Creatie een incidentrapport met Microsoft Copilot in Microsoft Defender
Van toepassing op:
- Microsoft Defender XDR
- Microsoft Defender SOC-platform (Unified Security Operations Center)
Microsoft Copilot voor Beveiliging in de Microsoft Defender-portal helpt beveiligingsteams bij het efficiënt schrijven van incidentrapporten. Door gebruik te maken van de ai-gegevensverwerking van Copilot voor Beveiliging kunnen beveiligingsteams onmiddellijk met één klik op de knop incidentrapporten maken in de Microsoft Defender portal.
Een uitgebreid en duidelijk incidentrapport is een essentiële referentie voor beveiligingsteams en beveiligingsbeheer. Het schrijven van een uitgebreid rapport met de belangrijke details kan echter een tijdrovende taak zijn voor beveiligingsteams. Het verzamelen, organiseren en samenvatten van incidentgegevens uit meerdere bronnen vereist focus en gedetailleerde analyse om een rapport met veel informatie te maken. Met Copilot in Defender kunnen beveiligingsteams nu direct een uitgebreid incidentrapport maken in de portal.
Hoewel een incidentoverzicht een overzicht biedt van een incident en hoe het is gebeurd, voegt een incidentrapport incidentinformatie uit verschillende gegevensbronnen samen die beschikbaar zijn in Microsoft Sentinel en Defender XDR. Het door Copilot gegenereerde incidentrapport bevat ook alle door analisten gestuurde stappen en geautomatiseerde acties, de analisten die betrokken zijn bij de reactie op incidenten en de opmerkingen van de analisten. Ongeacht of beveiligingsteams Microsoft Sentinel, Defender XDR of beide gebruiken, alle relevante incidentgegevens worden toegevoegd aan het gegenereerde incidentrapport.
Copilot genereert het incidentrapport op basis van de automatische en handmatige acties die zijn geïmplementeerd, en de opmerkingen en notities van de analisten die in het incident zijn geplaatst. U kunt aanbevelingen bekijken en volgen om ervoor te zorgen dat Copilot een uitgebreid incidentrapport maakt.
De mogelijkheid voor het genereren van incidentenrapport in Microsoft Defender is beschikbaar via de Copilot voor Beveiliging-licentie. Deze mogelijkheid is ook beschikbaar in de Copilot voor Beveiliging zelfstandige portal via de Microsoft Defender XDR-invoegtoepassing.
Deze handleiding bevat een overzicht van de gegevens in incidentrapporten en bevat stappen voor het openen van de mogelijkheid voor het maken van incidentenrapporten in de Microsoft Defender-portal. Het bevat ook informatie over het geven van feedback over het gegenereerde rapport.
Inhoud van incidentrapport
Copilot in Defender maakt een incidentrapport met de volgende informatie:
- De tijdstempels van de belangrijkste acties voor incidentbeheer, waaronder:
- Incident maken en sluiten
- Eerste en laatste logboeken, ongeacht of het logboek is gebaseerd op analisten of geautomatiseerd, vastgelegd in het incident
- De analisten die betrokken zijn bij de reactie op incidenten
- Incidentclassificatie, inclusief de reden van de analist voor de classificatie die Copilot samenvat
- Onderzoeks- en herstelacties
- Follow-upacties zoals aanbevelingen, openstaande problemen of volgende stappen die door de analisten in de incidentlogboeken zijn genoteerd
Acties zoals apparaatisolatie, het uitschakelen van een gebruiker en het voorlopig verwijderen van e-mailberichten zijn opgenomen in het incidentrapport. Zie het Actiecentrum voor een volledige lijst met acties die zijn opgenomen in het incidentrapport. Het incidentrapport bevat ook microsoft Sentinel-playbooks die zijn uitgevoerd. Live-antwoordopdrachten en antwoordacties die afkomstig zijn van openbare API-bronnen of van aangepaste detecties, worden nog niet ondersteund.
We raden u aan het incident op te lossen om alle acties weer te geven die zijn uitgevoerd. Incidenten die niet zijn opgelost, weerspiegelen gedeeltelijk de acties in het incidentrapport.
