Create um relatório de incidente com o Microsoft Copilot em Microsoft Defender
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender plataforma do SOC (Centro unificado de operações de segurança)
Microsoft Copilot para Segurança no portal Microsoft Defender auxilia as equipes de operações de segurança a escrever relatórios de incidentes com eficiência. Utilizando o processamento de dados alimentado por IA do Copilot para Segurança, as equipes de segurança podem criar imediatamente relatórios de incidentes com um clique de um botão no portal Microsoft Defender.
Um relatório de incidentes abrangente e claro é uma referência essencial para o gerenciamento de operações de segurança e equipes de segurança. No entanto, escrever um relatório abrangente com os detalhes importantes presentes pode ser uma tarefa demorada para as equipes de operações de segurança. Coletar, organizar e resumir informações de incidentes de várias fontes requer foco e análise detalhada para criar um relatório avançado em informações. Com o Copilot no Defender, as equipes de segurança agora podem criar instantaneamente um extenso relatório de incidentes no portal.
Embora um resumo de incidentes forneça uma visão geral de um incidente e como ele aconteceu, um relatório de incidente consolida informações de incidentes de várias fontes de dados disponíveis no Microsoft Sentinel e Defender XDR. O relatório de incidentes gerado por Copilot também inclui todas as etapas orientadas por analistas e ações automatizadas, os analistas envolvidos na resposta a incidentes e os comentários dos analistas. Se as equipes de segurança estão usando o Microsoft Sentinel, Defender XDR ou ambos, todos os dados de incidente relevantes são adicionados ao relatório de incidentes gerado.
Copilot gera o relatório de incidente com base nas ações automáticas e manuais implementadas, e nos comentários e anotações dos analistas publicados no incidente. Você pode examinar e seguir recomendações para garantir que Copilot crie um relatório abrangente de incidentes.
A funcionalidade de geração de relatório de incidentes no Microsoft Defender está disponível por meio da licença Copilot para Segurança. Essa funcionalidade também está disponível no portal autônomo Copilot para Segurança por meio do plug-in Microsoft Defender XDR.
Este guia lista os dados em relatórios de incidentes e contém etapas sobre como acessar o recurso de criação de relatório de incidentes no portal Microsoft Defender. Ele também inclui informações sobre como fornecer comentários sobre o relatório gerado.
Conteúdo do relatório de incidentes
Copilot no Defender cria um relatório de incidente contendo as seguintes informações:
- Os carimbos de data/hora das ações de gerenciamento de incidentes main, incluindo:
- Criação e fechamento de incidentes
- Primeiro e últimos logs, sejam eles controlados por analistas ou automatizados, capturados no incidente
- Os analistas envolvidos na resposta a incidentes
- Classificação de incidente, incluindo o motivo do analista para a classificação que Copilot resume
- Ações de investigação e correção
- Acompanhamento de ações como recomendações, problemas abertos ou próximas etapas anotadas pelos analistas nos logs de incidentes
Ações como isolamento do dispositivo, desabilitação de um usuário e exclusão temporária de emails são incluídas no relatório de incidentes. Para obter uma lista completa de ações incluídas no relatório de incidentes, consulte o Centro de ação. O relatório de incidentes também inclui guias estratégicos do Microsoft Sentinel executados. Ainda não há suporte para comandos de resposta ao vivo e ações de resposta provenientes de fontes de API públicas ou de detecções personalizadas.
Recomendamos resolver o incidente para exibir todas as ações que foram tomadas. Os incidentes que não forem resolvidos refletirão parcialmente as ações no relatório de incidentes.
Criar um relatório de incidentes
Para criar um relatório de incidente com o Copilot no Defender, execute as seguintes etapas:
Abra uma página de incidentes. Na página incidente, navegue até as reticências Mais ações (...) e selecione Gerar relatório de incidentes. Como alternativa, você pode selecionar o ícone de relatório encontrado no painel lateral copilot.
Copilot cria o relatório de incidente. Você pode interromper a criação do relatório selecionando Cancelar e reiniciar a criação de relatórios selecionando Regenerar. Além disso, você pode reiniciar a criação de relatório se encontrar um erro.
O relatório de incidente cartão aparece no painel Copilot. O relatório gerado depende das informações de incidente disponíveis do Microsoft Defender XDR e do Microsoft Sentinel. Consulte as recomendações para garantir um relatório abrangente de incidentes .
Selecione as reticências Mais ações (...) localizadas no canto superior direito do relatório de incidentes cartão. Para copiar o relatório, selecione Copiar para área de transferência e cole o relatório para seu sistema preferencial, Poste no log de atividades para adicionar o relatório ao log de atividades no portal Microsoft Defender ou Exportar incidente como PDF para exportar os dados de incidente para PDF. Selecione Regenerar para reiniciar a criação de relatório. Você também pode abrir em Copilot para Segurança para exibir os resultados e continuar acessando outros plug-ins disponíveis no portal autônomo Copilot para Segurança.
Examine o relatório de incidente gerado. Você pode fornecer comentários sobre o relatório selecionando o ícone de comentários encontrado na parte inferior dos resultados
.
Exportar incidente para PDF
Você pode exportar os dados de incidentes para PDF para criar um relatório que você pode compartilhar facilmente com os stakeholders. Os dados de incidente exportados contêm informações relevantes como a história do ataque, ativos afetados, alertas relevantes e conteúdo gerado por IA da Copilot, como o resumo do incidente e o relatório de incidentes. Com esse recurso, as equipes de segurança podem exportar rapidamente mais informações de incidentes para discussões pós-incidentes dentro dos membros da equipe ou com outros stakeholders.
Você pode seguir as etapas na exportação de dados de incidentes para PDF para gerar o PDF.
Recomendações para criação de relatório de incidentes
Aqui estão algumas recomendações a considerar para garantir que Copilot gere um relatório de incidente abrangente e completo:
- Classifique e resolve o incidente antes de gerar o relatório de incidente.
- Verifique se você grava e salva comentários no log de atividades do Microsoft Sentinel ou no Microsoft Defender XDR log de atividades de incidentes para incluir os comentários no relatório de incidentes.
- Escreva comentários usando linguagem abrangente e clara. Comentários aprofundados e claros fornecem um contexto melhor sobre as ações de resposta. Confira as seguintes etapas para saber como acessar o campo de comentários:
- Adicionar comentários a incidentes no portal do Microsoft Defender
- Adicionar comentários a incidentes no Microsoft Sentinel
- Para usuários do ServiceNow, habilite a sincronização bidirecional do Microsoft Sentinel e do ServiceNow para obter dados de incidentes mais robustos.
- Copie o relatório de incidente gerado e poste-o no log de atividades no portal Microsoft Defender para garantir que o relatório de incidente seja salvo na página de incidentes.
Confira também
- Introdução ao Microsoft Copilot para Segurança
- Saiba mais sobre outras experiências inseridas Copilot para Segurança
- Saiba mais sobre plug-ins pré-instalados no Copilot para Segurança
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de