Partager via

Sécurité Microsoft Copilot en repérage avancé

  • Article
  • S’applique à:
    Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

S’applique à :

  • Microsoft Defender
  • Microsoft Defender XDR

Sécurité Copilot dans le repérage avancé

Microsoft Security Copilot dans Microsoft Defender est fourni avec une fonctionnalité de assistant de requête dans la chasse avancée.

Les chasseurs de menaces ou les analystes de sécurité qui ne sont pas encore familiarisés avec le langage de requête Kusto (KQL) ou qui n’en ont pas encore appris peuvent faire une demande ou poser une question en langage naturel (pour instance, Obtenir toutes les alertes impliquant l’administrateur utilisateur123). Sécurité Copilot génère ensuite une requête KQL qui correspond à la requête à l’aide du schéma de données de repérage avancé.

Cette fonctionnalité réduit le temps nécessaire à l’écriture d’une requête de chasse à partir de zéro afin que les repéreurs de menaces et les analystes de sécurité puissent se concentrer sur le repérage et l’investigation des menaces.

Les utilisateurs ayant accès à Securité Copilot ont accès à cette fonctionnalité dans le domaine du repérage avancé.

Remarque

La fonctionnalité de repérage avancée est également disponible dans l’expérience autonome Security Copilot via le plug-in Microsoft Defender XDR. En savoir plus sur les plug-ins préinstallés dans Security Copilot.

Essayez votre première requête

  1. Ouvrez la page Repérage avancé à partir de la barre de navigation dans Microsoft Defender XDR. Le volet latéral Securité Copilot pour le repérage avancé s’affiche à droite.

    Capture d’écran du volet Copilot dans le repérage avancé.

    Vous pouvez également rouvrir Copilot en sélectionnant Copilot en haut de l’éditeur de requête.

  2. Dans la barre d’invite Copilot, demandez à toute requête de chasse aux menaces que vous souhaitez exécuter et appuyez sur ou sur Entrée.

    Capture d’écran montrant la barre d’invite dans le Security Copilot pour la chasse avancée.

  3. Copilot génère une requête KQL à partir de votre instruction ou question de texte. Pendant la génération de Copilot, vous pouvez annuler la génération de la requête en sélectionnant Arrêter la génération.

    Capture d’écran de Security Copilot dans la chasse avancée générant une réponse.

  4. Évaluez la requête générée. Pour case activée comment Copilot a créé la requête, vous pouvez sélectionner Afficher la logique derrière la requête sous le texte de la requête pour développer l’explication derrière la requête. Sélectionnez-la à nouveau pour la réduire.

    Capture d’écran du bouton Copilot montrant Afficher la logique derrière la requête.

    Vous pouvez ensuite choisir d’exécuter la requête en sélectionnant Exécuter la requête.

    Capture d’écran du bouton Copilot montrant l’option Exécuter la requête.

    La requête générée apparaît alors comme la dernière requête dans l’éditeur de requête et s’exécute automatiquement.

    Si vous devez effectuer d’autres ajustements, sélectionnez Ajouter à l’éditeur.

    Capture d’écran de Security Copilot dans la chasse avancée montrant l’option Ajouter à l’éditeur.

    La requête générée apparaît dans l’éditeur de requête en tant que dernière requête, où vous pouvez la modifier avant d’exécuter à l’aide de la requête Exécuter normale au-dessus de l’éditeur de requête.

  5. Vous pouvez fournir des commentaires sur la réponse générée en sélectionnant l’icône de commentaires Capture d’écran de l’icône de commentaires et en choisissant Semble correct, Nécessite une amélioration ou Inapproprié.

Conseil

La fourniture de commentaires est un moyen important de faire savoir à l’équipe Security Copilot dans quelle mesure le assistant de requête a pu aider à générer une requête KQL utile. N’hésitez pas à expliquer ce qui pourrait améliorer la requête, les ajustements que vous deviez effectuer avant d’exécuter la requête KQL générée, ou partager la requête KQL que vous avez finalement utilisée.

Remarque

Dans le portail Microsoft Defender unifié, vous pouvez inviter Security Copilot à générer des requêtes de repérage avancées pour les tables Defender XDR et Microsoft Sentinel. Toutes les tables Microsoft Sentinel ne sont pas actuellement prises en charge, mais la prise en charge de ces tables peut être attendue à l’avenir.

Sessions de requête

Vous pouvez démarrer votre première session à tout moment en posant une question dans le volet latéral Copilot dans le repérage avancé. Votre session contient les requêtes que vous avez effectuées à l’aide de votre compte d’utilisateur. La fermeture du volet latéral ou l’actualisation de la page de repérage avancé n’annule pas la session. Vous pouvez toujours accéder aux requêtes générées si vous en avez besoin.

Sélectionnez l’icône de bulle de conversation (Nouvelle conversation) pour ignorer la session active.

Capture d’écran de Security Copilot dans la chasse avancée montrant la nouvelle icône de conversation.

Explications de requête

Modifier les paramètres

Sélectionnez les points de suspension dans le volet latéral Copilot pour choisir d’ajouter et d’exécuter automatiquement la requête générée dans le repérage avancé.

Capture d’écran de Security Copilot dans la chasse avancée montrant l’icône des points de suspension des paramètres.

La désélection du paramètre Exécuter automatiquement la requête générée vous donne la possibilité d’exécuter automatiquement la requête générée (Exécuter la requête) ou d’ajouter la requête générée à l’éditeur de requête pour une modification supplémentaire (Ajouter à l’éditeur).