Een incidentrapport maken
Voer de volgende stappen uit om een incidentrapport te maken met Copilot in Defender:
Open een incidentpagina. Ga op de incidentpagina naar het beletselteken Meer acties (...) en selecteer vervolgens Incidentrapport genereren. U kunt ook het rapportpictogram in het copilot-zijpaneel selecteren.
Copilot maakt het incidentrapport. U kunt het maken van een rapport stoppen door Annuleren te selecteren en het maken van rapporten opnieuw te starten door Opnieuw genereren te selecteren. Daarnaast kunt u het maken van rapporten opnieuw starten als er een fout optreedt.
De kaart incidentrapport wordt weergegeven in het deelvenster Copilot. Het gegenereerde rapport is afhankelijk van de incidentinformatie die beschikbaar is van Microsoft Defender XDR en Microsoft Sentinel. Raadpleeg de aanbevelingen voor een uitgebreid incidentrapport.
Selecteer het beletselteken Meer acties (...) in de rechterbovenhoek van de kaart incidentrapport. Als u het rapport wilt kopiëren, selecteert u Kopiëren naar klembord en plakt u het rapport in het systeem van uw voorkeur, Posten in activiteitenlogboek om het rapport toe te voegen aan het activiteitenlogboek in de Microsoft Defender-portal of Incident exporteren als PDF om de incidentgegevens naar PDF te exporteren. Selecteer Opnieuw genereren om het maken van rapporten opnieuw te starten. U kunt ook Openen in Copilot voor Beveiliging om de resultaten te bekijken en toegang te blijven krijgen tot andere invoegtoepassingen die beschikbaar zijn in de Copilot voor Beveiliging zelfstandige portal.
Bekijk het gegenereerde incidentrapport. U kunt feedback geven over het rapport door het feedbackpictogram onderaan de resultaten te selecteren
.
Incident exporteren naar PDF
U kunt de incidentgegevens exporteren naar PDF om een rapport te maken dat u eenvoudig kunt delen met belanghebbenden. De geëxporteerde incidentgegevens bevatten relevante informatie, zoals het aanvalsverhaal, beïnvloede assets, relevante waarschuwingen en door AI gegenereerde inhoud van Copilot, zoals het incidentoverzicht en het incidentrapport. Met deze mogelijkheid kunnen beveiligingsteams snel meer incidentgegevens exporteren voor post-incidentdiscussies binnen teamleden of met andere belanghebbenden.
U kunt de stappen in het exporteren van incidentgegevens naar PDF volgen om het PDF-bestand te genereren.
Aanbevelingen voor het maken van incidentrapport
Hier volgen enkele aanbevelingen die u kunt overwegen om ervoor te zorgen dat Copilot een uitgebreid en volledig incidentrapport genereert:
- Classificeer en los het incident op voordat u het incidentrapport genereert.
- Zorg ervoor dat u opmerkingen schrijft en opslaat in het activiteitenlogboek van Microsoft Sentinel of in het Microsoft Defender XDR logboek voor incidentactiviteiten om de opmerkingen in het incidentrapport op te nemen.
- Schrijf opmerkingen in uitgebreide en duidelijke taal. Uitgebreide en duidelijke opmerkingen bieden een betere context over de reactieacties. Zie de volgende stappen om te weten hoe u toegang hebt tot het opmerkingenveld:
- Opmerkingen toevoegen aan incidenten in de Microsoft Defender portal
- Opmerkingen toevoegen aan incidenten in Microsoft Sentinel
- Schakel voor ServiceNow-gebruikers de bidirectionele synchronisatie van Microsoft Sentinel en ServiceNow in om robuustere incidentgegevens op te halen.
- Kopieer het gegenereerde incidentrapport en plaats het in het activiteitenlogboek in de Microsoft Defender portal om ervoor te zorgen dat het incidentrapport wordt opgeslagen op de incidentpagina.
Zie ook
- Aan de slag met Microsoft Copilot voor Beveiliging
- Meer informatie over andere Copilot voor Beveiliging ingesloten ervaringen
- Meer informatie over vooraf geïnstalleerde invoegtoepassingen in Copilot voor Beveiliging
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor