Del via


Microsoft Sikkerhet Copilot i avansert jakt

Gjelder for:

  • Microsoft Defender
  • Microsoft Defender XDR

Sikkerhet Copilot i avansert jakt

Microsoft Security Copilot i Microsoft Defender leveres med en spørringsassistentfunksjonalitet i avansert jakt.

Trusseljegere eller sikkerhetsanalytikere som ennå ikke er kjent med eller ennå ikke har lært Kusto-spørringsspråk (KQL), kan sende en forespørsel eller stille et spørsmål på naturlig språk (for eksempel Få alle varsler som involverer brukeradministrator123). Sikkerhet Copilot genererer deretter en KQL-spørring som tilsvarer forespørselen ved hjelp av det avanserte jaktdataskjemaet.

Denne funksjonen reduserer tiden det tar å skrive en jaktspørring fra bunnen av, slik at trusseljegere og sikkerhetsanalytikere kan fokusere på jakt og undersøke trusler.

Brukere med tilgang til Sikkerhet Copilot har tilgang til denne funksjonen i avansert jakt.

Obs!

Funksjonen for avansert jakt er også tilgjengelig i den frittstående Sikkerhet Copilot-funksjonen gjennom programtillegget Microsoft Defender XDR. Finn ut mer om forhåndsinstallerte programtillegg i Security Copilot.

Prøv din første forespørsel

  1. Åpne siden Avansert jakt fra navigasjonsfeltet i Microsoft Defender XDR. Sideruten Sikkerhet Copilot for avansert jakt vises på høyre side.

    Skjermbilde av Copilot-ruten i avansert jakt.

    Du kan også åpne Copilot på nytt ved å velge Copilot øverst i redigeringsprogrammet for spørring.

  2. I Ledetekstlinjen i Copilot kan du spørre om trusseljaktspørringen du vil kjøre, og trykke eller ENTER.

    Skjermbilde som viser ledetekstlinjen i Security Copilot for avansert jakt.

  3. Copilot genererer en KQL-spørring fra tekstinstruksjonen eller spørsmålet. Mens Copilot genererer, kan du avbryte spørringsgenereringen ved å velge Stopp generering.

    Skjermbilde av Sikkerhet Copilot i avansert jakt som genererer et svar.

  4. Se gjennom den genererte spørringen. Hvis du vil kontrollere hvordan Copilot kom opp med spørringen, kan du velge Se logikken bak spørringen under spørringsteksten for å utvide forklaringen bak spørringen. Velg den på nytt for å minimere.

    Skjermbilde av Copilot-knappen som viser Se logikken bak spørringen.

    Deretter kan du velge å kjøre spørringen ved å velge Kjør spørring.

    Skjermbilde av Copilot-knappen som viser alternativet Kjør spørring.

    Den genererte spørringen vises deretter som den siste spørringen i redigeringsprogrammet for spørring og kjøres automatisk.

    Hvis du trenger å gjøre ytterligere justeringer, velger du Legg til i redigeringsprogram.

    Skjermbilde av Sikkerhet Copilot i avansert jakt som viser alternativet Legg til i redigeringsprogram.

    Den genererte spørringen vises i redigeringsprogrammet for spørring som den siste spørringen, der du kan redigere den før du kjører ved hjelp av den vanlige Kjør-spørringen over redigeringsprogrammet for spørring.

  5. Du kan gi tilbakemelding om det genererte svaret ved å velge tilbakemeldingsikonet Skjermbilde av tilbakemeldingsikonet og velge Ser riktig ut, Behovsforbedring eller Upassende.

Tips

Å gi tilbakemelding er en viktig måte å la Security Copilot-teamet få vite hvor godt spørringsassistenten kunne hjelpe til med å generere en nyttig KQL-spørring. Du kan gjerne artikulere hva som kan gjøre spørringen bedre, hvilke justeringer du måtte gjøre før du kjørte den genererte KQL-spørringen, eller dele KQL-spørringen som du til slutt brukte.

Obs!

I den enhetlige Microsoft Defender-portalen kan du be Security Copilot om å generere avanserte jaktspørringer for både Defender XDR og Microsoft Sentinel tabeller. Ikke alle Microsoft Sentinel tabeller støttes for øyeblikket, men støtte for disse tabellene kan forventes i fremtiden.

Spørringsøkter

Du kan starte den første økten når som helst ved å stille et spørsmål i Copilot-sideruten i avansert jakt. Økten inneholder forespørslene du har gjort ved hjelp av brukerkontoen. Hvis du lukker sideruten eller oppdaterer siden for avansert jakt, forkastes ikke økten. Du kan fortsatt få tilgang til de genererte spørringene hvis du trenger dem.

Velg chatbobleikonet (Ny chat) for å forkaste gjeldende økt.

Skjermbilde av Security Copilot i avansert jakt som viser det nye chat-ikonet.

Spørrings forklaringer

Endre innstillinger

Velg ellipsen i Copilot-sideruten for å velge om du vil legge til og kjøre den genererte spørringen automatisk i avansert jakt.

Skjermbilde av Security Copilot i avansert jakt som viser innstillinger ellipse-ikonet.

Hvis du fjerner merkingen av Kjør generert spørring automatisk, får du muligheten til å kjøre den genererte spørringen automatisk (Legg til og kjør) eller legge til den genererte spørringen i redigeringsprogrammet for spørring for ytterligere endring (Legg til i redigeringsprogram).