Microsoft Defender'da Microsoft Copilot ile olay raporu oluşturma

  • Makale

Şunlar için geçerlidir:

  • Microsoft Defender XDR
  • Microsoft Defender birleşik güvenlik operasyonları merkezi (SOC) platformu

Microsoft Defender portalındaki Güvenlik için Microsoft Copilot, güvenlik operasyonları ekiplerinin verimli şekilde olay raporları yazmasına yardımcı olur. Güvenlik için Copilot'un yapay zeka destekli veri işleme özellikleri sayesinde güvenlik ekipleri, Microsoft Defender portalından tek bir düğmeye tıklayarak anında olay raporları oluşturabilir.

Kapsamlı ve net bir olay raporu, güvenlik ekipleri ve güvenlik operasyonu yönetimi için temel bir başvuru noktasıdır. Bununla birlikte, önemli ayrıntıları içerecek şekilde kapsamlı bir rapor yazmak, güvenlik operasyonları ekiplerinin çok fazla zamanını alabiliyor. Bilgi açısından zengin bir rapor oluşturmak için farklı kaynaklardan olayla ilgili bilgilerin toplanması, düzenlenmesi, özetlenmesi ve dikkatli bir şekilde ayrıntılı olarak analiz edilmesi gerekir. Defender’da Copilot ile güvenlik ekipleri artık portaldan anında kapsamlı olay raporları oluşturabilir.

Olay özeti olaya ve olayın nasıl gerçekleştiğine genel bir bakış atma imkanı sunarken, olay raporu Microsoft Sentinel ve Defender XDR'de bulunan çeşitli veri kaynaklarından gelen olay bilgilerini birleştirir. Copilot tarafından oluşturulan olay raporu ayrıca tüm analist kaynaklı adımları ve otomatik eylemleri, olay yanıtına dahil olan analistleri ve analistlerin açıklamalarını içerir. Güvenlik ekipleri ister Microsoft Sentinel’i kullanıyor olsun ister Defender XDR'yi (ya da her ikisini), olayla ilgili tüm veriler oluşturulan olay raporuna eklenir.

Copilot, otomatik ve el ile uygulanan eylemlerin yanı sıra analistlerin olaya eklediği yorum ve notları temel alan bir olay raporu oluşturur. Copilot'un kapsamlı bir olay raporu oluşturmasını sağlamaya yönelik önerileri inceleyip uygulayabilirsiniz.

Microsoft Defender'daki olay raporu oluşturma özelliği, Güvenlik için Copilot lisansıile kullanılabilir. Bu özellik, Microsoft Defender XDR eklentisi aracılığıyla tek başına sunulan Güvenlik için Copilot portalında da kullanılabilir.

Bu kılavuz, olay raporlarındaki verileri listeler ve Microsoft Defender portalındaki olay raporu oluşturma özelliğine erişme adımlarını içerir. Ayrıca, oluşturulan rapor hakkında nasıl geri bildirimde bulunabilecekleriyle ilgili bilgiler de içerir.

Olay raporunun içeriği

Defender’da Copilot, aşağıdaki bilgilerin yer aldığı bir olay raporu oluşturur:

  • Aşağıdakiler dahil olmak üzere ana olay yönetimi eylemlerinin zaman damgaları:
    • Olay oluşturma ve kapatma
    • Günlük ister analist kaynaklı ister otomatik olsun, ilk ve son günlükler olayda yakalanır
  • Olay yanıtına dahil olan analistler
  • Analistin tarafından belirtilen ve Copilot tarafından özetlenen gerekçe dahil olmak üzere olay sınıflandırması
  • Araştırma ve düzeltme eylemleri
  • Öneriler, açık sorunlar veya olay günlüklerinde analistler tarafından belirtilen sonraki adımlar gibi takip eylemleri

Cihaz yalıtımı, bir kullanıcıyı devre dışı bırakma ve e-postaların geçici olarak silinmesi gibi eylemler olay raporuna dahil edilir. Olay raporuna dahil edilen eylemlerin tam listesi için lütfen İşlem merkezi'ne bakın. Olay raporu, çalıştırılan Microsoft Sentinel akış planlarını da içerir. Genel API kaynaklarından veya özel algılamalardan gelen canlı yanıt komutları ve yanıt eylemleri henüz desteklenmiyor.

Gerçekleştirilen tüm eylemleri görüntülemek için olayı çözüme ulaştırmanızı öneririz. Çözülmeyen olaylar için olay raporuna eylemlerin yalnızca bir kısmı yansıtılır.

