incidentklassificering, inklusive analytikerns orsak till klassificeringen som Copilot sammanfattar
• Undersökning och åtgärder
• Uppföljningsåtgärder som rekommendationer, öppna problem eller nästa steg som anges av analytikerna i incidentloggarna

Åtgärder som enhetsisolering, inaktivering av en användare och mjuk borttagning av e-postmeddelanden ingår i incidentrapporten. En fullständig lista över åtgärder som ingår i incidentrapporten finns i Åtgärdscenter. Incidentrapporten innehåller även Microsoft Sentinel-spelböcker som körts. Direktsvarskommandon och svarsåtgärder som kommer från offentliga API-källor eller från anpassade identifieringar stöds ännu inte.

Vi rekommenderar att du löser incidenten för att visa alla åtgärder som har vidtagits. Incidenter som inte har lösts återspeglar delvis åtgärderna i incidentrapporten.

Skapa en incidentrapport

Utför följande steg för att skapa en incidentrapport med Copilot i Defender:

1. Öppna en incidentsida. På incidentsidan går du till ellipsen (...) Fler åtgärder och väljer sedan Skapa incidentrapport. Alternativt kan du välja rapportikonen som finns på Copilot-sidopanelen.

   

2. Copilot skapar incidentrapporten. Du kan stoppa skapandet av rapporten genom att välja Avbryt och starta om skapandet av rapporter genom att välja Återskapa. Dessutom kan du starta om skapandet av rapporter om du stöter på ett fel.

3. Incidentrapportkortet visas i Copilot-fönstret. Den genererade rapporten beror på vilken incidentinformation som är tillgänglig från Microsoft Defender XDR och Microsoft Sentinel. Se rekommendationer för att säkerställa en omfattande incidentrapport.

   

   

4. Välj ellipsen (...) Fler åtgärder uppe till höger på incidentrapportkortet. Om du vill kopiera rapporten väljer du Kopiera till Urklipp och klistrar in rapporten i önskat system, Publicera i aktivitetslogg för att lägga till rapporten i aktivitetsloggen i Microsoft Defender-portalen eller Exportera incident som PDF för att exportera incidentdata till PDF. Välj Återskapa om du vill starta om skapandet av rapporten. Du kan också öppna i Security Copilot för att visa resultaten och fortsätta att komma åt andra plugin-program som är tillgängliga i Security Copilot fristående portalen.

   

5. Granska den genererade incidentrapporten. Du kan ge feedback om rapporten genom att välja feedbackikonen längst ned i resultatet .

Exportera incidentdata till PDF

Du kan exportera incidentdata till PDF för att skapa en rapport som du enkelt kan dela med intressenter. Exporterade incidentdata innehåller relevant information som attackberättelsen, påverkade tillgångar, relevanta varningar och AI-genererat innehåll från Copilot, till exempel incidentsammanfattningen och incidentrapporten. Med den här funktionen kan säkerhetsteam snabbt exportera mer incidentinformation för diskussioner efter en incident inom teamet eller med andra intressenter.

Du kan följa stegen i Exportera incidentdata till PDF för att generera PDF-filen.

Rekommendationer för att skapa incidentrapporter

Här är några rekommendationer att överväga för att säkerställa att Copilot genererar en omfattande och fullständig incidentrapport:

• Klassificera och lös incidenten innan du genererar incidentrapporten.
• Se till att du skriver och sparar kommentarer i Microsoft Sentinel-aktivitetsloggen eller i Microsoft Defender XDR-incidentaktivitetsloggen för att inkludera kommentarerna i incidentrapporten.
• Skriv kommentarer med ett fullständigt och tydligt språk. Djupgående och tydliga kommentarer ger bättre sammanhang om svarsåtgärderna. Så här kommer du åt kommentarsfältet:
  • Lägga till kommentarer i incidenter i Microsoft Defender-portalen
  • Lägga till kommentarer i incidenter i Microsoft Sentinel
• För ServiceNow-användare: aktivera dubbelriktad synkronisering av Microsoft Sentinel och ServiceNow för att få mer robusta incidentdata.
• Kopiera den genererade incidentrapporten och publicera den i aktivitetsloggen i Microsoft Defender-portalen för att säkerställa att incidentrapporten sparas på incidentsidan.

Exempelfråga om skapande av incidentrapport

I den Security Copilot fristående portalen kan du använda följande prompt för att skapa incidentrapporten:

• Generera incidentrapporten för Defender-incidenten {incident-ID}.

Tips

När du genererar incidentrapporter i Security Copilot-portalen rekommenderar Microsoft att du inkluderar ordet Defender i dina uppmaningar för att säkerställa att funktionen för att skapa incidentrapporter ger resultatet.

Ge feedback

Microsoft uppmuntrar dig starkt att ge feedback till Copilot, eftersom det är avgörande för en funktions kontinuerliga förbättring. Om du vill ge feedback går du till botten av Copilot-sidopanelen och väljer feedbackikonen .

Se även

• Lär dig mer om andra inbäddade upplevelser i Security Copilot
• Sekretess och datasäkerhet i Security Copilot

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.