Compartir a través de

Seguridad de Copilot de Microsoft en la búsqueda avanzada de amenazas

  • Artículo
  • Se aplica a:
    Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Se aplica a:

  • Microsoft Defender
  • Microsoft Defender XDR

Seguridad de Copilot en la búsqueda avanzada de amenazas

Microsoft Security Copilot en Microsoft Defender incluye una funcionalidad de asistente de consulta en la búsqueda avanzada.

Los cazadores de amenazas o analistas de seguridad que aún no están familiarizados con el lenguaje de consulta Kusto (KQL) o que aún no están familiarizados con él pueden realizar una solicitud o formular una pregunta en lenguaje natural (por ejemplo, Obtener todas las alertas relacionadas con el administrador de usuarios123). A continuación, Seguridad de Copilot genera una consulta KQL que corresponde a la solicitud utilizando el esquema de datos de búsqueda avanzada de amenazas.

Esta característica reduce el tiempo que se tarda en escribir una consulta de búsqueda desde cero para que los buscadores de amenazas y los analistas de seguridad puedan centrarse en la búsqueda e investigación de amenazas.

Los usuarios con acceso a Seguridad de Copilot tienen acceso a esta funcionalidad en la búsqueda avanzada de amenazas.

Nota:

La funcionalidad de búsqueda avanzada también está disponible en la experiencia Security Copilot independiente a través del complemento Microsoft Defender XDR. Más información sobre los complementos preinstalados en Security Copilot.

Pruebe su primera solicitud

  1. Abra la página Búsqueda avanzada en la barra de navegación de Microsoft Defender XDR. El panel lateral de Copilot de seguridad para la búsqueda avanzada de amenaza aparece en el lado derecho.

    Captura de pantalla del panel de Copilot en búsqueda avanzada.

    También puede volver a abrir Copilot seleccionando Copilot en la parte superior del editor de consultas.

  2. En la barra de avisos de Copilot, pregunte a cualquier consulta de búsqueda de amenazas que quiera ejecutar y presione o Entrar.

    Captura de pantalla que muestra la barra de mensajes en el Security Copilot para la búsqueda avanzada.

  3. Copilot genera una consulta KQL a partir de la instrucción de texto o la pregunta. Mientras Copilot genera, puede cancelar la generación de consultas seleccionando Dejar de generar.

    Captura de pantalla de Security Copilot en la búsqueda avanzada que genera una respuesta.

  4. Revise la consulta generada. Para comprobar cómo copilot se presentó con la consulta, puede seleccionar Ver la lógica detrás de la consulta debajo del texto de la consulta para expandir la explicación detrás de la consulta. Selecciónelo de nuevo para minimizarlo.

    Captura de pantalla del botón Copilot que muestra Ver la lógica detrás de la consulta.

    A continuación, puede elegir ejecutar la consulta seleccionando Ejecutar consulta.

    Captura de pantalla del botón Copilot que muestra la opción Ejecutar consulta.

    La consulta generada aparece entonces como la última consulta en el editor de consultas y se ejecuta de forma automática.

    Si necesita realizar más ajustes, seleccione Agregar al editor.

    Captura de pantalla de Security Copilot en la búsqueda avanzada que muestra la opción Agregar al editor.

    La consulta generada aparece en el editor de consultas como la última consulta, donde puede editarla antes de ejecutarla mediante la Consulta normal ejecutar situada encima del editor de consultas.

  5. Para proporcionar comentarios sobre la respuesta generada, seleccione el icono de comentarios Captura de pantalla del icono de comentarios y elija Apariencia correcta, Mejora de las necesidades o Inapropiada.

Sugerencia

Proporcionar comentarios es una manera importante de que el equipo de Security Copilot sepa lo bien que la consulta asistente pudo ayudar a generar una consulta KQL útil. No dude en articular lo que podría mejorar la consulta, los ajustes que tenía que realizar antes de ejecutar la consulta KQL generada o compartir la consulta KQL que finalmente usó.

Nota:

En el portal de Microsoft Defender unificado, puede solicitar a Security Copilot que genere consultas de búsqueda avanzada para las tablas Defender XDR y Microsoft Sentinel. Actualmente no se admiten todas las tablas Microsoft Sentinel, pero se puede esperar compatibilidad con estas tablas en el futuro.

Sesiones de consulta

Puede iniciar su primera sesión en cualquier momento haciendo una pregunta en el panel lateral de Copilot en la búsqueda avanzada. La sesión contiene las solicitudes realizadas con su cuenta de usuario. Cerrar el panel lateral o actualizar la página de búsqueda avanzada no descarta la sesión. Puede seguir teniendo acceso a las consultas generadas si las necesita.

Seleccione el icono de burbuja de chat (Nuevo chat) para descartar la sesión actual.

Captura de pantalla de Security Copilot en búsqueda avanzada que muestra el nuevo icono de chat.

Explicaciones de consultas

Modificar configuración

Seleccione los puntos suspensivos en el panel lateral de Copilot para elegir si desea agregar y ejecutar automáticamente la consulta generada en la búsqueda avanzada.

Captura de pantalla de Security Copilot en la búsqueda avanzada que muestra el icono de puntos suspensivos de configuración.

Al anular la selección de la configuración Ejecutar consulta generada automáticamente, se ofrece la opción de ejecutar la consulta generada automáticamente (Agregar y ejecutar) o agregar la consulta generada al editor de consultas para su posterior modificación (Agregar al editor).