Microsoft Security Copilot in geavanceerde opsporing
Van toepassing op:
- Microsoft Defender
- Microsoft Defender XDR
Security Copilot in geavanceerde opsporing
Microsoft Security Copilot in Microsoft Defender wordt geleverd met een query assistent mogelijkheid voor geavanceerde opsporing.
Bedreigingsjagers of beveiligingsanalisten die nog niet bekend zijn met KQL of die KQL nog niet hebben geleerd, kunnen een aanvraag indienen of een vraag stellen in natuurlijke taal (bijvoorbeeld Alle waarschuwingen ophalen met betrekking tot gebruikersbeheerder123). Security Copilot genereert vervolgens een KQL-query die overeenkomt met de aanvraag met behulp van het schema voor geavanceerde opsporingsgegevens.
Deze functie vermindert de tijd die nodig is om een nieuwe opsporingsquery te schrijven, zodat bedreigingszoekers en beveiligingsanalisten zich kunnen richten op het opsporen en onderzoeken van bedreigingen.
Gebruikers met toegang tot Security Copilot hebben toegang tot deze mogelijkheid bij geavanceerde opsporing.
Opmerking
De geavanceerde opsporingsmogelijkheid is ook beschikbaar in de Security Copilot zelfstandige ervaring via de Microsoft Defender XDR-invoegtoepassing. Meer informatie over vooraf geïnstalleerde invoegtoepassingen in Security Copilot.
Probeer uw eerste aanvraag
Open de pagina geavanceerde opsporing vanaf de navigatiebalk in Microsoft Defender XDR. Het zijvenster van Security Copilot voor geavanceerde opsporing wordt aan de rechterkant weergegeven.
U kunt Copilot ook opnieuw openen door Copilot bovenaan de queryeditor te selecteren.
Vraag in de Copilot-promptbalk een query voor het opsporen van bedreigingen die u wilt uitvoeren en druk op Of Enter .
Copilot genereert een KQL-query op basis van uw tekstinstructie of vraag. Terwijl Copilot aan het genereren is, kunt u het genereren van query's annuleren door Stoppen met genereren te selecteren.
Controleer de gegenereerde query. U kunt er vervolgens voor kiezen om de query uit te voeren door Toevoegen en uitvoeren te selecteren.
De gegenereerde query wordt vervolgens weergegeven als de laatste query in de query-editor en wordt automatisch uitgevoerd.
Als u meer aanpassingen wilt aanbrengen, selecteert u Toevoegen aan editor.
De gegenereerde query wordt in de query-editor weergegeven als de laatste query, waar u deze kunt bewerken voordat u deze uitvoert met behulp van de reguliere Query uitvoeren boven de query-editor.
U kunt feedback geven over het gegenereerde antwoord door het feedbackpictogram te selecteren en Bevestigen, Buiten doel of Mogelijk schadelijk te kiezen.
Tip
Feedback geven is een belangrijke manier om het Security Copilot team te laten weten hoe goed de query assistent kon helpen bij het genereren van een nuttige KQL-query. U kunt gerust aangeven wat de query had kunnen verbeteren, welke aanpassingen u moest aanbrengen voordat u de gegenereerde KQL-query uitvoerde of deel de KQL-query die u uiteindelijk hebt gebruikt.
Opmerking
In de geïntegreerde Microsoft Defender-portal kunt u Security Copilot vragen geavanceerde opsporingsquery's te genereren voor zowel Defender XDR- als Microsoft Sentinel-tabellen. Niet alle Microsoft Sentinel tabellen worden momenteel ondersteund, maar ondersteuning voor deze tabellen kan in de toekomst worden verwacht.
Querysessies
U kunt uw eerste sessie op elk gewenst moment starten door een vraag te stellen in het zijvenster van Copilot in geavanceerde opsporing. Uw sessie bevat de aanvragen die u hebt gedaan met uw gebruikersaccount. Als u het zijvenster sluit of de geavanceerde opsporingspagina vernieuwt, wordt de sessie niet genegeerd. U hebt nog steeds toegang tot de gegenereerde query's als u ze nodig hebt.
Selecteer het chatballonpictogram (Nieuwe chat) om de huidige sessie te verwijderen.
Instellingen wijzigen
Selecteer de beletseltekens in het zijvenster van Copilot om te kiezen of de gegenereerde query automatisch moet worden toegevoegd en uitgevoerd tijdens geavanceerde opsporing.
Als u de instelling Gegenereerde query automatisch uitvoeren uitschakelt, kunt u de gegenereerde query automatisch uitvoeren (Toevoegen en uitvoeren) of de gegenereerde query toevoegen aan de queryeditor voor verdere wijziging (Toevoegen aan editor).