Aracılığıyla paylaş

Microsoft Defender Tehdit Analizi'da Microsoft Security Copilot

  • Makale

Önemli

30 Haziran 2024'te Microsoft Defender Tehdit Analizi (Defender TI) tek başına portalı (https://ti.defender.microsoft.com) kullanımdan kaldırıldı ve artık erişilebilir değil. Müşteriler, Microsoft Defender portalında veya Microsoft Security Copilot ile Defender TI kullanmaya devam edebilir. Daha fazla bilgi edinin

Microsoft Security Copilot, doğal dil yardımcı pilotu deneyimi sağlayan bulut tabanlı bir yapay zeka platformudur. Güvenlik uzmanlarını olay yanıtı, tehdit avcılığı ve istihbarat toplama gibi farklı senaryolarda desteklemeye yardımcı olabilir. Yapabilecekleri hakkında daha fazla bilgi için bkz. Microsoft Security Copilot nedir?.

Security Copilot müşteriler, kimliği doğrulanmış Copilot kullanıcılarının her biri için Microsoft Defender Tehdit Analizi (Defender TI) erişimi kazanır. Copilot'a erişiminiz olduğundan emin olmak için Security Copilot satın alma ve lisanslama bilgilerine bakın.

Security Copilot erişiminiz olduğunda, bu makalede açıklanan temel özelliklere Security Copilot portalından veya Microsoft Defender portalından erişilebilir hale gelir.

Başlamadan önce bilmeniz gerekenler

Security Copilot yeniyseniz, şu makaleleri okuyarak bu makaleyi tanımanız gerekir:

Defender TI'de Security Copilot tümleştirmesi

Security Copilot tehdit aktörleri, güvenlik açığı göstergeleri (ICS), araçlar ve güvenlik açıklarının yanı sıra Defender TI'dan gelen bağlamsal tehdit bilgileri hakkında bilgi sağlar. Olayları araştırmak, tehdit analizi bilgileriyle avlanma akışlarınızı zenginleştirmek ya da kuruluşunuzdaki veya dünyadaki tehdit ortamı hakkında daha fazla bilgi edinmek için istemleri ve istem defterlerini kullanabilirsiniz.

  • İstemleriniz konusunda açık ve net olun. İstemlerinize belirli tehdit aktörü adlarını veya IOC’leri eklerseniz daha iyi sonuçlar elde edebilirsiniz. İsteminize tehdit analizi eklemeniz de yardımcı olabilir, örneğin:

    • Aqua Blizzard için tehdit analizi verilerini göster.
    • "malicious.com" için tehdit analizi verilerini özetle.

  • Bir olaya başvuruda bulunurken açık olun (örneğin, "olay kimliği 15324").

  • Kullanım örneğine en uygun olanı görmek için farklı istemler ve çeşitlemelerle denemeler yapın. Sohbet yapay zekası modelleri farklılık gösterdiğinden, aldığınız sonuçlara göre istemlerinizi yineleyin ve geliştirin.

  • Copilot, istem oturumlarınızı kaydeder. Önceki oturumları görmek için Security Copilot Giriş menüsündeOturumlarım'a gidin.

    Oturumlarım'ın vurgulandığı Microsoft Security Copilot Giriş menüsünü gösteren ekran görüntüsü.

    Not

    Raptiye ve paylaşma özelliği de dahil olmak üzere Copilot'ta izlenecek yol için bkz. Microsoft Security Copilot gezinme.

Etkili istemler oluşturma hakkında daha fazla bilgi edinin

Önemli özellikler

Security Copilot, güvenlik ekiplerinin tehdit bilgileri bilgilerini hemen anlamasına, önceliklendirmelerine ve bunlarla ilgili eylem gerçekleştirmelerine olanak tanır.

Bir tehdit aktörü, saldırı kampanyası veya hakkında daha fazla bilgi edinmek istediğiniz diğer tehdit analizleri hakkında soru sorabilirsiniz ve Copilot, tehdit analizi raporlarına, analiz profillerine, makalelerine ve diğer Defender TI içeriğine göre yanıtlar oluşturur.

