Compartir a través de

Seguridad de Copilot de Microsoft en la búsqueda avanzada de amenazas

  • Artículo
  • Se aplica a:
    Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Se aplica a:

  • Microsoft Defender
  • Microsoft Defender XDR

Seguridad de Copilot en la búsqueda avanzada de amenazas

Microsoft Security Copilot en Microsoft Defender incluye una funcionalidad de asistente de consulta en la búsqueda avanzada.

Los cazadores de amenazas o los analistas de seguridad que aún no están familiarizados con KQL o que aún no tienen conocimiento de ello pueden realizar una solicitud o formular una pregunta en lenguaje natural (por ejemplo, Obtener todas las alertas que implican al usuario admin123). A continuación, Seguridad de Copilot genera una consulta KQL que corresponde a la solicitud utilizando el esquema de datos de búsqueda avanzada de amenazas.

Esta característica reduce el tiempo que se tarda en escribir una consulta de búsqueda desde cero para que los buscadores de amenazas y los analistas de seguridad puedan centrarse en la búsqueda e investigación de amenazas.

Los usuarios con acceso a Seguridad de Copilot tienen acceso a esta funcionalidad en la búsqueda avanzada de amenazas.

Nota:

La funcionalidad de búsqueda avanzada también está disponible en la experiencia Security Copilot independiente a través del complemento Microsoft Defender XDR. Más información sobre los complementos preinstalados en Security Copilot.

Pruebe su primera solicitud

  1. Abra la página de Búsqueda avanzada desde la barra de navegación en Microsoft Defender XDR. El panel lateral de Copilot de seguridad para la búsqueda avanzada de amenaza aparece en el lado derecho.

    Captura de pantalla del panel de Copilot en búsqueda avanzada.

    También puede volver a abrir Copilot seleccionando Copilot en la parte superior del editor de consultas.

  2. En la barra de avisos de Copilot, pregunte a cualquier consulta de búsqueda de amenazas que quiera ejecutar y presione o escriba .

    Captura de pantalla que muestra la barra de mensajes en el Security Copilot para la búsqueda avanzada.

  3. Copilot genera una consulta KQL a partir de la instrucción de texto o la pregunta. Mientras Copilot genera, puede cancelar la generación de consultas seleccionando Dejar de generar.

    Captura de pantalla de Security Copilot en la búsqueda avanzada que genera una respuesta.

  4. Revise la consulta generada. A continuación, puede elegir ejecutar la consulta seleccionando Agregar y ejecutar.

    Captura de pantalla del botón Copilot que muestra agregar la consulta al editor de consultas y ejecutarlo.

    La consulta generada aparece entonces como la última consulta en el editor de consultas y se ejecuta de forma automática.

    Si necesita realizar más ajustes, seleccione Agregar al editor.

    Captura de pantalla de Security Copilot en la búsqueda avanzada que muestra la opción Agregar al editor.

    La consulta generada aparece en el editor de consultas como la última consulta, donde puede editarla antes de ejecutarla mediante la Consulta normal ejecutar situada encima del editor de consultas.

  5. Puede proporcionar comentarios sobre la respuesta generada seleccionando el icono de comentarios Captura de pantalla del icono de comentarios y eligiendo Confirmar, Desactivado o Potencialmente dañino.

Sugerencia

Proporcionar comentarios es una manera importante de que el equipo de Security Copilot sepa lo bien que la consulta asistente pudo ayudar a generar una consulta KQL útil. No dude en articular lo que podría haber hecho la consulta mejor, los ajustes que tuvo que hacer antes de ejecutar la consulta KQL generada, o compartir la consulta KQL que finalmente ha utilizado.

Nota:

En el portal de Microsoft Defender unificado, puede solicitar a Security Copilot que genere consultas de búsqueda avanzada para las tablas Defender XDR y Microsoft Sentinel. Actualmente no se admiten todas las tablas Microsoft Sentinel, pero se puede esperar compatibilidad con estas tablas en el futuro.

Sesiones de consulta

Puede iniciar su primera sesión en cualquier momento haciendo una pregunta en el panel lateral de Copilot en la búsqueda avanzada. La sesión contiene las solicitudes realizadas con su cuenta de usuario. Cerrar el panel lateral o actualizar la página de búsqueda avanzada no descarta la sesión. Puede seguir teniendo acceso a las consultas generadas si las necesita.

Seleccione el icono de burbuja de chat (Nuevo chat) para descartar la sesión actual.

Captura de pantalla de Security Copilot en búsqueda avanzada que muestra el nuevo icono de chat.

Modificar configuración

Seleccione los puntos suspensivos en el panel lateral de Copilot para elegir si desea agregar y ejecutar automáticamente la consulta generada en la búsqueda avanzada.

Captura de pantalla de Security Copilot en la búsqueda avanzada que muestra el icono de puntos suspensivos de configuración.

Al anular la selección de la configuración Ejecutar consulta generada automáticamente, se ofrece la opción de ejecutar la consulta generada automáticamente (Agregar y ejecutar) o agregar la consulta generada al editor de consultas para su posterior modificación (Agregar al editor).