Microsoft Defender XDR'de Copilot'ı açıklama

  • 10 dakika

Microsoft Security Copilot, güvenlik ekiplerinin olayları hızlı ve verimli bir şekilde araştırmasını ve yanıtlamasını, tehditleri avlamasını ve ilgili tehdit bilgileriyle kuruluşlarını korumasını sağlamak için Microsoft Defender portalına eklenmiştir.

Aşağıdaki kısa videoda Microsoft Defender'a eklenen Copilot özelliklerinden birkaçı ve güvenlik analistlerinin daha üretken olmasına nasıl yardımcı olabilecekleri gösterilmektedir.

Not

Microsoft Defender'a dahil edilen Copilot özellikleri listesi sürekli olarak artmaktadır. Bu ünitede "Copilot" özelliklerinden yalnızca bazı örnekler sağlanır. Daha fazla bilgi için Microsoft Defender Microsoft Security Copilot belgelerine bakın.

Ayrıca, istem yanıtları hakkında geri bildirim sağlama ve sorunsuz bir şekilde tek başına deneyime geçme gibi tüm bu özelliklerde ortak olan bazı seçenekler vardır.

Giriş ünitesinde açıklandığı gibi, tümleşik deneyimde Copilot, işleme verimliliği sağlayarak ürüne özgü özellikleri doğrudan çağırabiliyor. Bu Microsoft Security Copilot özelliklerine erişimi sağlamak için Microsoft Defender XDR eklentisinin etkinleştirilmesi gerekir ve bu tek başına deneyim aracılığıyla gerçekleştirilir. Daha fazla bilgi edinmek için, Microsoft Security Copilot'un tek başına deneyiminde sağlanan özellikleri açıklama bölümüne bakın.

Microsoft Defender XDR eklentisini vurgulayan Eklentileri yönet penceresinin ekran görüntüsü.

Olayları özetleme

Copilot, bir olayın sayfasına gittiğinizde otomatik olarak bir özet oluşturur ve saldırıyla ilgili neler olduğu, hangi varlıkların dahil olduğu, saldırının zaman çizelgesi, güvenlik açığı göstergeleri (ICS) ve söz konusu tehdit aktörlerinin adları gibi temel bilgileri içeren bir genel bakış sağlar. 100’e kadar uyarı içeren olaylar, tek bir olay özeti halinde toplanabilir.

Microsoft Defender XDR'de yer alan Security Copilot gömülü deneyiminin ekran görüntüsü, bir olay özetini gösterir.

Copilot ayrıca ilgili varlıkları ve nasıl davranabileceğinizi anlamanıza yardımcı olmak için ilgili kimlikler, cihazlar ve IP adresleri hakkında izleme istemleri önerir.

Yönlendirilmiş yanıtlar

Copilot bir olayı bağlamsal hale getirmek ve uygun yanıt eylemleri oluşturmak için önceki araştırmalardan bilgi edinmek için yapay zeka ve makine öğrenmesini kullanır. Rehberli yanıtlar aşağıdaki kategorilerdeki eylemleri önerir:

  • Önceliklendirme - olayları bilgilendirici, gerçek pozitif veya hatalı pozitif olarak sınıflandırmak için bir öneri içerir.
  • Kontrol Altına Alma - bir olayı sınırlamaya yönelik önerilen eylemleri içerir.
  • Araştırma - daha fazla araştırma için önerilen eylemleri içerir.
  • Düzeltme - bir olaya dahil olan belirli varlıklara uygulanacak önerilen yanıt eylemlerini içerir.

Kılavuzlu yanıtta yer alan bilgileri gösteren ekran görüntüsü.

Her kart, önerilen eylem hakkında, eylemin neden önerlendiği de dahil olmak üzere bilgi içerir. Yöneticiler, önerileri ortamlarına uyarlamak için kuruluşa özgü yanıt yönergelerini de karşıya yükleyebilir. Kimlik avı, iş e-posta ele geçirilmesi ve fidye yazılımı gibi olay türleri için yönlendirilmiş yanıtlar sağlanır.

Betik ve komut satırı analizi

Karmaşık saldırılar genellikle karartılmış betikler ve komut satırları kullanarak algılamadan kaçınıyor. Betik analizi özelliği, güvenlik ekiplerinin betikleri ve kodu dış araçları kullanmadan inceleyerek bir betiğin kötü amaçlı mı yoksa zararsız mı olduğunu hızla değerlendirmesine olanak tanır.

PowerShell betiğini analiz etme seçeneğini gösteren ekran görüntüsü.

Copilot, betiği analiz eder ve sonuçları; betiğin ne yaptığını, kötü amaçlı olup olmadığını ve hangi MITRE ATT&CK tekniklerini kullandığını düz bir dille açıklayan bir betik analiz kartında görüntüler. Kullanıcılar analizle ilgili belirli kod satırlarını görmek için Kodu göster'i seçebilir. Betik veya koddan oluşan bir zaman çizelgesi girişi için bir olay içindeki uyarı zaman çizelgesinde betik analizine erişebilirsiniz.

Betik analiziyle ilgili kod satırlarını gösteren ekran görüntüsü.

Not

Betik çözümlemesi işlevleri sürekli olarak geliştirilir. PowerShell, batch ve bash dışındaki dillerde betik analizi inceleniyor.

KQL sorguları oluşturma

Microsoft Defender'daki Copilot, doğal dil sorularını çalıştırmaya hazır KQL sorgularına dönüştüren gelişmiş avlanmada bir sorgu yardımcısı özelliği içerir. Bu özellik, tehdit avcılarının ve güvenlik analistlerinin tehdit avcılarına ve tehditleri araştırmaya odaklanmasını sağlayarak sıfırdan bir tehdit sorgusu yazma süresini kısaltır.

