Opret en hændelsesrapport med Microsoft Copilot i Microsoft Defender

Gælder for:

• Microsoft Defender XDR
• Microsoft Defender SOC-platform (Unified Security Operations Center)

Microsoft Copilot til Security på Microsoft Defender-portalen hjælper sikkerhedsteams med at skrive hændelsesrapporter effektivt. Sikkerhedsteams kan ved hjælp af Copilot til databehandling, der er drevet af kunstig intelligens med det samme oprette hændelsesrapporter med et klik på en knap i Microsoft Defender-portalen.

En omfattende og tydelig hændelsesrapport er en vigtig reference til sikkerhedsteams og administration af sikkerhedshandlinger. Det kan dog være en tidskrævende opgave for sikkerhedsteams at skrive en omfattende rapport med de vigtige detaljer. Indsamling, organisering og opsummering af hændelsesoplysninger fra flere kilder kræver fokus og detaljeret analyse for at oprette en rapport med omfattende oplysninger. Med Copilot i Defender kan sikkerhedsteams nu øjeblikkeligt oprette en omfattende hændelsesrapport på portalen.

Mens en oversigt over hændelser giver et overblik over en hændelse, og hvordan den er sket, konsoliderer en hændelsesrapport oplysninger fra forskellige datakilder, der er tilgængelige i Microsoft Sentinel og Defender XDR. Hændelsesrapporten genereret af Copilot indeholder også alle analytikerbaserede trin og automatiserede handlinger, de analytikere, der er involveret i svaret på hændelse, og kommentarerne fra analytikerne. Uanset om sikkerhedsteams bruger Microsoft Sentinel, Defender XDR eller begge dele, føjes alle relevante hændelsesdata til den genererede hændelsesrapport.

Copilot genererer hændelsesrapporten baseret på de implementerede automatiske og manuelle handlinger, der er implementeret, og analytikernes kommentarer og noter, der er angivet i hændelsen. Du kan gennemse og følge anbefalinger for at sikre, at Copilot opretter en omfattende hændelsesrapport.

Funktionaliteten til generering af hændelsesrapport i Microsoft Defender er tilgængelig via Copilot til Security-licensen. Funktionaliteten til guidet respons er også tilgængelig i den separate Copilot til Security-portal via Microsoft Defender XDR-plugin'et.

Denne vejledning viser dataene i hændelsesrapporter og indeholder trin til, hvordan du får adgang til oprettelsesfunktionen for hændelsesrapporter på Microsoft Defender-portalen. Den indeholder også oplysninger om, hvordan du giver feedback om den genererede rapport.

Indhold i hændelsesrapport

Copilot i Defender opretter en hændelsesrapport, der indeholder følgende oplysninger:

• Tidsstempler for de vigtigste hændelser i forbindelse med administration af hændelser, herunder:
  • Oprettelse og lukning af hændelse
  • Første og sidste logge, uanset om loggen var analytikerdrevet eller automatiseret, registreret i hændelsen
• De analytikere, der er involveret i svar på hændelse
• Hændelsesklassificering, inkluderer analytikerens begrundelse for klassificering, som Copilot opsummerer
• Undersøgelses- og afhjælpningshandlinger
• Opfølgningshandlinger som f.eks. anbefalinger, åbne problemer eller næste trin, der er angivet af analytikerne i hændelsesloggene

Handlinger som enhedsisolering, deaktivering af en bruger og blød sletning af mails er inkluderet i hændelsesrapporten. Du kan se en komplet liste over handlinger, der er inkluderet i hændelsesrapporten, i Handlingscenter. Hændelsesrapporten inkluderer også kørte Microsoft Sentinel-strategiplaner. Direkte svar-kommandoer og responshandlinger, der kommer fra offentlige API-kilder eller fra brugerdefinerede registreringer, understøttes endnu ikke.

Vi anbefaler, at du løser hændelsen for at få vist alle de handlinger, der er foretaget. Hændelser, der ikke løses, afspejler delvist handlingerne i hændelsesrapporten.

