Partager via

Sécurité Microsoft Copilot en repérage avancé

  • Article
  • S’applique à:
    Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

S’applique à :

  • Microsoft Defender
  • Microsoft Defender XDR

Sécurité Copilot dans le repérage avancé

Microsoft Security Copilot dans Microsoft Defender est fourni avec une fonctionnalité de assistant de requête dans la chasse avancée.

Les chasseurs de menaces ou les analystes de sécurité qui ne sont pas encore familiarisés avec le langage KQL ou qui n’en ont pas encore appris peuvent faire une demande ou poser une question en langage naturel (pour instance, Obtenir toutes les alertes impliquant l’administrateur utilisateur123). Sécurité Copilot génère ensuite une requête KQL qui correspond à la requête à l’aide du schéma de données de repérage avancé.

Cette fonctionnalité réduit le temps nécessaire à l’écriture d’une requête de chasse à partir de zéro afin que les repéreurs de menaces et les analystes de sécurité puissent se concentrer sur le repérage et l’investigation des menaces.

Les utilisateurs ayant accès à Securité Copilot ont accès à cette fonctionnalité dans le domaine du repérage avancé.

Remarque

La fonctionnalité de repérage avancée est également disponible dans l’expérience autonome Security Copilot via le plug-in Microsoft Defender XDR. En savoir plus sur les plug-ins préinstallés dans Security Copilot.

Essayez votre première requête

  1. Ouvrez la page de repérage avancé à partir de la barre de navigation dans Microsoft Defender XDR. Le volet latéral Securité Copilot pour le repérage avancé s’affiche à droite.

    Capture d’écran du volet Copilot dans le repérage avancé.

    Vous pouvez également rouvrir Copilot en sélectionnant Copilot en haut de l’éditeur de requête.

  2. Dans la barre d’invite Copilot, demandez à toute requête de chasse aux menaces que vous souhaitez exécuter, puis appuyez sur ou sur Entrée .

    Capture d’écran montrant la barre d’invite dans le Security Copilot pour la chasse avancée.

  3. Copilot génère une requête KQL à partir de votre instruction ou question de texte. Pendant la génération de Copilot, vous pouvez annuler la génération de la requête en sélectionnant Arrêter la génération.

    Capture d’écran de Security Copilot dans la chasse avancée générant une réponse.

  4. Évaluez la requête générée. Vous pouvez ensuite choisir d’exécuter la requête en sélectionnant Ajouter et exécuter.

    Capture d’écran du bouton Copilot montrant l’option Ajouter la requête à l’éditeur de requête et exécuter.

    La requête générée apparaît alors comme la dernière requête dans l’éditeur de requête et s’exécute automatiquement.

    Si vous devez effectuer d’autres ajustements, sélectionnez Ajouter à l’éditeur.

    Capture d’écran de Security Copilot dans la chasse avancée montrant l’option Ajouter à l’éditeur.

    La requête générée apparaît dans l’éditeur de requête en tant que dernière requête, où vous pouvez la modifier avant d’exécuter à l’aide de la requête Exécuter normale au-dessus de l’éditeur de requête.

  5. Vous pouvez fournir des commentaires sur la réponse générée en sélectionnant l’icône de commentaires Capture d’écran de l’icône de commentaires et en choisissant Confirmer, Hors cible ou Potentiellement dangereux.

Conseil

La fourniture de commentaires est un moyen important de faire savoir à l’équipe Security Copilot dans quelle mesure le assistant de requête a pu aider à générer une requête KQL utile. N’hésitez pas à expliquer ce qui aurait pu améliorer la requête, les ajustements que vous deviez effectuer avant d’exécuter la requête KQL générée, ou partager la requête KQL que vous avez finalement utilisée.

Remarque

Dans le portail Microsoft Defender unifié, vous pouvez inviter Security Copilot à générer des requêtes de repérage avancées pour les tables Defender XDR et Microsoft Sentinel. Toutes les tables Microsoft Sentinel ne sont pas actuellement prises en charge, mais la prise en charge de ces tables peut être attendue à l’avenir.

Sessions de requête

Vous pouvez démarrer votre première session à tout moment en posant une question dans le volet latéral Copilot dans le repérage avancé. Votre session contient les requêtes que vous avez effectuées à l’aide de votre compte d’utilisateur. La fermeture du volet latéral ou l’actualisation de la page de repérage avancé n’annule pas la session. Vous pouvez toujours accéder aux requêtes générées si vous en avez besoin.

Sélectionnez l’icône de bulle de conversation (Nouvelle conversation) pour ignorer la session active.

Capture d’écran de Security Copilot dans la chasse avancée montrant la nouvelle icône de conversation.

Modifier les paramètres

Sélectionnez les points de suspension dans le volet latéral Copilot pour choisir d’ajouter et d’exécuter automatiquement la requête générée dans le repérage avancé.

Capture d’écran de Security Copilot dans la chasse avancée montrant l’icône des points de suspension des paramètres.

La désélection du paramètre Exécuter automatiquement la requête générée vous donne la possibilité d’exécuter automatiquement la requête générée (Exécuter la requête) ou d’ajouter la requête générée à l’éditeur de requête pour une modification supplémentaire (Ajouter à l’éditeur).