Créer un rapport d'incident avec Microsoft Copilot dans Microsoft Defender

Microsoft Security Copilot dans le portail Microsoft Defender aide les équipes des opérations de sécurité à rédiger efficacement des rapports d’incident. En utilisant le traitement des données basé sur l’IA de Security Copilot, les équipes de sécurité peuvent créer immédiatement des rapports d’incident en un clic sur un bouton dans le portail Microsoft Defender.

Ce guide répertorie les données des rapports d’incidents et contient des étapes pour accéder à la fonctionnalité de création de rapports d’incident dans le portail Microsoft Defender. Il inclut également des informations sur la façon de fournir des commentaires sur le rapport généré.

Bon à savoir avant de commencer

Si vous débutez avec Security Copilot, vous devez vous y familiariser en lisant les articles suivants :

Un rapport d’incident complet et clair est une référence essentielle pour les équipes de sécurité et la gestion des opérations de sécurité. Toutefois, l’écriture d’un rapport complet avec les détails importants présents peut être une tâche fastidieuse pour les équipes des opérations de sécurité. La collecte, l’organisation et la synthèse des informations sur les incidents à partir de plusieurs sources nécessitent une analyse précise et détaillée pour créer un rapport riche en informations. Avec Copilot dans Defender, les équipes de sécurité peuvent désormais créer instantanément un rapport d’incident complet dans le portail.

Alors qu’un résumé d’incident fournit une vue d’ensemble d’un incident et de la façon dont il s’est produit, un rapport d’incident regroupe les informations sur les incidents à partir de différentes sources de données disponibles dans Microsoft Sentinel et Defender XDR. Le rapport d’incident généré par Copilot inclut également toutes les étapes et actions automatisées pilotées par les analystes, les analystes impliqués dans la réponse aux incidents et les commentaires des analystes. Que les équipes de sécurité utilisent Microsoft Sentinel, Defender XDR ou les deux, toutes les données d’incident pertinentes sont ajoutées au rapport d’incident généré.

Copilot génère le rapport d’incident en fonction des actions automatiques et manuelles implémentées, ainsi que des commentaires et notes des analystes publiés dans l’incident. Vous pouvez consulter et suivre les recommandations pour vous assurer que Copilot crée un rapport d’incident complet.

intégration Security Copilot dans Microsoft Defender

La fonctionnalité de génération de rapports d’incident dans Microsoft Defender est disponible pour les clients qui disposent d’un accès provisionné à Security Copilot.

Cette fonctionnalité est également disponible dans le portail autonome Security Copilot via le plug-in Microsoft Defender XDR. En savoir plus sur les plug-ins préinstallés dans Security Copilot.

Principales fonctionnalités

Copilot dans Defender crée un rapport d’incident contenant les informations suivantes :

  • Les horodatages des principales actions de gestion des incidents, notamment :
    • Création et fermeture d’incidents
    • Premier et dernier journaux, que le journal soit piloté par les analystes ou automatisé, capturés dans l’incident
  • Les analystes impliqués dans la réponse aux incidents
  • Classification des incidents, y compris la raison de la classification de l’analyste que Copilot résume
  • Actions d’investigation et de remédiation
  • Suivre les actions telles que les recommandations, les problèmes ouverts ou les étapes suivantes notées par les analystes dans les journaux des incidents

Des actions telles que l’isolation de l’appareil, la désactivation d’un utilisateur et la suppression réversible des e-mails sont incluses dans le rapport d’incident. Pour obtenir la liste complète des actions incluses dans le rapport d’incident, consultez le Centre de notifications. Le rapport d’incident inclut également les playbooks Microsoft Sentinel exécutés. Les commandes de réponse en direct et les actions de réponse provenant de sources d’API publiques ou de détections personnalisées ne sont pas encore prises en charge.

Nous vous recommandons de résoudre l’incident pour afficher toutes les actions qui ont été effectuées. Les incidents qui ne sont pas résolus reflètent partiellement les actions du rapport d’incident.

Créer un rapport d’incident

Pour créer un rapport d’incident avec Copilot dans Defender, procédez comme suit :

  1. Ouvrez une page d’incident. Dans la page de l’incident, accédez aux points de suspension Autres actions (...) , puis sélectionnez Générer un rapport d’incident. Vous pouvez également sélectionner l’icône de rapport qui se trouve dans le panneau latéral de Copilot.

    Capture d’écran mettant en évidence les boutons du rapport d’incident généré et de l’icône de rapport dans la page d’incident.

