Del via

Microsoft Security Copilot i avanceret jagt på trusler

  • Artikel
  • Gælder for:
    Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Gælder for:

  • Microsoft Defender
  • Microsoft Defender XDR

Security Copilot i avanceret jagt på trusler

Microsoft Security Copilot i Microsoft Defender leveres med en funktionalitet som forespørgselsassistent i avanceret jagt.

Trusselsjægere eller sikkerhedsanalytikere, der endnu ikke er bekendt med eller endnu ikke har lært Kusto-forespørgselssprog (KQL), kan foretage en anmodning eller stille et spørgsmål på et naturligt sprog (f.eks. Få alle beskeder, der involverer brugeradministrator123). Security Copilot genererer derefter en KQL-forespørgsel, der svarer til anmodningen, ved hjælp af dataskemaet for avanceret jagt på trusler.

Denne funktion reducerer den tid, det tager at skrive en jagtforespørgsel fra bunden, så trusselsjægere og sikkerhedsanalytikere kan fokusere på jagt og undersøgelse af trusler.

Brugere med adgang til Security Copilot har adgang til denne funktion i avanceret jagt på trusler.

Bemærk!

Den avancerede jagtfunktion er også tilgængelig i den separate Security Copilot-oplevelse via Microsoft Defender XDR-plug-in'et. Få mere at vide om forudinstallerede plug-ins i Security Copilot.

Prøv din første anmodning

  1. Åbn siden Avanceret jagt på navigationslinjen i Microsoft Defender XDR. Security Copilot sideruden til avanceret jagt på trusler vises i højre side.

    Skærmbillede af ruden Copilot i avanceret jagt på trusler.

    Du kan også åbne Copilot igen ved at vælge Copilot øverst i forespørgselseditoren.

  2. I promptlinjen Copilot skal du spørge alle trusselsjagtforespørgsler, som du vil køre, og trykke på eller Enter.

    Skærmbillede, der viser promptlinjen i Security Copilot til avanceret jagt.

  3. Copilot genererer en KQL-forespørgsel ud fra din tekstinstruktion eller dit spørgsmål. Mens Copilot genererer, kan du annullere oprettelsen af forespørgslen ved at vælge Annuller.

    Skærmbillede af Security Copilot i avanceret jagt på trusler, der genererer et svar.

  4. Gennemse den genererede forespørgsel. Hvis du vil kontrollere, hvordan Copilot kom frem med forespørgslen, kan du vælge Se den logik, der ligger bag forespørgslen under forespørgselsteksten, for at udvide forklaringen bag forespørgslen. Vælg den igen for at minimere.

    Skærmbillede af knappen Copilot, der viser Se den logik, der er bag forespørgslen.

    Du kan derefter vælge at køre forespørgslen ved at vælge Kør forespørgsel.

    Skærmbillede af knappen Copilot, der viser indstillingen Kør forespørgsel.

    Den genererede forespørgsel vises derefter som den sidste forespørgsel i forespørgselseditoren og kører automatisk.

    Hvis du har brug for at foretage yderligere ændringer, skal du vælge Føj til editor.

    Skærmbillede af Security Copilot i avanceret jagt på trusler, der viser indstillingen Føj til editor.

    Den genererede forespørgsel vises i forespørgselseditoren som den sidste forespørgsel, hvor du kan redigere den, før den køres ved hjælp af den almindelige Kør-forespørgsel over forespørgselseditoren.

  5. Du kan give feedback om det genererede svar ved at vælge feedbackikonet Skærmbillede af feedbackikonet. Og vælge Ser rigtigt ud, Skal forbedres eller Upassende.

Tip

At give feedback er en vigtig måde at fortælle Security Copilot team, hvor godt forespørgselsassistenten var i stand til at hjælpe med at generere en nyttig KQL-forespørgsel. Du er velkommen til at formulere, hvad der kan gøre forespørgslen bedre, hvilke justeringer du skulle foretage, før du kørte den genererede KQL-forespørgsel, eller del den KQL-forespørgsel, du til sidst brugte.

Bemærk!

unified Microsoft Defender-portalen kan du bede Security Copilot om at generere avancerede jagtforespørgsler for både Defender XDR og Microsoft Sentinel tabeller. Ikke alle Microsoft Sentinel tabeller understøttes i øjeblikket, men understøttelse af disse tabeller kan forventes i fremtiden.

Forespørgselssessioner

Du kan starte din første session når som helst ved at stille et spørgsmål i Copilot-sideruden i avanceret jagt på trusler. Din session indeholder de anmodninger, du har foretaget ved hjælp af din brugerkonto. Hvis du lukker sideruden eller opdaterer den avancerede jagtside, kasseres sessionen ikke. Du kan stadig få adgang til de genererede forespørgsler, hvis du har brug for dem.

Vælg chatbobleikonet (Ny chat) for at kassere den aktuelle session.

Skærmbillede af Security Copilot i avanceret jagt, der viser det nye chatikon.

Forespørgsels forklaringer

Rediger indstillinger

Vælg ellipserne i Copilot-sideruden for at vælge, om den genererede forespørgsel automatisk skal tilføjes og køres i avanceret jagt på trusler.

Skærmbillede af Security Copilot i avanceret jagt, der viser ellipseikonet for indstillinger.

Hvis du fravælger indstillingen Kør genereret forespørgsel automatisk, kan du køre den genererede forespørgsel automatisk (Tilføj og kør) eller føje den genererede forespørgsel til forespørgselseditoren med henblik på yderligere ændring (Føj til editor).