Criar um relatório de incidentes com o Microsoft Copilot no Microsoft Defender

O Microsoft Copilot para Segurança no portal do Microsoft Defender auxilia as equipes de operações de segurança a escrever relatórios de incidentes com eficiência. Utilizando o Copilot para Segurança para o processamento de dados baseado em IA, as equipes de segurança podem criar imediatamente relatórios de incidentes com um clique de um botão no portal do Microsoft Defender.

Esse guia lista os dados em relatórios de incidentes e contém etapas sobre como acessar a funcionalidade de criação de relatório de incidentes no portal do Microsoft Defender. Ele também inclui informações sobre como fornecer comentários sobre o relatório gerado.

Antes de começar

Se não estiver familiarizado com o Copilot for Security, deverá familiarizar-se com o mesmo ao ler os seguintes artigos:

• O que é o Copilot for Security?
• Copilot da Segurança da Microsoft para experiências
• Comece a usar o Copilot da Segurança da Microsoft
• Compreender a autenticação no Copilot for Security
• Solicitando Copilot da Segurança da Microsoft

Um relatório de incidentes abrangente e claro é uma referência essencial para equipes de segurança e para o gerenciamento de operações de segurança. Porém, escrever um relatório abrangente com os detalhes importantes presentes pode ser uma tarefa demorada para as equipes de operações de segurança. Coletar, organizar e resumir informações sobre incidentes de várias fontes requer foco e uma análise detalhada para criar um relatório com informações avançadas. Com o Copilot no Defender, agora as equipes de segurança podem criar instantaneamente um relatório de incidentes abrangente no portal.

Ainda que um resumo do incidente forneça uma visão geral de um incidente e como ele aconteceu, um relatório de incidentes consolida as informações sobre o incidente de várias fontes de dados disponíveis no Microsoft Sentinel e no Defender XDR. O relatório de incidentes gerado pelo Copilot também inclui todas as etapas orientadas por analistas e ações automatizadas, além dos analistas envolvidos na resposta a incidentes e seus comentários. Se as equipes de segurança estiverem usando o Microsoft Sentinel, o Defender XDR ou ambos, todos os dados relevantes do incidente serão adicionados ao relatório de incidentes gerado.

O Copilot gera o relatório de incidentes com base nas ações automáticas e manuais implementadas e também nos comentários e anotações dos analistas postadas no incidente. Você pode examinar e seguir as recomendações para garantir que o Copilot crie um relatório de incidentes abrangente.

Copilot for Security integration in Microsoft Defender

A capacidade de geração de relatórios de incidentes no Microsoft Defender está disponível para clientes que tenham aprovisionado acesso ao Copilot for Security.

Esse recurso também está disponível no portal autônomo do Copilot para Segurança por meio do plug-in do Microsoft Defender XDR. Saiba mais sobre os plug-ins pré-instalados no Copilot para Segurança.

Principais recursos

O Copilot no Defender cria um relatório de incidentes que contém as seguintes informações:

• Os carimbos de data/hora das principais ações do gerenciamento de incidentes, incluindo:
  • Criação e encerramento de incidentes
  • Primeiro e último logs, se o log foi controlado por analistas ou automatizado, capturado no incidente
• Os analistas envolvidos na resposta a incidentes
• Classificação de incidentes, incluindo o motivo do analista para a classificação que o Copilot resume
• Investigação e ações corretivas
• Acompanhar ações como recomendações, problemas abertos ou próximas etapas descritas pelos analistas nos logs de incidentes

No relatório de incidentes, são incluídas ações como isolamento de dispositivo, desabilitação de um usuário e exclusão reversível de emails. Para obter uma lista completa das ações incluídas no relatório de incidentes, consulte a Central de ações. O relatório de incidentes também inclui guias estratégicos do Microsoft Sentinel executados. Ainda não há suporte para comandos de Resposta Imediata e ações de resposta provenientes de fontes de API públicas ou de detecções personalizadas.

É recomendável resolver o incidente para exibir todas as ações que foram executadas. Os incidentes não resolvidos refletirão parcialmente as ações no relatório de incidentes.

