Microsoft Security Copilot i avanceret jagt på trusler
Gælder for:
- Microsoft Defender
- Microsoft Defender XDR
Security Copilot i avanceret jagt på trusler
Microsoft Security Copilot i Microsoft Defender leveres med en funktionalitet som forespørgselsassistent i avanceret jagt.
Trusselsjægere eller sikkerhedsanalytikere, der endnu ikke er bekendt med eller endnu ikke har lært KQL, kan foretage en anmodning eller stille et spørgsmål på et naturligt sprog (f.eks. Få alle beskeder, der involverer brugeradministrator123). Security Copilot genererer derefter en KQL-forespørgsel, der svarer til anmodningen, ved hjælp af dataskemaet for avanceret jagt på trusler.
Denne funktion reducerer den tid, det tager at skrive en jagtforespørgsel fra bunden, så trusselsjægere og sikkerhedsanalytikere kan fokusere på jagt og undersøgelse af trusler.
Brugere med adgang til Security Copilot har adgang til denne funktion i avanceret jagt på trusler.
Bemærk!
Den avancerede jagtfunktion er også tilgængelig i den separate Security Copilot-oplevelse via Microsoft Defender XDR-plug-in'et. Få mere at vide om forudinstallerede plug-ins i Security Copilot.
Prøv din første anmodning
Åbn siden avanceret jagt på trusler på navigationslinjen i Microsoft Defender XDR. Security Copilot sideruden til avanceret jagt på trusler vises i højre side.
Du kan også åbne Copilot igen ved at vælge Copilot øverst i forespørgselseditoren.
På promptlinjen Copilot skal du spørge en hvilken som helst forespørgsel om trusselsjagt, som du vil køre, og trykke på
eller Enter .
Copilot genererer en KQL-forespørgsel ud fra din tekstinstruktion eller dit spørgsmål. Mens Copilot genererer, kan du annullere oprettelsen af forespørgslen ved at vælge Annuller.
Gennemse den genererede forespørgsel. Du kan derefter vælge at køre forespørgslen ved at vælge Tilføj og kør.
Den genererede forespørgsel vises derefter som den sidste forespørgsel i forespørgselseditoren og kører automatisk.
Hvis du har brug for at foretage yderligere ændringer, skal du vælge Føj til editor.
Den genererede forespørgsel vises i forespørgselseditoren som den sidste forespørgsel, hvor du kan redigere den, før den køres ved hjælp af den almindelige Kør-forespørgsel over forespørgselseditoren.
Du kan give feedback om det genererede svar ved at vælge feedbackikonet
vælge Bekræft, På vej væk fra målet eller Potentielt skadeligt.
Tip
At give feedback er en vigtig måde at fortælle Security Copilot team, hvor godt forespørgselsassistenten var i stand til at hjælpe med at generere en nyttig KQL-forespørgsel. Du er velkommen til at formulere, hvad der kunne have gjort forespørgslen bedre, hvilke justeringer du skulle foretage, før du kørte den genererede KQL-forespørgsel, eller del KQL-forespørgslen, du til sidst brugte.
Bemærk!
På unified Microsoft Defender-portalen kan du bede Security Copilot om at generere avancerede jagtforespørgsler for både Defender XDR og Microsoft Sentinel tabeller. Ikke alle Microsoft Sentinel tabeller understøttes i øjeblikket, men understøttelse af disse tabeller kan forventes i fremtiden.
Forespørgselssessioner
Du kan starte din første session når som helst ved at stille et spørgsmål i Copilot-sideruden i avanceret jagt på trusler. Din session indeholder de anmodninger, du har foretaget ved hjælp af din brugerkonto. Hvis du lukker sideruden eller opdaterer den avancerede jagtside, kasseres sessionen ikke. Du kan stadig få adgang til de genererede forespørgsler, hvis du har brug for dem.
Vælg chatbobleikonet (Ny chat) for at kassere den aktuelle session.
Rediger indstillinger
Vælg ellipserne i Copilot-sideruden for at vælge, om den genererede forespørgsel automatisk skal tilføjes og køres i avanceret jagt på trusler.
Hvis du fravælger indstillingen Kør genereret forespørgsel automatisk, kan du køre den genererede forespørgsel automatisk (Tilføj og kør) eller føje den genererede forespørgsel til forespørgselseditoren med henblik på yderligere ændring (Føj til editor).