Olay raporu oluşturma

Defender’da Copilot ile olay raporu oluşturmak için aşağıdaki adımları uygulayın:

  1. Bir olay sayfası açın. Olay sayfasından üç nokta (...) ile gösterilen Diğer eylemler kısmına gidip Olay raporu oluştur'a tıklayın. Alternatif olarak Copilot yan bölmesinde bulunan rapor simgesini seçebilirsiniz.

    Olay sayfasındaki olay raporu ve rapor simgesi düğmelerinin vurgulandığı ekran görüntüsü.

  2. Copilot olay raporunu oluşturur. İptal'i seçerek rapor oluşturmayı durdurabilir ve Yeniden oluştur'u seçerek rapor oluşturmayı yeniden başlatabilirsiniz. Ayrıca bir hatayla karşılaşırsanız rapor oluşturmayı yeniden başlatabilirsiniz.

  3. Olay rapor kartı Copilot bölmesinde görünür. Oluşturulan rapor, Microsoft Defender XDR ve Microsoft Sentinel tarafından sunulan olay bilgilerine bağlıdır. Kapsamlı bir olay raporu sunmal için önerilere başvurun.

    Olay sayfasındaki olay rapor kartının üst yarısını gösteren ekran görüntüsü.

    Olay sayfasındaki olay rapor kartının alt kısmını gösteren ekran görüntüsü.

  4. Olay rapor kartının sağ üst kısmında bulunan üç nokta (...) şeklindeki Diğer eylemler simgesini seçin. Raporu kopyalamak için Panoya kopyala'yı seçerek raporu tercih ettiğiniz sisteme yapıştırabilir, Etkinlik günlüğüne gönder’i seçerek raporu Microsoft Defender portalındaki etkinlik günlüğüne ekleyebilir veya Olayı PDF olarak dışarı aktar’ı seçerek olay verilerini PDF'ye aktarabilirsiniz. Rapor oluşturmayı yeniden başlatmak için Yeniden oluştur'u seçin. Ayrıca Güvenlik için Copilot’ta aç’ı seçerek hem sonuçları görebilir hem de tek başına sunulan Güvenlik için Copilot portalındaki diğer eklentilere erişmeye devam edebilirsiniz.

    Olay raporu sonuç kartındaki ek eylemlerin ekran görüntüsü.

  5. Oluşturulan olay raporunu gözden geçirin. Sonuçlar sayfasının en altındaki geri bildirim simgesini Defender’da Copilot kartlarındaki geri bildirim simgesinin ekran görüntüsü seçerek raporla ilgili geri bildirim sağlayabilirsiniz.

Olayı PDF'ye aktarma

Olay verilerini PDF'ye aktararak paydaşlarla kolayca paylaşabileceğiniz bir rapor oluşturabilirsiniz. Dışarı aktarılan olay verilerinde saldırı hikayesi, etkilenen varlıklar ve ilgili uyarıların yanı sıra Copilot'tan olay özeti ve olay raporu gibi yapay zeka tarafından oluşturulmuş içerikler dahil olmak üzere konuyla ilgili bilgiler yer alır. Bu özellik sayesinde güvenlik ekipleri, olay sonrası ekip üyeleri veya diğer proje katılımcıları arasındaki tartışmalar için olayla ilgili daha fazla bilgiyi hızla dışarı aktarabilir.

PDF’yi oluşturmak için Olay verilerini PDF’ye aktarma bölümündeki adımları izleyebilirsiniz.

Olay raporu oluşturma önerileri

Copilot’un kapsamlı ve eksiksiz bir olay raporu oluşturduğundan emin olmak için göz önünde bulundurabileceğiniz bazı önerileri aşağıda bulabilirsiniz:

  • Olay raporunu oluşturmadan önce olayı sınıflandırın ve çözün.
  • Olay raporuna dahil etmek istediğiniz açıklamaları Microsoft Sentinel etkinlik günlüğüne veya Microsoft Defender XDR olay etkinlik günlüğüne yazıp kaydettiğinizden emin olun.
  • Kapsamlı ve net bir dil kullanarak açıklama yazın. Ayrıntılı ve net açıklamalar, yanıt eylemleri hakkında daha iyi bağlam sağlar. Açıklamalar alanına nasıl erişeceğinizi öğrenmek için aşağıdaki adımlara bakın:
  • ServiceNow kullanıcıları söz konusu olduğunda, daha güvenilir olay verileri almak için Microsoft Sentinel ve ServiceNow çift yönlü eşitlemesini etkinleştirin.
  • Olay raporunun olay sayfasına kaydedildiğinden emin olmak için oluşturulan olay raporunu kopyalayıp Microsoft Defender portalındaki etkinlik günlüğüne gönderin.

Ayrıca bkz.

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.