Aşağıdaki eylemleri gerçekleştirmek için Defender portalında bulunan yerleşik istemlerden herhangi birini de seçebilirsiniz:

  • Kuruluşunuzla ilgili en son tehditleri özetleme
  • Ortamınızın bu tehditlere en yüksek maruz kalma düzeyine göre, odaklanacak tehditlerin önceliklerini belirleme
  • İletişim altyapısı sektörünü hedefleyen tehdit aktörlerini sorun

Tehdit analizi için Defender'da Copilot kullanma hakkında daha fazla bilgi edinin

Defender TI'de Security Copilot tümleştirmesini açma

  1. Microsoft Güvenlik Copilot'una gidin ve kimlik bilgilerinizle oturum açın.

  2. Microsoft Threat Intelligence eklentisinin açık olduğundan emin olun. İstem çubuğunda Kaynaklar simgesini seçin Kaynaklar simgesinin ekran görüntüsü..

    kaynaklar simgesinin vurgulandığı Microsoft Security Copilot istemi çubuğunun ekran görüntüsü.

    Görüntülenen Kaynakları yönet açılır penceresinde, Eklentiler'in altında Microsoft Tehdit Bilgileri iki durumlu düğmesinin açık olduğunu onaylayın ve ardından pencereyi kapatın.

    Microsoft Threat Intelligence eklentisinin vurgulandığı Eklentileri yönet açılır penceresinin ekran görüntüsü.

    Not

    Bazı roller, Microsoft Threat Intelligence gibi eklentiler için iki durumlu düğmeyi açabilir veya kapatabilir. Daha fazla bilgi için Microsoft Security Copilot eklentileri yönetme makalesini okuyun.

  3. İstem çubuğuna isteminizi girin.

Yerleşik sistem özellikleri

Security Copilot, açık olan farklı eklentilerden veri alabilen yerleşik sistem özelliklerine sahiptir.

Defender TI’ın yerleşik sistem özelliklerinin listesini görüntülemek için:

  1. İstem çubuğunda İstemler simgesini seçin İstemler çubuğunun ekran görüntüsü..

    Microsoft Security Copilot'da İstemler simgesinin vurgulandığı istem çubuğunun ekran görüntüsü.

  2. Tüm sistem özelliklerini gör'e tıklayın. Microsoft Tehdit Bilgileri bölümünde, Defender TI için kullanabileceğiniz tüm kullanılabilir özellikler listelenir.

Copilot yine Defender TI'dan bilgi sağlayan aşağıdaki istem defterlerine de sahiptir:

  • Dış tehdit makalesinin etkisini denetleme – İlgili ICS'leri ayıklamak, zekayı özetlemek ve tehditlerin kuruluşunuza olası etkisini değerlendirebilmeniz için tehdit avcılığı sorguları oluşturmak için bir dış veya üçüncü taraf (Defender TI'da yayımlanmaz) makalesini analiz eder.
  • Tehdit aktörü profili – Bilinen bir tehdit aktörü profili oluşturan, ortak araçlarına ve taktiklerine karşı savunma önerileri de dahil olmak üzere bir rapor oluşturur.
  • MDTI makalesini temel alan Tehdit Bilgileri 360 raporu – İlgili GÇ'leri ayıklamak, zekayı özetlemek ve makalede bildirilen tehdidin kuruluşunuza olası etkisini değerlendirebilmeniz için avcılık sorguları oluşturmak için Bir Defender TI makalesini analiz eder.
  • Güvenlik açığı etki değerlendirmesi – Bilinen bir güvenlik açığının zekasını özetleyen ve bununla ilgili adımlar da dahil olmak üzere bir rapor oluşturur.

Bu istem defterlerini görüntülemek için, istem çubuğunda İstemler simgesini ve sonra da Tüm istem defterlerini görüntüle’yi seçin.

Örnek Defender TI istemleri

Defender TI'dan bilgi almak için birçok istem kullanabilirsiniz. Bu bölümde bazı fikirler ve örnekler listelenmektedir.

Tehdit makalelerinden ve tehdit aktörlerinden tehdit analizi alın.

