Jaa

Tarkennetun etsinnän Microsoft Security Copilot

  • Artikkeli
  • Koskee seuraavia::
    Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Koskee seuraavia:

  • Microsoft Defender
  • Microsoft Defender XDR

Tarkennetun etsinnän Security Copilot

Microsoft Security Copilot in Microsoft Defender sisältää kyselyavustajaominaisuuden kehittyneessä metsästyksessä.

Uhkien metsästäjät tai suojausanalyytikot, jotka eivät vielä tunne Kusto-kyselykieltä tai eivät ole vielä tietoisia siitä, voivat esittää pyynnön tai esittää kysymyksen luonnollisella kielellä (esimerkiksi Hae kaikki käyttäjän järjestelmänvalvojan ilmoitukset123). Security Copilot luo sitten KQL-kyselyn, joka vastaa pyyntöä, käyttämällä kehittynyttä etsinnän tietorakennetta.

Tämä ominaisuus lyhentää etsintäkyselyn alusta alkaen kirjoittamiseen kuluvaa aikaa, joten uhkien etsijät ja tietoturva-analyytikot voivat keskittyä uhkien etsintään ja tutkimiseen.

Käyttäjät, joilla on Security Copilot -käyttöoikeus, voivat käyttää ominaisuutta tarkennetussa etsinnässä.

Huomautus

Kehittynyt etsintäominaisuus on käytettävissä myös Security Copilotin erillisessä käyttökokemuksessa Microsoft Defender XDR -laajennuksen kautta. Lisätietoja Security Copilot valmiiksi asennetuista laajennuksista.

Kokeile ensimmäistä pyyntöäsi

  1. Avaa lisämetsästyssivu Microsoft Defender XDR siirtymispalkista. Tarkennetun etsinnän Security Copilot -reunaruutu tulee näkyviin oikealla puolella.

    Näyttökuva Copilot -ruudusta tarkennetussa etsinnässä.

    Voit myös avata Copilotin uudelleen valitsemalla Copilotin kyselyeditorin yläreunasta.

  2. Kysy Copilot-kehotepalkissa mitä tahansa uhkien metsästyskyselyä, jonka haluat suorittaa, ja paina tai Enter.

    Näyttökuva, jossa näkyy Security Copilot kehotepalkki kehittyneeseen metsästykseen.

  3. Copilot luo KQL-kyselyn tekstiohjeesi tai kysymyksesi perusteella. Copilotin luontitoiminnon aikana voit peruuttaa kyselyn luonnin valitsemalla Lopeta luonti.

    Näyttökuva Security Copilotista tarkennetussa etsinnässä luomassa vastausta.

  4. Tarkista luotu kysely. Jos haluat tarkistaa, miten Copilot on keksinyt kyselyn, voit laajentaa kyselyn taustalla olevan selityksen valitsemalla Kyselytekstin alla olevan logiikan Katso logiikka . Pienennä valitsemalla se uudelleen.

    Näyttökuva Copilot-painikkeesta, joka näyttää Näytä kyselyn taustalla oleva logiikka.

    Voit sitten suorittaa kyselyn valitsemalla Suorita kysely.

    Näyttökuva Copilot-painikkeesta, jossa näkyy Suorita kysely -vaihtoehto.

    Luotu kysely näkyy sitten kyselyeditorin viimeisenä kyselynä ja se suoritetaan automaattisesti.

    Jos haluat tehdä muutoksia, valitse Lisää editoriin.

    Näyttökuva Security Copilotista tarkennetussa etsinnässä, jossa näkyy Lisää editoriin -vaihtoehto.

    Luotu kysely näkyy kyselyeditorissa viimeisenä kyselynä. Voit muokata sitä ennen tavallisen Suorita kysely -toiminnon valitsemista kyselyeditorin yläpuolella.

  5. Voit antaa palautetta luodusta vastauksesta valitsemalla palautekuvakkeen Näyttökuva palautekuvakkeesta. Valitse sitten Näyttää oikealta, Edellyttää parannusta tai Sopimaton.

Vihje

Palautteen antaminen on tärkeä tapa ilmoittaa Security Copilot tiimille, miten hyvin kyselyavustaja pystyi auttamaan hyödyllisen KQL-kyselyn luomisessa. Voit vapaasti ilmaista, mikä voisi parantaa kyselyä, mitä muutoksia sinun oli tehtävä ennen luodun KQL-kyselyn suorittamista, tai jakaa KQL-kysely, jota lopulta käytit.

Huomautus

Yhdistetyssä Microsoft Defender portaalissa voit pyytää Security Copilot luomaan kehittyneitä metsästyskyselyitä sekä Defender XDR- että Microsoft Sentinel-taulukoille. Kaikkia Microsoft Sentinel taulukoita ei tällä hetkellä tueta, mutta näiden taulukoiden tukea voidaan odottaa tulevaisuudessa.

Kyselyistunnot

Voit aloittaa ensimmäisen istuntosi milloin tahansa esittämällä kysymyksen tarkennetun etsinnän Copilot -reunaruudussa. Istunto sisältää käyttäjätililläsi tekemäsi pyynnöt. Sivuruudun sulkeminen tai kehittyneen metsästyssivun päivittäminen ei hylkää istuntoa. Voit edelleen käyttää luotuja kyselyitä, jos tarvitset niitä.

Hylkää nykyinen istunto valitsemalla keskustelukuplakuvake (Uusi keskustelu).

Näyttökuva Security Copilot kehittyneessä metsästyksessä, jossa näkyy uusi keskustelukuvake.

Kyselyn selitykset

Muokkaa asetuksia

Valitse kolmen pisteen kuvake Copilot -reunaruudusta valitaksesi, lisätäänkö ja suoritetaanko luotu kysely automaattisesti tarkennetussa etsinnässä.

Näyttökuva Security Copilot kehittyneessä metsästyksessä, jossa näkyy asetusten kolmen pisteen kuvake.

Jos poistat Suorita luotu kysely automaattisesti -asetuksen valinnan, voit suorittaa luodun kyselyn automaattisesti (Lisää ja suorita) tai lisätä luodun kyselyn kyselyeditoriin muokkaamista varten (Lisää editoriin).