Skapa en incidentrapport med Microsoft Copilot i Microsoft Defender

Gäller för:

• Microsoft Defender XDR
• Microsoft Defender SOC-plattform (Unified Security Operations Center)

Microsoft Copilot for Security i Microsoft Defender-portalen hjälper säkerhetsteam att skriva incidentrapporter effektivt. Med hjälp av Copilot for Security AI-baserad databehandling kan säkerhetsteam omedelbart skapa incidentrapporter med ett klick på en knapp i Microsoft Defender-portalen.

En omfattande och tydlig incidentrapport är en viktig referens för säkerhetsteam och hantering av säkerhetsåtgärder. Att skriva en omfattande rapport med viktig information kan dock vara en tidskrävande uppgift för säkerhetsteam. Insamling, organisering och sammanfattning av incidentinformation från flera källor kräver fokus och detaljerad analys för att skapa en informationsrik rapport. Med Copilot i Defender kan säkerhetsteam nu omedelbart skapa en omfattande incidentrapport i portalen.

En incidentsammanfattning ger en översikt över en incident och hur den inträffade, men en incidentrapport konsoliderar incidentinformation från olika datakällor som är tillgängliga i Microsoft Sentinel och Defender XDR. Den Copilot-genererade incidentrapporten innehåller också alla analytikerdrivna steg och automatiserade åtgärder, de analytiker som är inblandade i incidenthantering och analytikernas kommentarer. Oavsett om säkerhetsteam använder Microsoft Sentinel, Defender XDR eller båda läggs alla relevanta incidentdata till i den genererade incidentrapporten.

Copilot genererar incidentrapporten baserat på de automatiska och manuella åtgärder som implementeras samt analytikernas kommentarer och anteckningar som publicerats i incidenten. Du kan granska och följa rekommendationer för att se till att Copilot skapar en omfattande incidentrapport.

Funktionen för generering av incidentrapporter i Microsoft Defender är tillgänglig via Copilot for Security-licensen. Den här funktionen är också tillgänglig i Copilot for Security fristående portal via Microsoft Defender XDR plugin-programmet.

Den här guiden visar data i incidentrapporter och innehåller steg för hur du kommer åt funktionen för att skapa incidentrapporter i Microsoft Defender-portalen. Den innehåller även information om hur du ger feedback om den genererade rapporten.

Incidentrapportinnehåll

Copilot i Defender skapar en incidentrapport som innehåller följande information:

• De viktigaste incidenthanteringsåtgärdernas tidsstämplar, inklusive:
  • Skapande och stängning av incidenter
  • Första och sista loggarna, oavsett om loggen var analytikerdriven eller automatiserad, som registrerats i incidenten
• Analytikerna som är inblandade i incidenthantering
• Incidentklassificering, inklusive analytikerns orsak till klassificeringen som Copilot sammanfattar
• Undersöknings- och reparationsåtgärder
• Följ upp åtgärder som rekommendationer, öppna problem eller nästa steg som noteras av analytikerna i incidentloggarna

Åtgärder som enhetsisolering, inaktivering av en användare och mjuk borttagning av e-postmeddelanden ingår i incidentrapporten. En fullständig lista över åtgärder som ingår i incidentrapporten finns i Åtgärdscenter. Incidentrapporten innehåller även Microsoft Sentinel-spelböcker som körts. Livesvarskommandon och svarsåtgärder som kommer från offentliga API-källor eller från anpassade identifieringar stöds ännu inte.

Vi rekommenderar att du löser incidenten för att visa alla åtgärder som har vidtagits. Incidenter som inte har lösts återspeglar delvis åtgärderna i incidentrapporten.

Skapa en incidentrapport

Utför följande steg för att skapa en incidentrapport med Copilot i Defender:

1. Öppna en incidentsida. På incidentsidan går du till ellipsen Fler åtgärder (...) och väljer sedan Generera incidentrapport. Alternativt kan du välja rapportikonen som finns på Copilot-sidopanelen.

   

2. Copilot skapar incidentrapporten. Du kan stoppa skapandet av rapporten genom att välja Avbryt och starta om skapandet av rapporten genom att välja Återskapa. Dessutom kan du starta om skapande av rapporter om du stöter på ett fel.

3. Incidentrapportkortet visas i Copilot-fönstret. Den genererade rapporten beror på vilken incidentinformation som är tillgänglig från Microsoft Defender XDR och Microsoft Sentinel. Se rekommendationerna för att säkerställa en omfattande incidentrapport.

   

   

4. Välj ellipsen Fler åtgärder (...) längst upp till höger på incidentrapportkortet. Kopiera rapporten genom att välja Kopiera till Urklipp och klistra in rapporten i önskat system, Publicera i aktivitetsloggen för att lägga till rapporten i aktivitetsloggen i Microsoft Defender-portalen eller Exportera incident som PDF för att exportera incidentdata till PDF. Välj Återskapa för att starta om skapandet av rapporten. Du kan också öppna i Copilot for Security för att visa resultaten och fortsätta att komma åt andra plugin-program som är tillgängliga i Copilot for Security fristående portalen.

   

5. Granska den genererade incidentrapporten. Du kan ge feedback om rapporten genom att välja feedbackikonen längst ned i resultatet .

Exportera incident till PDF

Du kan exportera incidentdata till PDF för att skapa en rapport som du enkelt kan dela med intressenter. Exporterade incidentdata innehåller relevant information som attackberättelsen, påverkade tillgångar, relevanta aviseringar och AI-genererat innehåll från Copilot, till exempel incidentsammanfattningen och incidentrapporten. Med den här funktionen kan säkerhetsteam snabbt exportera mer incidentinformation för diskussioner efter incident i gruppmedlemmar eller med andra intressenter.

Du kan följa stegen i exportera incidentdata till PDF för att generera PDF-filen.

Rekommendationer för att skapa incidentrapporter

Här följer några rekommendationer för att säkerställa att Copilot genererar en omfattande och fullständig incidentrapport:

• Klassificera och lösa incidenten innan du genererar incidentrapporten.
• Se till att du skriver och sparar kommentarer i Microsoft Sentinel-aktivitetsloggen eller i Microsoft Defender XDR incidentaktivitetslogg för att inkludera kommentarerna i incidentrapporten.
• Skriv kommentarer med omfattande och tydligt språk. Djupgående och tydliga kommentarer ger bättre kontext om svarsåtgärderna. Se följande steg för att veta hur du kommer åt kommentarsfältet:
  • Lägga till kommentarer till incidenter i Microsoft Defender-portalen
  • Lägga till kommentarer till incidenter i Microsoft Sentinel
• För ServiceNow-användare aktiverar du dubbelriktad synkronisering av Microsoft Sentinel och ServiceNow för att få mer robusta incidentdata.
• Kopiera den genererade incidentrapporten och publicera den i aktivitetsloggen i Microsoft Defender-portalen för att säkerställa att incidentrapporten sparas på incidentsidan.

Se även

• Kom igång med Microsoft Copilot for Security
• Lär dig mer om andra Copilot for Security inbäddade upplevelser
• Läs mer om förinstallerade plugin-program i Copilot for Security

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.