Crear un informe de incidentes con Microsoft Copilot en Microsoft Defender

Microsoft Copilot para seguridad en el portal de Microsoft Defender ayuda a los equipos de operaciones de seguridad a escribir informes de incidentes de forma eficaz. Al usar el procesamiento de datos con tecnología de inteligencia artificial de Copilot para seguridad, los equipos de seguridad pueden crear inmediatamente informes de incidentes con un clic en un botón en el portal de Microsoft Defender.

En esta guía se enumeran los datos de los informes de incidentes y se indican los pasos para acceder a la funcionalidad de creación de informes de incidentes en el portal de Microsoft Defender. También incluye información sobre cómo proporcionar comentarios sobre el informe generado.

Saber antes de empezar

Si no está familiarizado con Copilot for Security, debe familiarizarse con él leyendo los artículos siguientes:

Un informe de incidentes completo y claro es una referencia esencial para los equipos de seguridad y la administración de operaciones de seguridad. Sin embargo, escribir un informe completo con los detalles importantes presentes puede ser una tarea que requiere mucho tiempo para los equipos de operaciones de seguridad. La recopilación, organización y resumen de la información de incidentes de varios orígenes requiere un enfoque y un análisis detallado para crear un informe con información completa. Con Copilot en Defender, los equipos de seguridad ahora pueden crear al instante un informe de incidentes completo en el portal.

Aunque un resumen de incidentes proporciona información general sobre un incidente y cómo se produjo, un informe de incidentes consolida la información de incidentes de varios orígenes de datos disponibles en Microsoft Sentinel y Defender XDR. El informe de incidentes generado por Copilot también incluye todos los pasos controlados por analistas y acciones automatizadas, los analistas implicados en la respuesta a incidentes y los comentarios de los analistas. Tanto si los equipos de seguridad usan Microsoft Sentinel, Defender XDR o ambos, todos los datos de incidentes pertinentes se agregan al informe de incidentes generado.

Copilot genera el informe de incidentes basándose en las acciones automáticas y manuales implementadas, y los comentarios y notas de los analistas publicados en el incidente. Puede revisar y seguir las recomendaciones para asegurarse de que Copilot crea un informe de incidentes completo.

Integración de Copilot for Security en Microsoft Defender

La funcionalidad de generación de informes de incidentes en Microsoft Defender está disponible para los clientes que han aprovisionado el acceso a Copilot for Security.

Esta funcionalidad también está disponible en el portal independiente de Copilot para seguridad a través del complemento de Microsoft Defender XDR. Más información sobre Complementos preinstalados en Copilot para seguridad.

Características principales

Copilot en Defender crea un informe de incidentes que contiene la siguiente información:

  • Las marcas de tiempo de las principales acciones de administración de incidentes, incluidas las siguientes:
    • Creación y cierre del incidente
    • Primer y último registro, si el registro estaba controlado por analistas o estaba automatizado, capturado en el incidente
  • Los analistas implicados en la respuesta a incidentes
  • Clasificación del incidente, incluido el motivo del analista para la clasificación que Copilot resume
  • Acciones de investigación y corrección
  • Acciones de seguimiento como recomendaciones, problemas abiertos o pasos siguientes indicados por los analistas en los registros de incidentes

En el informe de incidentes se incluyen acciones como el aislamiento de dispositivos, la deshabilitación de un usuario y la eliminación temporal de correos electrónicos. Para obtener una lista completa de las acciones incluidas en el informe de incidentes, consulte el Centro de actividades. El informe de incidentes también incluye Cuadernos de estrategias de Microsoft Sentinel ejecutados. Aún no se admiten comandos de respuesta inmediata ni acciones de respuesta procedentes de orígenes de API públicos o de detecciones personalizadas.

Se recomienda resolver el incidente para ver todas las acciones que se han realizado. Los incidentes que no se resuelven reflejarán parcialmente las acciones en el informe de incidentes.