Doğal dil isteğinden oluşturulan KQL sorgusunu gösteren ekran görüntüsü.

Analistler istem çubuğunu kullanarak doğal dil kullanarak "Son 10 dakika içinde oturum açan tüm cihazları bana ver" gibi bir tehdit avcılığı sorgusu isteyebilir. Daha sonra oluşturulan sorgu otomatik olarak çalıştırılabilir, daha fazla ince ayar için sorgu düzenleyicisine eklenebilir veya başka bir yerde kullanılmak üzere kopyalanabilir.

Olay raporları oluşturma

Copilot, güvenlik ekiplerinin portalda anında kapsamlı bir olay raporu oluşturmasını sağlar. Olay özeti neler olduğuyla ilgili genel bir bakış sağlarken, olay raporu Microsoft Sentinel ve Microsoft Defender XDR'da bulunan çeşitli veri kaynaklarından olay bilgilerini birleştirir.

Olay raporu önemli yönetim eylemleri, ilgili analistler, analist yorumlarıyla olay sınıflandırması, araştırma ve düzeltme eylemleri (Microsoft Sentinel playbook'lar dahil olmak üzere el ile ve otomatikleştirilmiş) ve analistler tarafından belirtilen izleme eylemleri için zaman damgalarını içerir.

Oluşturulan olay raporunu ve üç noktayı seçerek kullanılabilen seçeneklerden oluşan açılan menüyü gösteren ekran görüntüsü.

Dosyaları analiz etme

Copilot, güvenlik ekiplerinin yapay zeka destekli dosya analizi özellikleri aracılığıyla kötü amaçlı ve şüpheli dosyaları hızla tanımlamasını sağlar. Analist bir dosya sayfasını açtığında, Copilot algılama bilgilerini, ilgili dosya sertifikalarını, API çağrılarının listesini ve dosyada bulunan dizeleri içeren bir özet oluşturabilir. Dosyalara bir olayın kanıt ve yanıt sekmesinden, olay grafiğinden veya arama özelliğinden erişilebilir.

Cihazları ve kimlikleri özetleme

Defender'daki Copilot, güvenlik ekiplerinin araştırma sırasında güvenlik duruşlarını hızla değerlendirmesine yardımcı olmak için cihazlar ve kimlikler için özetler oluşturabilir.

Device özetleri saldırı yüzeyini azaltma ve kurcalama koruması gibi koruma özelliklerinin durumu, olağan dışı kullanıcı etkinlikleri, güvenlik açığı bulunan yazılımların listesi, güvenlik duvarı ayarları ve ilgili Microsoft Intune bilgileriyle birlikte cihazın güvenlik duruşunu içerir.

Identity özetleri hesap oluşturma tarihi, kritiklik düzeyi, rol ve rol değişiklikleri, oturum açma davranışları ve desenleri, kimlik doğrulama yöntemleri, Microsoft Entra ID riskleri ve iletişim bilgileri gibi kullanıcı kimliğine bağlamsal bir genel bakış sağlar.

Tehdit bilgileri

Copilot, Microsoft Defender portalının tehdit bilgileri bölümüne eklenerek güvenlik ekiplerinin tehdit bilgileri verilerini birleştirerek ve özetleyerek bilinçli kararlar almalarına yardımcı olur. Copilot ortamınızı etkileyen ilgili tehditleri özetlemesini, kuruluşunuzun maruz kalma düzeylerine göre tehditlere öncelik vermesini veya sektörünüzü hedefleyebilecek tehdit aktörlerini bulmasını isteyebilirsiniz. Copilot, tehdit analizi raporlarının, intel profillerinin ve güvenlik açığı açıklamalarının özetlerini doğal dilde ortaya çıkarabilmek için Microsoft Defender Tehdit Analizi eklentisini kullanır.

Temel özellikler arasında ortak işlevsellik

Microsoft Defender için Copilot özellikleri arasında ortak olan bazı seçenekler vardır.

Geri bildirim sağlama

Tek başına deneyimde olduğu gibi, tümleşik deneyim de kullanıcılara yapay zeka tarafından oluşturulan yanıtın doğruluğu hakkında geri bildirim sağlamak için bir mekanizma sağlar. Yapay zeka tarafından oluşturulan tüm içerikler için, içerik penceresinin sağ alt kısmındaki geri bildirim istemini seçebilir ve kullanılabilir seçenekler arasından seçim yapabilirsiniz.

Yapay zeka tarafından oluşturulan içerik için geri bildirim simgesinin ve üç seçeneğin ekran görüntüsü. Seçenekler onaylanır, harika görünür, hedeften uzak, yanlış ve zararlı, uygunsuz olabilir.

Tek başına deneyime geçme

Defender portalında çalışmaya başlayan araştırmacılar, rolleri için etkinleştirilen tüm Copilot yeteneklerini kullanan, daha ayrıntılı ve farklı ürünleri kapsayan bir araştırma için bağımsız deneyime kolayca geçiş yapabilir. Tek başına deneyime geçmek için, oluşturulan içerik penceresindeki üç noktayı ve ardından Güvenlik Copilot'ta Aç'ı seçin.

Güvenlik Yardımcı Pilotu'nda açma seçeneğini gösteren ekran görüntüsü, yapay zeka tarafından oluşturulan içerik penceresindeki üç nokta seçilerek kullanılabilir.