  2. Copilot crée le rapport d’incident. Vous pouvez arrêter la création du résumé en sélectionnant Annuler ou redémarrer la création en sélectionnant Régénérer. En outre, vous pouvez redémarrer la création du rapport si vous rencontrez une erreur.

  3. La carte de rapport d’incident s’affiche dans le volet Copilot. Le rapport généré dépend des informations d’incident disponibles à partir de Microsoft Defender XDR et de Microsoft Sentinel. Reportez-vous aux recommandations pour garantir un rapport d’incident complet.

    Capture d’écran de la carte de rapport d’incident dans la page d’incident montrant la moitié supérieure de la carte.

    Capture d'écran de la fiche de rapport d'incident dans la page d'incident montrant le bas de la fiche.

  4. Sélectionnez les points de suspension Autres actions (...) situés en haut à droite de la carte de rapport d’incident. Pour copier le rapport, sélectionnez Copier dans le Presse-papiers et collez le rapport dans votre système préféré, Publier dans le journal d’activité pour ajouter le rapport au journal d’activité dans le portail Microsoft Defender ou Exporter l’incident au format PDF pour exporter les données d’incident au format PDF. Sélectionnez Régénérer pour redémarrer la création du rapport. Vous pouvez également ouvrir dans Security Copilot pour afficher les résultats et continuer à accéder aux autres plug-ins disponibles dans le portail autonome Security Copilot.

    Capture d’écran d’actions supplémentaires dans la carte des résultats du rapport d’incident.

  5. Examinez le rapport généré. Vous pouvez fournir des commentaires sur le rapport en sélectionnant l’icône de commentaires située au bas des résultats Capture d’écran de l’icône de commentaires pour Copilot dans les cartes Defender.

Exporter les données d’incident au format PDF

Vous pouvez exporter les données d’incident au format PDF pour créer un rapport que vous pouvez facilement partager avec les parties prenantes. Les données d’incident exportées contiennent des informations pertinentes telles que l’histoire des attaques, les ressources impactées, les alertes pertinentes et le contenu généré par l’IA de Copilot, comme le résumé de l’incident et le rapport d’incident. Avec cette fonctionnalité, les équipes de sécurité peuvent rapidement exporter plus d’informations sur les incidents pour les discussions post-incident au sein des membres de l’équipe ou avec d’autres parties prenantes.

Vous pouvez suivre les étapes décrites dans Exporter des données d’incident au format PDF pour générer le fichier PDF.

Recommandations pour la création de rapports d’incident

Voici quelques recommandations à prendre en compte pour s’assurer que Copilot génère un rapport d’incident complet et complet :

  • Classifiez et résolvez l’incident avant de générer le rapport d’incident.
  • Veillez à écrire et à enregistrer des commentaires dans le journal d’activité Microsoft Sentinel ou dans le journal d’activité des incidents Microsoft Defender XDR pour inclure les commentaires dans le rapport d’incident.
  • Écrire des commentaires en utilisant un langage complet et clair. Les commentaires détaillés et clairs fournissent un meilleur contexte sur les actions de réponse. Pour savoir comment accéder au champ commentaires, procédez comme suit :
  • Pour les utilisateurs de ServiceNow, activez la synchronisation bidirectionnelle Microsoft Sentinel et ServiceNow pour obtenir des données d’incident plus robustes.
  • Copiez le rapport d’incident généré et publiez-le dans le journal d’activité dans le portail Microsoft Defender pour vous assurer que le rapport d’incident est enregistré dans la page de l’incident.

Exemple d’invite pour la création d’un rapport d’incident

Dans le portail autonome Security Copilot, vous pouvez utiliser l’invite suivante pour créer le rapport d’incident :

  • Générez le rapport d’incident pour l’incident Defender {ID d’incident}.

Conseil

Lors de la génération de rapports d’incident dans le portail Security Copilot, Microsoft recommande d’inclure le mot Defender dans vos invites pour vous assurer que la fonctionnalité de création de rapports d’incident fournit les résultats.

Envoyer des commentaires

Microsoft vous encourage vivement à fournir des commentaires à Copilot, car il est essentiel pour l’amélioration continue d’une fonctionnalité. Pour fournir des commentaires, accédez au bas du panneau latéral Copilot et sélectionnez l’icône de commentaires Capture d’écran de l’icône de commentaires pour Copilot dans les cartes Defender.

Voir aussi

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.