Criar um relatório de incidentes

Para criar um relatório de incidentes com o Copilot no Defender, execute as seguintes etapas:

1. Abra uma página de incidentes. Na página de incidentes, navegue até as reticências (...) de mais ações e selecione Gerar relatório de incidentes. Como alternativa, você pode selecionar o ícone de relatório encontrado no painel lateral do Copilot.

   

2. O Copilot cria o relatório de incidentes. Você pode interromper a criação do relatório selecionando Cancelar e reiniciar a criação do relatório selecionando Gerar novamente. Além disso, você poderá reiniciar a criação do relatório caso encontre um erro.

3. O cartão do relatório de incidentes aparece no painel do Copilot. O relatório gerado depende das informações sobre os incidentes disponíveis no Microsoft Defender XDR e no Microsoft Sentinel. Consulte as recomendações para garantir a obtenção de um relatório de incidentes abrangente.

   

   

4. Selecione as reticências (...) de mais ações localizadas no canto superior direito do cartão de relatório de incidentes. Para copiar o relatório, selecione Copiar para a área de transferência e cole o relatório em seu sistema preferido, Postar no log de atividades para adicionar o relatório ao log de atividades no portal do Microsoft Defender ou Exportar incidente como PDF para exportar os dados do incidente para PDF. Selecione Gerar novamente para reiniciar a criação do relatório. Você também pode Abrir no Copilot para Segurança para exibir os resultados e continuar acessando outros plugins disponíveis no portal autônomo do Copilot para Segurança.

   

5. Analise o relatório de incidentes gerado. Você pode fornecer comentários sobre o relatório selecionando o ícone de comentários localizado na parte inferior do painel do Copilot .

Exportar dados de incidentes para PDF

Você pode exportar os dados de incidentes para PDF para criar um relatório que pode ser compartilhado facilmente com as partes interessadas. Os dados de incidente exportados contêm informações relevantes, como a história do ataque, os ativos afetados, os alertas relevantes e o conteúdo gerado por IA do Copilot, como o resumo do incidente e o relatório de incidentes. Com essa funcionalidade, as equipes de segurança podem exportar rapidamente mais informações sobre incidentes para discussões pós-incidentes entre os membros da equipe ou com outras partes interessadas.

Você pode seguir as etapas de exportar dados de incidentes para PDF para gerar o PDF.

Recomendações para a criação do relatório de incidentes

Aqui estão algumas recomendações a serem levadas em consideração para garantir que o Copilot gere um relatório de incidentes completo e abrangente:

• Classifique e resolva o incidente antes de gerar o relatório de incidentes.
• Lembre-se de escrever e salvar comentários no log de atividades do Microsoft Sentinel ou no log de atividades de incidentes do Microsoft Defender XDR para incluir os comentários no relatório de incidentes.
• Escreva comentários usando uma linguagem abrangente e clara. Comentários detalhados e claros fornecem um contexto melhor sobre as ações de resposta. Confira as etapas a seguir para saber como acessar o campo de comentários:
  • Adicionar comentários a incidentes no portal do Microsoft Defender
  • Adicionar comentários a incidentes no Microsoft Sentinel
• Para usuários do ServiceNow, habilite a sincronização bidirecional do Microsoft Sentinel e do ServiceNow para obter dados mais robustos sobre os incidentes.
• Copie o relatório de incidentes gerado e poste-o no log de atividades no portal do Microsoft Defender para garantir que o relatório de incidentes seja salvo na página de incidentes.

Pedido de exemplo para a criação de relatórios de incidentes

No portal autónomo Copilot for Security, pode utilizar o seguinte pedido para criar o relatório de incidentes:

• Gere o relatório de incidente para o incidente do Defender {incident ID}.

Faça comentários

A Microsoft incentiva-o vivamente a fornecer feedback à Copilot, uma vez que é crucial para a melhoria contínua de uma capacidade. Para fornecer feedback, navegue para a parte inferior do painel lateral copilot e selecione o ícone .

Confira também

• Saiba mais sobre outras experiências inseridas no Copilot para Segurança
• Privacidade e segurança de dados no Copilot for Security