Freigeben über


Microsoft Security Copilot in der erweiterten Bedrohungssuche

Gilt für:

  • Microsoft Defender
  • Microsoft Defender XDR

Security Copilot bei der erweiterten Suche

Microsoft Security Copilot in Microsoft Defender verfügt über eine Abfrage-Assistent-Funktion für die erweiterte Suche.

Bedrohungsjäger oder Sicherheitsanalysten, die noch nicht mit KQL vertraut sind oder noch nicht gelernt haben, können eine Anfrage stellen oder eine Frage in natürlicher Sprache stellen (für instance Rufen Sie alle Warnungen mit Benutzeradministrator123 ab). Security Copilot generiert dann eine KQL-Abfrage, die der Anforderung entspricht, mithilfe des Erweiterten Suchdatenschemas.

Dieses Feature reduziert die Zeit, die benötigt wird, um eine Bedrohungssuchabfrage von Grund auf neu zu schreiben, sodass Bedrohungssuchende und Sicherheitsanalysten sich auf die Suche und Untersuchung von Bedrohungen konzentrieren können.

Benutzer mit Zugriff auf Security Copilot haben Zugriff auf diese Funktion bei der erweiterten Suche.

Hinweis

Die erweiterte Suchfunktion ist auch in der Security Copilot eigenständigen Benutzeroberfläche über das Microsoft Defender XDR-Plug-In verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Security Copilot.

Probieren Sie Ihre erste Anforderung aus

  1. Öffnen Sie über die Navigationsleiste in Microsoft Defender XDR die Seite Erweiterte Bedrohungssuche. Der Security Copilot Seitenbereich für die erweiterte Suche wird auf der rechten Seite angezeigt.

    Screenshot des Copilot-Bereichs in der erweiterten Bedrohungssuche.

    Sie können Copilot auch erneut öffnen, indem Sie oben im Abfrage-Editor Copilot auswählen.

  2. Fragen Sie in der Copilot-Eingabeaufforderung jede Abfrage zur Bedrohungssuche, die Sie ausführen möchten, und drücken Sie die EINGABETASTE .

    Screenshot: Eingabeaufforderungsleiste im Security Copilot für die erweiterte Suche

  3. Copilot generiert eine KQL-Abfrage anhand Ihrer Textanweisung oder Frage. Während Copilot die Abfrage generiert, können Sie den Vorgang abbrechen, indem Sie Generieren beenden auswählen.

    Screenshot: Security Copilot in der erweiterten Suche, die eine Antwort generiert.

  4. Überprüfen Sie die generierte Abfrage. Sie können die Abfrage anschließend ausführen, indem Sie Hinzufügen und ausführen auswählen.

    Screenshot der Copilot-Schaltfläche mit dem Text „Abfrage zum Abfrage-Editor hinzufügen und ausführen“

    Die generierte Abfrage wird dann als letzte Abfrage im Abfrage-Editor angezeigt und automatisch ausgeführt.

    Wenn Sie weitere Optimierungen vornehmen müssen, wählen Sie Zum Editor hinzufügen aus.

    Screenshot: Security Copilot in der erweiterten Suche mit der Option Zum Editor hinzufügen.

    Die generierte Abfrage wird im Abfrage-Editor als letzte Abfrage angezeigt. Dort können Sie sie bearbeiten, bevor sie über Abfrage ausführen über dem Abfrage-Editor regulär ausgeführt wird.

  5. Sie können Feedback zur generierten Antwort geben, indem Sie auf das Feedbacksymbol Screenshot des Feedbacksymbols klicken undBestätigen, Zieloffen oder Potenziell schädlich auswählen.

Tipp

Feedback ist eine wichtige Möglichkeit, um das Security Copilot Team darüber zu informieren, wie gut die Abfrage Assistent beim Generieren einer nützlichen KQL-Abfrage helfen konnte. Erläutern Sie gerne, wie die Abfrage hätte verbessert werden können, welche Anpassungen Sie vor dem Ausführen der generierten KQL-Abfrage vornehmen mussten, oder übermitteln Sie die KQL-Abfrage, die Sie schließlich verwendet haben.

Hinweis

Im Portal für einheitliche Microsoft Defender können Sie Security Copilot auffordern, erweiterte Suchabfragen für Defender XDR- und Microsoft Sentinel-Tabellen zu generieren. Nicht alle Microsoft Sentinel Tabellen werden derzeit unterstützt, aber die Unterstützung für diese Tabellen kann in Zukunft erwartet werden.

Abfragesitzungen

Sie können Ihre erste Sitzung jederzeit starten, indem Sie in der erweiterten Bedrohungssuche im Copilot-Seitenbereich eine Frage stellen. Ihre Sitzung enthält die über Ihr Benutzerkonto erstellten Anforderungen. Wenn Sie den Seitenbereich schließen oder die Seite für die erweiterte Suche aktualisieren, wird die Sitzung nicht verworfen. Sie können weiterhin auf die generierten Abfragen zugreifen, wenn Sie sie benötigen.

Wählen Sie das Chatblasensymbol (Neuer Chat) aus, um die aktuelle Sitzung zu verwerfen.

Screenshot: Security Copilot in der erweiterten Suche mit dem Symbol

Ändern von Einstellungen

Wählen Sie die Auslassungspunkte im Copilot-Seitenbereich aus, um festzulegen, ob die generierte Abfrage automatisch hinzugefügt und in der erweiterten Bedrohungssuche ausgeführt werden soll.

Screenshot: Security Copilot in der erweiterten Suche mit dem Symbol mit den Auslassungspunkten der Einstellungen.

Wenn Sie die Generierte Abfrage automatisch ausführen deaktivieren, können Sie auswählen, ob die generierte Abfrage automatisch ausgeführt (Hinzufügen und ausführen) oder zur weiteren Änderung zum Abfrage-Editor hinzugefügt (Zum Editor hinzufügen) werden soll.