Aracılığıyla paylaş

Microsoft Sentinel ile Güvenlik Yardımcı Pilotu

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel, Security Copilot, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Security Copilot, kuruluşunuzu makine hızı ve ölçeğinde savunmanıza yardımcı olan bir platformdur. Microsoft Sentinel'in geniş güvenlik verileri, olayları analiz etmeye ve avlanma sorguları oluşturmaya yardımcı olmak için Copilot için mükemmel bir kaynak sağlar.

Microsoft Sentinel olaylarınız ve verileriniz, etkinleştirdiğiniz diğer Güvenlik Copilot kaynaklarıyla birlikte tehditlere ve bunların kuruluşunuza yönelik bağlamlarına yönelik daha geniş görünürlük sağlar.

Başlamadan önce bilmeniz gerekenler

Security Copilot'ta yeniyseniz, şu makaleleri okuyarak bu özelliği tanımanız gerekir:

Microsoft Sentinel ile Güvenlik Copilot tümleştirmesi

Bu tümleştirme öncelikle üzerinden https://securitycopilot.microsoft.comerişilen tek başına deneyimi destekler. Burada olayları özetlemek ve güvenlik verileriniz hakkında başka yanıtlar almak için sohbet benzeri bir deneyimle etkileşim kurarsınız. Daha fazla bilgi için bkz . Microsoft Güvenlik Copilot deneyimleri.

Önemli özellikler

Microsoft Sentinel verileri, Güvenlik Yardımcı Pilotu ile iki şekilde tümleşir.

  • Microsoft'un birleşik güvenlik operasyonları platformunda, Microsoft Defender XDR'deki Copilot, Microsoft Sentinel ile tümleşik birleşik olaylardan yararlanır.
  • Tek başına deneyimde Microsoft Sentinel, Security Copilot ile tümleştirmek için iki eklenti sağlar:
    Microsoft Sentinel (Önizleme)
    Microsoft Sentinel için KQL'e doğal dil (Önizleme).

Önemli

"Microsoft Sentinel" ve "Microsoft Sentinel için Doğal Dilden KQL'ye" eklentileri şu anda ÖNİzLEME aşamasındadır. Azure Önizleme Ek Koşulları, beta, önizleme aşamasında olan veya henüz genel kullanıma sunulmamış Azure özellikleri için geçerli olan ek yasal koşulları içerir.

Microsoft Sentinel ile Güvenlik Copilot tümleştirmesini etkinleştirme

Microsoft Sentinel ile Güvenlik Copilot tümleştirmenizi en üst düzeye çıkarmak için aşağıdakileri yapın:

  • Güvenlik Copilot için varsayılan bir Microsoft Sentinel çalışma alanı yapılandırma
  • Microsoft Sentinel çalışma alanınızı Microsoft Defender XDR'ye bağlama

Varsayılan Microsoft Sentinel çalışma alanını yapılandırma

Microsoft Sentinel çalışma alanını varsayılan olarak yapılandırarak istem doğruluğunuzu artırın.

  1. adresinde Güvenlik Copilot'a https://securitycopilot.microsoft.com/gidin.

  2. İstem çubuğunda Kaynaklar'u açın.

  3. Eklentileri yönet sayfasında iki durumlu düğmeyi Açık olarak ayarlayın

  4. Microsoft Sentinel (Önizleme) eklentisindeki dişli simgesini seçin.

    Microsoft Sentinel eklentisi için kişiselleştirme seçimi dişli simgesinin ekran görüntüsü.

  5. Varsayılan çalışma alanı adını yapılandırın.

    Microsoft Sentinel eklentisi için eklenti kişiselleştirme seçeneklerinin ekran görüntüsü.

İpucu

Yapılandırılan varsayılan değerle eşleşmediğinde isteminizde çalışma alanını belirtin.

Örnek: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?

Microsoft Sentinel'i Defender'da Copilot ile tümleştirme

Ekli Güvenlik Copilot deneyimi için Microsoft Sentinel verilerinizle Microsoft Defender portalını kullanın. Microsoft Sentinel'in Microsoft Defender XDR birleşik olaylarına akan benzersiz veri kaynakları, Defender'da Copilot'un özelliklerini en üst düzeye çıkarmasına olanak tanır.

