Microsoft Security Copilot nella ricerca avanzata
Si applica a:
- Microsoft Defender
- Microsoft Defender XDR
Security Copilot nella ricerca avanzata
Microsoft Security Copilot in Microsoft Defender include una funzionalità di query assistente nella ricerca avanzata.
I cacciatori di minacce o gli analisti della sicurezza che non hanno ancora familiarità o devono ancora apprendere KQL possono effettuare una richiesta o porre una domanda in linguaggio naturale (ad esempio, Ottenere tutti gli avvisi che coinvolgono l'amministratore utente123). Security Copilot genera quindi una query KQL che corrisponde alla richiesta usando lo schema dei dati di ricerca avanzata.
Questa funzionalità riduce il tempo necessario per scrivere una query di ricerca da zero in modo che i cercatori di minacce e gli analisti della sicurezza possano concentrarsi sulla ricerca e l'analisi delle minacce.
Gli utenti con accesso a Security Copilot hanno accesso a questa funzionalità nella ricerca avanzata.
Nota
La funzionalità di ricerca avanzata è disponibile anche nell'esperienza autonoma Security Copilot tramite il plug-in Microsoft Defender XDR. Altre informazioni sui plug-in preinstallati in Security Copilot.
Provare la prima richiesta
Aprire la pagina Rilevazione avanzata dalla barra di spostamento in Microsoft Defender XDR. Il riquadro laterale Security Copilot per la ricerca avanzata viene visualizzato sul lato destro.
È anche possibile riaprire Copilot selezionando Copilot nella parte superiore dell'editor di query.
Nella barra dei prompt di Copilot chiedere qualsiasi query di ricerca delle minacce da eseguire e premere
o INVIO .
Copilot genera una query KQL a partire dall'istruzione o dalla domanda di testo. Mentre Copilot sta generando, è possibile annullare la generazione della query selezionando Interrompi generazione.
Esaminare la query generata. È possibile scegliere di eseguire la query selezionando Aggiungi ed esegui.
La query generata viene quindi visualizzata come ultima query nell'editor di query e viene eseguita automaticamente.
Se è necessario apportare ulteriori modifiche, selezionare Aggiungi all'editor.
La query generata viene visualizzata nell'editor di query come ultima query, in cui è possibile modificarla prima di eseguire la query di esecuzione normale sopra l'editor di query.
È possibile fornire commenti e suggerimenti sulla risposta generata selezionando l'icona
e scegliendo Conferma, Fuori destinazione o Potenzialmente dannoso.
Consiglio
Fornire commenti e suggerimenti è un modo importante per consentire al team Security Copilot di sapere in che modo la query assistente è stata utile per generare una query KQL utile. È possibile articolare ciò che avrebbe potuto migliorare la query, quali modifiche è stato necessario apportare prima di eseguire la query KQL generata o condividere la query KQL usata alla fine.
Nota
Nel portale di Microsoft Defender unificato è possibile richiedere Security Copilot di generare query di ricerca avanzate per tabelle Defender XDR e Microsoft Sentinel. Non tutte le tabelle Microsoft Sentinel sono attualmente supportate, ma il supporto per queste tabelle può essere previsto in futuro.
Sessioni di query
È possibile iniziare la prima sessione in qualsiasi momento ponendo una domanda nel riquadro laterale Copilot in rilevazione avanzata. La sessione contiene le richieste effettuate usando l'account utente. La chiusura del riquadro laterale o l'aggiornamento della pagina di ricerca avanzata non elimina la sessione. È comunque possibile accedere alle query generate in caso di necessità.
Selezionare l'icona a bolle della chat (Nuova chat) per eliminare la sessione corrente.
Modificare le impostazioni
Selezionare le ellissi nel riquadro laterale Copilot per scegliere se aggiungere ed eseguire automaticamente la query generata in rilevazione avanzata.
Deselezionando l'impostazione Esegui query generata automaticamente è possibile eseguire automaticamente la query generata (Aggiungi ed esegui) o aggiungere la query generata all'editor di query per ulteriori modifiche (Aggiungi all'editor).