Crear un informe de incidentes

Para crear un informe de incidentes con Copilot en Defender, siga estos pasos:

  1. Abra una página de incidente. En la página del incidente, vaya a los puntos suspensivos Más acciones (...) y, a continuación, seleccione Generar informe de incidentes. Como alternativa, puede seleccionar el icono de informe que se encuentra en el panel lateral de Copilot.

    Captura de pantalla en la que se resaltan los botones de icono de informe e informe de incidentes generado en la página del incidente.

  2. Copilot crea el informe de incidentes. Puede detener la creación del informe seleccionando Cancelar y reiniciar la creación del informe seleccionando Regenerar. Además, puede reiniciar la creación de informes si se produce un error.

  3. La tarjeta del informe de incidentes aparece en el panel de Copilot. El informe generado depende de la información del incidente disponible de Microsoft Defender XDR y Microsoft Sentinel. Consulte las recomendaciones para garantizar un informe de incidentes completo.

    Captura de pantalla de la tarjeta de informe de incidentes en la página del incidente que muestra la mitad superior de la tarjeta.

    Captura de pantalla de la tarjeta de informe de incidentes en la página del incidente que muestra la mitad inferior de la tarjeta.

  4. Seleccione los puntos suspensivos de Más acciones (...) ubicados en la esquina superior derecha de la tarjeta de informe de incidentes. Para copiar el informe, seleccione Copiar en el Portapapeles y péguelo en el sistema que prefiera, Publicar en el registro de actividad para agregar el informe al registro de actividad en el portal de Microsoft Defender o Exportar incidente como PDF para exportar los datos del incidente a PDF. Seleccione Regenerar para reiniciar la creación de informes. También puede Abrir en Copilot para seguridad para ver los resultados y seguir accediendo a otros complementos disponibles en el portal independiente de Copilot para seguridad.

    Captura de pantalla de las acciones adicionales en la tarjeta de resultados del informe de incidentes.

  5. Revise el informe de incidentes generado. Puede proporcionar comentarios sobre el informe seleccionando el icono de comentarios que se encuentra en la parte inferior de los resultados Captura de pantalla del icono de comentarios de Copilot en las tarjetas de Defender.

Exportación de datos de incidentes a PDF

Puede exportar los datos del incidente a PDF para crear un informe que pueda compartir fácilmente con las partes interesadas. Los datos de incidentes exportados contienen información relevante, como el caso de ataque, los recursos afectados, las alertas pertinentes y el contenido generado por inteligencia artificial de Copilot, como el resumen de incidentes y el informe de incidentes. Con esta funcionalidad, los equipos de seguridad pueden exportar rápidamente más información sobre los incidentes para discusiones posteriores al incidente con los miembros del equipo o con otras partes interesadas.

Puede seguir los pasos de exportación de datos de incidentes a PDF para generar el PDF.

Recomendaciones para la creación de informes de incidentes

Estas son algunas recomendaciones que se deben tener en cuenta para asegurarse de que Copilot genera un informe de incidentes completo:

Solicitud de ejemplo para la creación de informes de incidentes

En el portal independiente de Copilot for Security, puede usar el siguiente mensaje para crear el informe de incidentes:

  • Genere el informe de incidentes para el incidente de Defender {id. de incidente}.

Sugerencia

Al generar informes de incidentes en el portal de Copilot for Security, Microsoft recomienda incluir la palabra Defender en los mensajes para asegurarse de que la funcionalidad de creación del informe de incidentes proporciona los resultados.

Enviar comentarios

Microsoft le anima encarecidamente a proporcionar comentarios a Copilot, ya que es fundamental para la mejora continua de una funcionalidad. Para proporcionar comentarios, vaya a la parte inferior del panel lateral de Copilot y seleccione el icono de comentarios Captura de pantalla del icono de comentarios de Copilot en las tarjetas de Defender.

Vea también

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.