Örneğin:

  • SAP (Önizleme) çözümü, Microsoft Sentinel için çalışma alanınıza yüklenir.
  • Neredeyse gerçek zamanlı SAP - (Önizleme) Kötü Amaçlı IP Adresinden İndirilen Dosya bir uyarı tetikler ve bir Microsoft Sentinel olayı oluşturur.
  • Microsoft Sentinel, Defender portalına eklendi.
  • Microsoft Sentinel olayları artık Defender XDR olaylarıyla birleştirildi.
  • Olay özeti, kılavuzlu yanıtlar ve olay raporları için Microsoft Defender'da Copilot kullanın.

Copilot ekli deneyimiyle Defender portalından Microsoft Sentinel olayının ekran görüntüsü.

Daha fazla bilgi edinmek için aşağıdaki kaynaklara bakın:

Gelişmiş avlanmada Microsoft Sentinel'i Güvenlik Copilot ile tümleştirme

Microsoft Sentinel için KQL'e Doğal dil (Önizleme) eklentisi, Microsoft Sentinel verilerini kullanarak KQL avcılığı sorguları oluşturur ve çalıştırır. Bu özellik, tek başına deneyimde ve Microsoft Defender portalının gelişmiş avlanma bölümünde kullanılabilir.

Not

Birleşik Microsoft Defender portalında, Güvenlik Yardımcı Pilotu'na hem Defender XDR hem de Microsoft Sentinel tabloları için gelişmiş tehdit avcılığı sorguları oluşturmasını isteyebilirsiniz. Şu anda tüm Microsoft Sentinel tabloları desteklenmemekte.

Daha fazla bilgi için bkz . Gelişmiş avcılıkta Güvenlik Copilot.

Örnek Microsoft Sentinel istemleri

Etkili istemler oluşturmak için başlangıç noktası olarak Microsoft Sentinel olay araştırma promptbook'unu göz önünde bulundurun. Bu promptbook, ilgili uyarılar, saygınlık puanları, kullanıcılar ve cihazlarla birlikte belirli bir olayla ilgili bir rapor sunar.

Rehber İstem
Nesne kimlikleriyle yanıt vermek yerine okunabilir bilgiler sağlamak için Copilot'ı sınayın. Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created.
Copilot kim olduğunu biliyor. Sizinle ilgili olayları bulmak için "ben" zamirini kullanın. Aşağıdaki istem size atanan olayları hedefler. What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top.
Bir istem yanıtını tek bir olaya daralttığınızda Copilot bağlamı bilir. Tell me about the entities associated with that incident.
Copilot özetlemede iyidir. İstemlerin ve yanıtların özetlanmasını istediğiniz belirli bir hedef kitleyi açıklayın. Write an executive report summarizing this investigation. It should be suited for a nontechnical audience.

Daha fazla bilgi istemi kılavuzu ve örnekleri için aşağıdaki kaynaklara bakın:

Geri bildirimde bulunun

Geri bildiriminiz, ürünün güncel ve planlı gelişimine yol göstermek için çok önemlidir. Bu geri bildirimi sağlamanın en iyi yolu doğrudan üründedir. Tamamlanan her istemin en altında Bu yanıt nasıl? öğesini seçin ve aşağıdaki seçeneklerden birini belirleyin:

  • Doğru görünüyor - Değerlendirmenize göre sonuçların doğru olup olmadığını seçin.
  • İyileştirme gerekiyor - Değerlendirmenize göre sonuçlardaki herhangi bir ayrıntının yanlış mı yoksa eksik mi olduğunu seçin.
  • Uygunsuz - Sonuçların sorgulanabilir, belirsiz veya zararlı olabilecek bilgiler içerip içermediğini seçin.

Her geri bildirim seçeneği için, görüntülenen sonraki iletişim kutusunda daha fazla bilgi sağlayabilirsiniz. Mümkün olduğunda ve özellikle sonuç geliştirme gerekiyor olduğunda, sonucu geliştirmek için neler yapilabileceğini açıklayan birkaç sözcük yazın. Azure Güvenlik Duvarı özgü istemler girdiyseniz ve sonuçlar ilişkili değilse bu bilgileri ekleyin.

Güvenlik Copilot’ta gizlilik ve veri güvenliği

Security Copilot'ın istemlerinizi ve hizmetten alınan verileri (istem çıkışı) nasıl işlediğini anlamak için bkz . Microsoft Security Copilot'ta gizlilik ve veri güvenliği.