Tarkennetun etsinnän Microsoft Security Copilot
Koskee seuraavia:
- Microsoft Defender
- Microsoft Defender XDR
Tarkennetun etsinnän Security Copilot
Microsoft Security Copilot in Microsoft Defender sisältää kyselyavustajaominaisuuden kehittyneessä metsästyksessä.
Uhkien metsästäjät tai suojausanalyytikot, jotka eivät vielä tunne tai eivät ole vielä oppineet KQL:ää, voivat esittää pyynnön tai esittää kysymyksen luonnollisella kielellä (esimerkiksi Hae kaikki ilmoitukset, joissa on mukana käyttäjän järjestelmänvalvoja123). Security Copilot luo sitten KQL-kyselyn, joka vastaa pyyntöä, käyttämällä kehittynyttä etsinnän tietorakennetta.
Tämä ominaisuus lyhentää etsintäkyselyn alusta alkaen kirjoittamiseen kuluvaa aikaa, joten uhkien etsijät ja tietoturva-analyytikot voivat keskittyä uhkien etsintään ja tutkimiseen.
Käyttäjät, joilla on Security Copilot -käyttöoikeus, voivat käyttää ominaisuutta tarkennetussa etsinnässä.
Huomautus
Kehittynyt etsintäominaisuus on käytettävissä myös Security Copilotin erillisessä käyttökokemuksessa Microsoft Defender XDR -laajennuksen kautta. Lisätietoja Security Copilot valmiiksi asennetuista laajennuksista.
Kokeile ensimmäistä pyyntöäsi
Avaa Tarkennettu etsintä -sivu Microsoft Defender XDR:n siirtymispalkista. Tarkennetun etsinnän Security Copilot -reunaruutu tulee näkyviin oikealla puolella.
Voit myös avata Copilotin uudelleen valitsemalla Copilotin kyselyeditorin yläreunasta.
Kysy Copilot-kehotepalkissa mitä tahansa uhkien metsästyskyselyä, jonka haluat suorittaa, ja paina
tai Enter .
Copilot luo KQL-kyselyn tekstiohjeesi tai kysymyksesi perusteella. Copilotin luontitoiminnon aikana voit peruuttaa kyselyn luonnin valitsemalla Lopeta luonti.
Tarkista luotu kysely. Voit sitten suorittaa kyselyn valitsemalla Lisää ja suorita.
Luotu kysely näkyy sitten kyselyeditorin viimeisenä kyselynä ja se suoritetaan automaattisesti.
Jos haluat tehdä muutoksia, valitse Lisää editoriin.
Luotu kysely näkyy kyselyeditorissa viimeisenä kyselynä. Voit muokata sitä ennen tavallisen Suorita kysely -toiminnon valitsemista kyselyeditorin yläpuolella.
Voit antaa palautetta luodusta vastauksesta valitsemalla palautekuvakkeen
Valitse sitten Vahvista, Ei kohde tai Mahdollisesti haitallinen.
Vihje
Palautteen antaminen on tärkeä tapa ilmoittaa Security Copilot tiimille, miten hyvin kyselyavustaja pystyi auttamaan hyödyllisen KQL-kyselyn luomisessa. Voit vapaasti kertoa, mikä olisi voinut parantaa kyselyä tai mitä muutoksia sinun oli tehtävä ennen luodun KQL-kyselyn suorittamista, sekä jakaa KQL-kyselyn, jota lopulta käytit.
Huomautus
Yhdistetyssä Microsoft Defender portaalissa voit pyytää Security Copilot luomaan kehittyneitä metsästyskyselyitä sekä Defender XDR- että Microsoft Sentinel-taulukoille. Kaikkia Microsoft Sentinel taulukoita ei tällä hetkellä tueta, mutta näiden taulukoiden tukea voidaan odottaa tulevaisuudessa.
Kyselyistunnot
Voit aloittaa ensimmäisen istuntosi milloin tahansa esittämällä kysymyksen tarkennetun etsinnän Copilot -reunaruudussa. Istunto sisältää käyttäjätililläsi tekemäsi pyynnöt. Sivuruudun sulkeminen tai kehittyneen metsästyssivun päivittäminen ei hylkää istuntoa. Voit edelleen käyttää luotuja kyselyitä, jos tarvitset niitä.
Hylkää nykyinen istunto valitsemalla keskustelukuplakuvake (Uusi keskustelu).
Muokkaa asetuksia
Valitse kolmen pisteen kuvake Copilot -reunaruudusta valitaksesi, lisätäänkö ja suoritetaanko luotu kysely automaattisesti tarkennetussa etsinnässä.
Jos poistat Suorita luotu kysely automaattisesti -asetuksen valinnan, voit suorittaa luodun kyselyn automaattisesti (Lisää ja suorita) tai lisätä luodun kyselyn kyselyeditoriin muokkaamista varten (Lisää editoriin).