Crie um relatório de incidente com o Microsoft Copilot no Microsoft Defender

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR
  • Plataforma do centro de operações de segurança (SOC) unificado do Microsoft Defender

O Microsoft Copilot para Security no portal do Microsoft Defender ajuda as equipas de operações de segurança a escrever relatórios de incidentes de forma eficiente. Ao utilizar o processamento de dados com tecnologia de IA do Copilot para Security, as equipas de segurança podem criar imediatamente relatórios de incidentes com um clique de um botão no Microsoft Defender XDR.

Um relatório de incidente abrangente e claro é uma referência essencial para as equipas de segurança e para a gestão de operações de segurança. No entanto, escrever um relatório abrangente com os detalhes importantes presentes pode ser uma tarefa demorada para as equipas de operações de segurança. Recolher, organizar e resumir informações de incidentes de várias origens requer concentração e uma análise detalhada para criar um relatório com informações detalhadas. Com o Copilot no Defender, as equipas de segurança podem agora criar instantaneamente um relatório de incidente extensivo no portal.

Embora um resumo de incidente forneça uma descrição geral de um incidente e como aconteceu, um relatório de incidente consolida informações de incidentes de várias origens de dados disponíveis no Microsoft Sentinel e Microsoft Defender XDR. O relatório de incidente gerado pelo Copilot também inclui todos os passos orientados pelos analistas e ações automatizadas, os analistas envolvidos na resposta ao incidente e os comentários dos analistas. Quer as equipas de segurança estejam a utilizar o Microsoft Sentinel, o Microsoft Defender XDR ou ambos, todos os dados de incidentes relevantes são adicionados ao relatório de incidente gerado.

O Copilot gera o relatório de incidente com base nas ações automáticas e manuais implementadas e nos comentários e notas dos analistas publicados no incidente. Pode rever e seguir as recomendações para garantir que o Copilot cria um relatório de incidentes abrangente.

A capacidade de geração de relatório de incidentes no Microsoft Defender está disponível através da licença do Copilot para Security. Esta capacidade também está disponível no portal autónomo do Copilot para Security através do plug-in do Microsoft Defender XDR.

Este guia lista os dados nos relatórios de incidentes e contém passos sobre como aceder à capacidade de criação de relatórios de incidentes no portal do Microsoft Defender. Também inclui informações sobre como fornecer feedback sobre o relatório gerado.

Conteúdo do relatório de incidentes

O Copilot no Defender cria um relatório de incidente que contém as seguintes informações:

  • Os principais carimbos de data/hora das ações de gestão de incidentes, incluindo:
    • Criação e encerramento de incidentes
    • Os primeiros e últimos registos, quer o registo tenha sido orientado pelo analista ou automatizado, são capturados no incidente
  • Os analistas envolvidos na resposta a incidentes
  • Classificação de incidentes, incluindo o motivo do analista para a classificação que o Copilot resume
  • Ações de investigação e remediação
  • Acompanhe ações como recomendações, problemas abertos ou passos seguintes que os analistas notem nos relatórios de incidentes

Ações como o isolamento de dispositivos, a desativação de um utilizador e a eliminação de forma recuperável de e-mails são incluídas no relatório de incidentes. Para uma lista completa das ações incluídas no relatório de incidentes, consulte Centro de ação. O relatório de incidente também inclui os manuais de procedimentos executados do Microsoft Sentinel. Comandos de resposta em direto e ações de resposta provenientes de fontes de API públicas ou de deteções personalizadas ainda não são suportadas.

Recomendamos que resolva o incidente para ver todas as ações que foram tomadas. Os incidentes que não são resolvidos refletirão parcialmente as ações no relatório de incidentes.

Criar um relatório de incidente

Para criar um relatório de incidentes com o Copilot no Defender, execute os seguintes passos:

  1. Abra uma página de incidente. Na página do incidente, navegue até à elipse Mais ações (...) e, em seguida, selecione Gerar relatório de incidente. Em alternativa, pode selecionar o ícone de relatório encontrado no painel lateral do Copilot.

    Captura de ecrã a realçar o relatório de incidente gerado e os botões do ícone de relatório na página do incidente

  2. O Copilot cria o relatório de incidente. Pode parar a criação do relatório ao selecionar Cancelar e reiniciar a criação do relatório ao selecionar Regenerar. Além disso, pode reiniciar a criação do relatório se encontrar um erro.

  3. O cartão de relatório de incidente aparece no painel do Copilot. O relatório gerado depende das informações de incidente disponíveis do Microsoft Defender XDR e do Microsoft Sentinel. Consulte as recomendações para garantir um relatório de incidente abrangente.

    Captura de ecrã do cartão do relatório de incidente na página do incidente a mostrar a metade superior do cartão.

    Captura de ecrã do cartão do relatório de incidente na página do incidente a mostrar a parte inferior do cartão.

  4. Selecione a elipse Mais ações (...) localizada no canto superior direito do cartão do relatório de incidente. Para copiar o relatório, selecione Copiar para a área de transferência e cole o relatório no seu sistema preferido, Publique no registo de atividade para adicionar o relatório ao registo de atividade no portal do Microsoft Defender, ou Exporte o incidente como PDF para exportar os dados do incidente para PDF. Selecione Regenerar para reiniciar a criação do relatório. Também pode Abrir no Copilot para Security para ver os resultados e continuar a aceder a outros plug-ins disponíveis no portal autónomo do Copilot para Security.

    Captura de ecrã de ações adicionais no cartão de resultados do relatório de incidente.

  5. Reveja o relatório de incidente gerado. Pode fornecer feedback sobre o relatório ao selecionar o ícone de feedback localizado na parte inferior dos resultados Captura de ecrã do ícone de feedback nos cartões do Copilot no Defender.

Exportar incidente para PDF

Pode exportar os dados do incidente para PDF para criar um relatório que possa partilhar facilmente com as partes interessadas. Os dados de incidente exportados contêm informações relevantes, como a história de ataque, recursos afetados, alertas relevantes e conteúdos gerados por IA do Copilot, como o resumo de incidente e o relatório de incidente. Com esta capacidade, as equipas de segurança podem exportar rapidamente mais informações sobre incidentes para debates pós-incidentes entre os membros da sua equipa ou outras partes interessadas.

Pode seguir os passos em exportar dados de incidentes para PDF para gerar o PDF.

Recomendações para a criação de relatórios de incidentes

Eis algumas recomendações a considerar para garantir que o Copilot gera um relatório de incidente completo e abrangente:

  • Classifique e resolva o incidente antes de gerar o relatório de incidente.
  • Certifique-se de que escreve e guarda comentários no registo de atividades do Microsoft Sentinel ou no registo de atividades de incidentes do Microsoft Defender XDR para incluir os comentários no relatório de incidente.
  • Escreva comentários utilizando uma linguagem abrangente e clara. Os comentários detalhados e claros proporcionam um melhor contexto sobre as ações de resposta. Veja os seguintes passos para saber como aceder ao campo de comentários:
  • Para os utilizadores do ServiceNow, ative a sincronização bidirecional do Microsoft Sentinel e do ServiceNow para obter dados de incidente mais robustos.
  • Copie o relatório de incidente gerado e publique-o no registo de atividades no portal do Microsoft Defender para garantir que o relatório de incidente está guardado na página do incidente.

Consulte também

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.