Örnek istemler:

  • Son tehdit analizini özetle.
  • En son tehdit makalelerini göster.
  • Son altı ayın fidye yazılımıyla ilgili tehdit makalelerini edinin.

Tehdit aktörü eşlemesi ve altyapısı

Tehdit aktörleri ve bunlarla ilişkili taktikler, teknikler ve yordamlar (TTP’ler), sponsorlu durumlar, sektörler ve IOC'ler hakkında bilgi edinin.

Örnek istemler:

  • Silk Typhoon hakkında daha fazla bilgi ver.
  • Silk Typhoon ile ilişkilendirilmiş IOC’leri paylaş.
  • Silk Typhoon ile ilişkilendirilmiş TTP’leri paylaş.
  • Rusya ile ilişkilendirilmiş tehdit aktörlerini paylaş.

CVE’ye göre güvenlik açığı verileri

Defender TI makalelerinden, tehdit analizi raporlarından ve Microsoft Defender Güvenlik Açığı YönetimiveMicrosoft Defender Harici Saldırı Yüzeyi Yönetimi.

Örnek istemler:

  • CVE-2021-44228 güvenlik açığına duyarlı teknolojileri paylaşın.
  • CVE-2021-44228 güvenlik açığını özetle.
  • En son CVE'leri göster.
  • CVE-2021-44228 ile ilişkilendirilmiş tehdit aktörlerini göster.
  • CVE-2021-44228 ile ilişkilendirilmiş tehdit makalelerini göster.

Tehdit bilgileriyle ilgili gösterge verileri

Defender TI'de kullanılabilir olan saygınlık puanları, WHOIS bilgileri, etki alanı adı sistemi (DNS), konak çiftleri ve sertifikalar gibi çok sayıda veri kümesine dayalı olarak bir gösterge (örneğin, IP adresleri, etki alanları ve dosya karmaları) hakkında ayrıntılı bilgi edinin.

Örnek istemler:

  • Etki alanı< adı> hakkında ne söyleyebilirsiniz?
  • Etki alanı adıyla<> ilgili göstergeleri göster.
  • Etki alanı adı> için< tüm çözümleri göster.
  • Etki alanı adıyla> ilgili konak çiftlerini< göster.
  • <konak adı> konağının itibarını göster.
  • IP adresi IP adresi<> için tüm çözümleri göster.
  • AÇıK hizmetleri <IP adresinde> göster.

Geri bildirim gönderin

Security Copilot'deki Defender TI tümleştirmesiyle ilgili geri bildiriminiz geliştirme konusunda yardımcı olur. Geri bildirim sağlamak için Copilot'ta Bu yanıt nasıl? öğesini seçin. Tamamlanan her istemin en altında aşağıdaki seçeneklerden birini belirleyin:

  • Doğru görünüyor - Değerlendirmenize göre sonuçlar doğruysa bu düğmeyi seçin.
  • Geliştirilmesi gerekiyor - Değerlendirmenize bağlı olarak sonuçlardaki herhangi bir ayrıntı yanlış veya eksikse bu düğmeyi seçin.
  • Uygun değil - Sonuçlar sorgulanabilir, belirsiz veya zararlı olabilecek bilgiler içeriyorsa bu düğmeyi seçin.

Her geri bildirim düğmesi için, görüntülenen sonraki iletişim kutusunda daha fazla bilgi sağlayabilirsiniz. Mümkün olduğunda ve sonuç Geliştirilmesi Gerekiyor olduğunda, sonucu geliştirmek için neler yapılabilmesi gerektiğini birkaç sözcükle açıklayın. Defender TI’a özgü istemler girdiyseniz ve sonuçlar bununla ile ilgili değilse bu bilgileri ekleyin.

Güvenlik Copilot’ta gizlilik ve veri güvenliği

Defender TI verilerini almak için Security Copilot ile etkileşime geçtiğinde, Copilot bu verileri Defender TI'dan çeker. İstemler, alınan veriler ve istem sonuçlarında gösterilen çıkış işlenir ve Copilot hizmetinde depolanır. Microsoft Security Copilot'de gizlilik ve veri güvenliği hakkında daha fazla bilgi edinin

Ayrıca bkz.