Opret en hændelsesrapport

Hvis du vil oprette en hændelsesrapport med Copilot i Defender, skal du udføre følgende:

1. Åbn en hændelsesside. På hændelsessiden skal du navigere til ellipsen Flere handlinger (…) og derefter vælge Generér hændelsesrapport. Du kan også vælge rapportikonet, der findes i Copilot-sidepanelet.

   

2. Copilot opretter hændelsesrapporten. Du kan stoppe oprettelsen af rapporten ved at vælge Annuller og genstarte oprettelsen af rapporten ved at vælge Generér igen. Du kan også genstarte oprettelsen af rapporten, hvis der opstår en fejl.

3. Kortet hændelsesrapport vises i Copilot-ruden. Den genererede rapport afhænger af de hændelsesoplysninger, der er tilgængelige fra Microsoft Defender XDR og Microsoft Sentinel. Se anbefalingerne for at sikre en omfattende hændelsesrapport.

   

   

4. Vælg ellipsen Flere handlinger (…) øverst til højre på hændelsesrapportkortet. Hvis du vil kopiere rapporten, skal du vælge Kopiér til udklipsholder og indsæt rapporten i dit foretrukne system, Slå op i aktivitetslog for at føje rapporten til aktivitetsloggen på Microsoft Defender portalen eller Eksportér hændelse som PDF for at eksportere hændelsesdataene til PDF. Vælg Generér igen for at genstarte oprettelsen af rapporten. Du kan også vælge Åbn i Copilot til Security for at få vist resultaterne og fortsætte med at få adgang til andre plugins, der er tilgængelige i separat portal for Copilot til Security.

   

5. Gennemse den genererede hændelsesrapport. Du kan give feedback om rapporten ved at vælge feedback-ikonet, der findes nederst i resultaterne..

Eksportér hændelse til PDF

Du kan eksportere hændelsesdataene til PDF for at oprette en rapport, som du nemt kan dele med interessenter. De eksporterede hændelsesdata indeholder relevante oplysninger som angrebshistorien, påvirkede aktiver, relevante beskeder og indhold fra Copilot, der er genereret af kunstig intelligens, f.eks. hændelsesoversigten og hændelsesrapporten. Med denne funktion kan sikkerhedsteams hurtigt eksportere flere oplysninger om hændelser for diskussioner efter hændelser i teammedlemmer eller med andre interessenter.

Du kan følge trinnene i eksport af hændelsesdata til PDF for at generere PDF-filen.

Anbefalinger til oprettelse af hændelsesrapport

Her er nogle anbefalinger, du bør overveje for at sikre, at Copilot genererer en omfattende og komplet hændelsesrapport:

• Klassificer og løs hændelsen, før du genererer hændelsesrapporten.
• Sørg for, at du skriver og gemmer kommentarer i Microsoft Sentinel-aktivitetsloggen eller i kommentarer og historik for Microsoft Defender XDR-aktivitetslog for hændelse for at medtage kommentarerne i hændelsesrapporten.
• Skriv kommentarer ved hjælp af omfattende og klart sprog. Detaljerede og klare kommentarer giver bedre kontekst om svarhandlinger. Se følgende trin for at vide, hvordan du får adgang til kommentarfeltet:
  • Føj kommentarer til hændelser i Microsoft Defender*-portalen
  • Føj kommentarer til hændelser i Microsoft Sentinel
• For ServiceNow-brugere skal du aktivere tovejssynkronisering fra Microsoft Sentinel og ServiceNow for at få mere robuste hændelsesdata.
• Kopiér den genererede hændelsesrapport, og slå den op i aktivitetsloggen på Microsoft Defender-portalen for at sikre, at hændelsesrapporten gemmes på hændelsessiden.

Se også

• Kom i gang med Microsoft Copilot til Security
• Få mere at vide om andre integrerede oplevelser med Copilot til Security
• Få mere at vide om forudinstallerede plug-ins i Copilot til Security

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.