使用 Microsoft Defender 中的 Microsoft Copilot 创建事件报告
Microsoft Defender门户中的Microsoft Security Copilot可帮助安全运营团队高效地编写事件报告。 利用Security Copilot AI 支持的数据处理,安全团队只需单击Microsoft Defender门户中的按钮即可立即创建事件报告。
本指南列出了事件报告中的数据,并包含有关如何在 Microsoft Defender 门户中访问事件报告创建功能的步骤。 它还包括有关如何提供有关生成的报表的反馈的信息。
在开始之前了解
如果你不熟悉Security Copilot,应阅读以下文章来熟悉它:
全面而清晰的事件报告是安全团队和安全运营管理的重要参考。 但是,对于安全运营团队来说,编写包含重要详细信息的综合报表可能是一项耗时的任务。 从多个源收集、组织和汇总事件信息需要重点和详细分析才能创建信息丰富的报表。 借助 Defender 中的 Copilot,安全团队现在可以在门户中立即创建大量事件报告。
虽然事件摘要提供了事件及其发生方式的概述,但事件报告合并了 Microsoft Sentinel 和 Defender XDR 中提供的各种数据源的事件信息。 Copilot 生成的事件报告还包括所有分析师驱动的步骤和自动操作、参与事件响应的分析师以及分析师的评论。 无论安全团队使用 Microsoft Sentinel、Defender XDR 还是两者,所有相关的事件数据都会添加到生成的事件报告中。
Copilot 根据已实施的自动和手动操作以及事件中发布的分析人员备注和注释生成事件报告。 可以查看并遵循建议,以确保 Copilot 创建全面的事件报告。
Microsoft Defender 中的Security Copilot集成
Microsoft Defender 中的事件报告生成功能适用于对Security Copilot具有预配访问权限的客户。
此功能也可通过 Microsoft Defender XDR 插件在Security Copilot独立门户中使用。 详细了解 Security Copilot 中的预安装插件。
关键功能
Defender 中的 Copilot 创建包含以下信息的事件报告:
- 主要事件管理操作的时间戳,包括:
- 事件创建和关闭
- 在事件中捕获的第一个和最后一个日志,无论日志是分析人员驱动的还是自动化的
- 参与事件响应的分析师
- 事件分类,包括 Copilot 总结的分析师分类原因
- 调查和修正操作
- 跟进事件日志中分析师记录的建议、未解决问题或后续步骤等操作
事件报告中包括设备隔离、禁用用户和软删除电子邮件等操作。 有关事件报告中包含的操作的完整列表,请参阅操作中心。 事件报告还包括运行的 Microsoft Sentinel 剧本。 尚不支持来自公共 API 源或自定义检测的实时响应命令和响应操作。
建议解决事件以查看已执行的所有操作。 未解决的事件将部分反映事件报告中的操作。
创建事件报告
若要使用 Defender 中的 Copilot 创建事件报告,请执行以下步骤:
打开事件页面。 在事件页中,导航到“更多操作”省略号 (...),然后选择“生成事件报告”。 或者,可以选择 Copilot 侧面板中的报告图标。
Copilot 创建事件报告。 可通过选择“取消”来停止创建报告,选择“重新生成”来重新开始创建报告。 此外,如果遇到错误,则可以重新开始创建报告。
事件报告卡显示在 Copilot 窗格中。 生成的报告取决于 Microsoft Defender XDR 和 Microsoft Sentinel 中提供的事件信息。 请参阅建议,以确保提供全面的事件报告。
选择事件报告卡右上角的“更多操作”省略号 (...)。 若要复制报告,请选择“复制到剪贴板”并将报告粘贴到首选系统,选择“发布到活动日志”以在 Microsoft Defender 门户中将报告添加到活动日志,或选择“将事件导出为 PDF”以将事件数据导出为 PDF。 选择“重新生成”以重新开始创建报告。 还可以在 Security Copilot 中打开以查看结果并继续访问Security Copilot独立门户中提供的其他插件。
查看生成的报告。 可以通过选择结果底部的反馈图标 来提供有关报告的反馈。
将事件数据导出到 PDF
可以将事件数据导出为 PDF,以创建可轻松与利益干系人共享的报告。 导出的事件数据包含相关信息,如攻击情景、受影响的资产、相关警报以及 Copilot 的 AI 生成内容,如事件摘要和事件报告。 借助此功能,安全团队可以快速导出更多事件信息,以便在团队成员内部或与其他利益相关者进行事件后讨论。
可以按照将事件数据导出到 PDF 中的步骤生成 PDF。
有关创建事件报告的建议
下面是一些需要考虑的建议,以确保 Copilot 生成全面而完整的事件报告:
- 在生成事件报告之前对事件进行分类和解决。
- 确保在 Microsoft Sentinel 活动日志或 Microsoft Defender XDR 事件活动日志中写入和保存注释,以在事件报告中包括注释。
- 使用全面清晰的语言撰写注释。 深入而清晰的注释可提供有关响应操作的更好上下文。 请参阅以下步骤,了解如何访问注释字段:
- 在 Microsoft Defender 门户中向事件添加注释
- 在 Microsoft Sentinel 中向事件添加注释
- 对于 ServiceNow 用户,启用 Microsoft Sentinel 和 ServiceNow 双向同步,以获取更可靠的事件数据。
- 复制生成的事件报告并将其发布到 Microsoft Defender 门户中的活动日志,以确保事件报告保存在事件页中。
创建事件报告的示例提示
在Security Copilot独立门户中,可以使用以下提示创建事件报告:
- 为 Defender 事件 {incident ID} 生成事件报告。
提示
在 Security Copilot 门户中生成事件报告时,Microsoft建议在提示中包含“Defender”一词,以确保事件报告创建功能提供结果。
提供反馈
Microsoft强烈建议你向 Copilot 提供反馈,因为它对于功能的持续改进至关重要。 若要提供反馈,请导航到 Copilot 侧面板底部,然后选择“反馈”图标“ 。
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。