使用 Microsoft Defender 中的 Microsoft Copilot 建立事件報告
Microsoft Defender 入口網站中的 Microsoft Security Copilot 可協助安全性作業小組有效率地撰寫事件報告。 安全性小組可以利用 Security Copilot的 AI 數據處理,在 Microsoft Defender 入口網站中按下按鈕,立即建立事件報告。
本指南列出事件報告中的資料,並包含在 Microsoft Defender 入口網站中存取事件報告建立功能之方式的步驟。 它也包含如何提供關於所產生報告的意見反應的資訊。
開始之前的須知事項
如果您不熟悉 Security Copilot,請閱讀下列文章來熟悉它:
- 什麼是 Security Copilot?
- Security Copilot 體驗
- 開始使用安全性 Copilot
- 瞭解 Security Copilot 中的驗證
- 在 Security Copilot 中提示
詳盡且清楚的事件報告是安全性小組和安全性作業管理的必要參考資料。 然而,對安全性作業小組而言,撰寫具有重要詳細資料的全面性的報告可能是一項耗時的工作。 從多個來源收集、組織及摘要事件資訊,需要專注和詳細分析,才能建立資訊豐富的報告。 使用 Defender 中的 Copilot,安全性小組現在可以在入口網站內立即建立全面性的事件報告。
雖然 事件摘要 提供了事件的概觀及其發生過程,但事件報告合併了來自 Microsoft Sentinel 和 Microsoft Defender 全面偵測回應所提供的各種資料來源的事件資訊。 Copilot 產生的事件報告也包含所有分析師導向的步驟和自動化動作、涉及事件回應的分析師,以及分析師的意見。 無論安全性小組是使用 Microsoft Sentinel、Defender 全面偵測回應,或兩者皆用,所有相關事件資料都會新增至產生的事件報告。
Copilot 會根據所實作的自動和手動動作,以及分析師在事件中張貼的註解和附註,產生事件報告。 您可以檢閱並遵循 建議,以確保 Copilot 建立全面性的事件報告。
Security Copilot中的整合 Microsoft Defender
Microsoft Defender 中的事件報告產生功能適用於已布建存取 Security Copilot 的客戶。
這項功能也可透過 Microsoft Defender 全面偵測回應 外掛程式,在 Security Copilot 獨立入口網站中取得。 深入瞭解 Security Copilot 中預安裝的外掛程式。
重點功能
Defender 中的 Copilot 會建立包含下列資訊的事件報告:
- 主要事件管理動作的時間戳記,包括:
- 事件的建立和關閉
- 事件中擷取到的第一個和最後一個記錄,不論是由分析師驅動或是自動化動作的記錄
- 涉及事件回應的分析師
- 事件分類,包括 Copilot 所摘要的分析師的分類原因
- 調查和補救動作
- 由分析師註記在事件記錄中的後續追蹤動作,如建議、待解決的問題或接下來的步驟
事件報告中包含裝置隔離、停用使用者和虛刪除電子郵件等動作。 如需事件報告中包含的動作完整清單,請參閱 控制中心。 事件報告也包含 執行的 Microsoft Sentinel 劇本。 尚不支援來自公用 API 來源或自訂偵測的 即時回應命令 和回應動作。
建議您解決事件,以檢視已採取的所有動作。 未解決的事件會部分反映事件報告中的動作。
建立事件報告
若要使用 Defender 中的 Copilot 來建立事件報告,請執行下列步驟:
開啟事件頁面。 在事件頁面中,瀏覽至 [其他動作] 省略號 (...),然後選取 [產生事件報告]。 或者,您可以選取在 [Copilot] 側邊窗格中找到的報告圖示。
Copilot 會建立事件報告。 您可以選取 [取消] 停止建立報告,然後選取 [重新產生] 重新開始建立報告。 此外,如果您遇到錯誤,可以重新開始建立報告。
事件報告卡片會顯示在 [Copilot] 窗格上。 產生的報告取決於可從 Microsoft Defender 全面偵測回應和 Microsoft Sentinel 取得的事件資訊。 請參閱建議以確保詳盡的事件報告。
選取事件報告卡片右上角的 [其他動作] 省略號 (...)。 若要複製該報告,請選取 [複製到剪貼簿] 並將該報告貼到您慣用的系統、[張貼至活動記錄],以將報告新增至 Microsoft Defender 入口網站中的活動記錄檔,或選取 [將事件匯出為 PDF],以 將事件資料匯出至 PDF。 選取 [重新產生] 以重新開始建立報告。 您也可以在 Security Copilot 中開啟,以檢視結果,並繼續存取 Security Copilot 獨立入口網站中可用的其他外掛程式。
檢視產生的事件報告。 您可以選取結果底部找到的意見反應圖示 ,以提供該報告的意見反應。
將事件數據匯出至 PDF
您可以將事件資料匯出至 PDF,以建立可輕鬆與專案關係人共用的報告。 匯出的事件資料包含相關資訊,例如攻擊事件、受影響的資產、相關警示,以及來自 Copilot 的 AI 產生內容 (例如事件摘要和事件報告)。 使用這項功能,安全性小組便可以快速匯出更多事件資訊,以便在小組成員內或與其他專案關係人進行事後討論。
您可以依照 [將事件資料匯出至 PDF] 中的步驟來產生 PDF。
建立事件報告的建議
為確保 Copilot 產生詳盡且完整的事件報告,以下是一些需要考慮的建議:
- 在產生事件報告之前,先分類並解決事件。
- 請確定您在 Microsoft Sentinel 活動記錄檔或 Microsoft Defender 全面偵測回應事件活動記錄檔 中撰寫並儲存註解,以在事件報告中包含註解。
- 使用詳盡且清楚的語言撰寫註解。 深入且清楚的註解可以為回應動作提供更好的脈絡。 請參閱下列步驟以了解如何存取註解欄位:
- 將註解新增至 Microsoft Defender 入口網站中的事件
- 將註解新增至 Microsoft Sentinel 中的事件
- 若是 ServiceNow 使用者,請啟用 Microsoft Sentinel 和 ServiceNow 雙向同步,以取得更健全的事件資料。
- 複製產生的事件報告,並將其張貼至 Microsoft Defender 入口網站中的活動記錄檔,以確保事件報告會儲存在事件頁面中。
事件報告建立的範例提示
在 Security Copilot 獨立入口網站中,您可以使用下列提示來建立事件報告:
- 產生 Defender 事件 {incident ID} 的事件報告。
提示
在 Security Copilot 入口網站中產生事件報告時,Microsoft建議在提示中包含Defender一詞,以確保事件報告建立功能能提供結果。
提供意見反應
Microsoft強烈鼓勵您提供意見反應給 Copilot,因為這對功能的持續改進非常重要。 若要提供意見反應,請流覽至 Copilot 側邊面板底部,然後選取意見反應圖示 。
另請參閱
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。