Microsoft Security Copilot in der erweiterten Bedrohungssuche
Gilt für:
- Microsoft Defender
- Microsoft Defender XDR
Security Copilot bei der erweiterten Suche
Microsoft Security Copilot in Microsoft Defender verfügt über eine Abfrage-Assistent-Funktion für die erweiterte Suche.
Bedrohungsjäger oder Sicherheitsanalysten, die noch nicht mit KQL vertraut sind oder noch nicht gelernt haben, können eine Anfrage stellen oder eine Frage in natürlicher Sprache stellen (für instance Rufen Sie alle Warnungen mit Benutzeradministrator123 ab). Security Copilot generiert dann eine KQL-Abfrage, die der Anforderung entspricht, mithilfe des Erweiterten Suchdatenschemas.
Dieses Feature reduziert die Zeit, die benötigt wird, um eine Bedrohungssuchabfrage von Grund auf neu zu schreiben, sodass Bedrohungssuchende und Sicherheitsanalysten sich auf die Suche und Untersuchung von Bedrohungen konzentrieren können.
Benutzer mit Zugriff auf Security Copilot haben Zugriff auf diese Funktion bei der erweiterten Suche.
Hinweis
Die erweiterte Suchfunktion ist auch in der Security Copilot eigenständigen Benutzeroberfläche über das Microsoft Defender XDR-Plug-In verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Security Copilot.
Probieren Sie Ihre erste Anforderung aus
Öffnen Sie über die Navigationsleiste in Microsoft Defender XDR die Seite Erweiterte Bedrohungssuche. Der Security Copilot Seitenbereich für die erweiterte Suche wird auf der rechten Seite angezeigt.
Sie können Copilot auch erneut öffnen, indem Sie oben im Abfrage-Editor Copilot auswählen.
Fragen Sie in der Copilot-Eingabeaufforderung jede Abfrage zur Bedrohungssuche, die Sie ausführen möchten, und drücken Sie die EINGABETASTE .
Copilot generiert eine KQL-Abfrage anhand Ihrer Textanweisung oder Frage. Während Copilot die Abfrage generiert, können Sie den Vorgang abbrechen, indem Sie Generieren beenden auswählen.
Überprüfen Sie die generierte Abfrage. Sie können die Abfrage anschließend ausführen, indem Sie Hinzufügen und ausführen auswählen.
Die generierte Abfrage wird dann als letzte Abfrage im Abfrage-Editor angezeigt und automatisch ausgeführt.
Wenn Sie weitere Optimierungen vornehmen müssen, wählen Sie Zum Editor hinzufügen aus.
Die generierte Abfrage wird im Abfrage-Editor als letzte Abfrage angezeigt. Dort können Sie sie bearbeiten, bevor sie über Abfrage ausführen über dem Abfrage-Editor regulär ausgeführt wird.
Sie können Feedback zur generierten Antwort geben, indem Sie auf das Feedbacksymbol Bestätigen, Zieloffen oder Potenziell schädlich auswählen.
Tipp
Feedback ist eine wichtige Möglichkeit, um das Security Copilot Team darüber zu informieren, wie gut die Abfrage Assistent beim Generieren einer nützlichen KQL-Abfrage helfen konnte. Erläutern Sie gerne, wie die Abfrage hätte verbessert werden können, welche Anpassungen Sie vor dem Ausführen der generierten KQL-Abfrage vornehmen mussten, oder übermitteln Sie die KQL-Abfrage, die Sie schließlich verwendet haben.
Hinweis
Im Portal für einheitliche Microsoft Defender können Sie Security Copilot auffordern, erweiterte Suchabfragen für Defender XDR- und Microsoft Sentinel-Tabellen zu generieren. Nicht alle Microsoft Sentinel Tabellen werden derzeit unterstützt, aber die Unterstützung für diese Tabellen kann in Zukunft erwartet werden.
Abfragesitzungen
Sie können Ihre erste Sitzung jederzeit starten, indem Sie in der erweiterten Bedrohungssuche im Copilot-Seitenbereich eine Frage stellen. Ihre Sitzung enthält die über Ihr Benutzerkonto erstellten Anforderungen. Wenn Sie den Seitenbereich schließen oder die Seite für die erweiterte Suche aktualisieren, wird die Sitzung nicht verworfen. Sie können weiterhin auf die generierten Abfragen zugreifen, wenn Sie sie benötigen.
Wählen Sie das Chatblasensymbol (Neuer Chat) aus, um die aktuelle Sitzung zu verwerfen.
Ändern von Einstellungen
Wählen Sie die Auslassungspunkte im Copilot-Seitenbereich aus, um festzulegen, ob die generierte Abfrage automatisch hinzugefügt und in der erweiterten Bedrohungssuche ausgeführt werden soll.
Wenn Sie die Generierte Abfrage automatisch ausführen deaktivieren, können Sie auswählen, ob die generierte Abfrage automatisch ausgeführt (Hinzufügen und ausführen) oder zur weiteren Änderung zum Abfrage-Editor hinzugefügt (Zum Editor hinzufügen) werden soll.