Delen via


Microsoft Security Copilot in geavanceerde opsporing

Van toepassing op:

  • Microsoft Defender
  • Microsoft Defender XDR

Security Copilot in geavanceerde opsporing

Microsoft Security Copilot in Microsoft Defender wordt geleverd met een query assistent mogelijkheid voor geavanceerde opsporing.

Bedreigingsjagers of beveiligingsanalisten die nog niet bekend zijn met KQL of die KQL nog niet hebben geleerd, kunnen een aanvraag indienen of een vraag stellen in natuurlijke taal (bijvoorbeeld Alle waarschuwingen ophalen met betrekking tot gebruikersbeheerder123). Security Copilot genereert vervolgens een KQL-query die overeenkomt met de aanvraag met behulp van het schema voor geavanceerde opsporingsgegevens.

Deze functie vermindert de tijd die nodig is om een nieuwe opsporingsquery te schrijven, zodat bedreigingszoekers en beveiligingsanalisten zich kunnen richten op het opsporen en onderzoeken van bedreigingen.

Gebruikers met toegang tot Security Copilot hebben toegang tot deze mogelijkheid bij geavanceerde opsporing.

Opmerking

De geavanceerde opsporingsmogelijkheid is ook beschikbaar in de Security Copilot zelfstandige ervaring via de Microsoft Defender XDR-invoegtoepassing. Meer informatie over vooraf geïnstalleerde invoegtoepassingen in Security Copilot.

Probeer uw eerste aanvraag

  1. Open de pagina geavanceerde opsporing vanaf de navigatiebalk in Microsoft Defender XDR. Het zijvenster van Security Copilot voor geavanceerde opsporing wordt aan de rechterkant weergegeven.

    Schermopname van het Copilot-deelvenster in geavanceerde opsporing.

    U kunt Copilot ook opnieuw openen door Copilot bovenaan de queryeditor te selecteren.

  2. Vraag in de Copilot-promptbalk een query voor het opsporen van bedreigingen die u wilt uitvoeren en druk op Of Enter .

    Schermopname van de promptbalk in de Security Copilot voor geavanceerde opsporing.

  3. Copilot genereert een KQL-query op basis van uw tekstinstructie of vraag. Terwijl Copilot aan het genereren is, kunt u het genereren van query's annuleren door Stoppen met genereren te selecteren.

    Schermopname van Security Copilot in geavanceerde opsporing die een reactie genereert.

  4. Controleer de gegenereerde query. U kunt er vervolgens voor kiezen om de query uit te voeren door Toevoegen en uitvoeren te selecteren.

    Schermopname van de Copilot-knop met De query toevoegen aan query-editor en uitvoeren.

    De gegenereerde query wordt vervolgens weergegeven als de laatste query in de query-editor en wordt automatisch uitgevoerd.

    Als u meer aanpassingen wilt aanbrengen, selecteert u Toevoegen aan editor.

    Schermopname van Security Copilot in geavanceerde opsporing met de optie Toevoegen aan editor.

    De gegenereerde query wordt in de query-editor weergegeven als de laatste query, waar u deze kunt bewerken voordat u deze uitvoert met behulp van de reguliere Query uitvoeren boven de query-editor.

  5. U kunt feedback geven over het gegenereerde antwoord door het feedbackpictogram Schermopname van het feedbackpictogram te selecteren en Bevestigen, Buiten doel of Mogelijk schadelijk te kiezen.

Tip

Feedback geven is een belangrijke manier om het Security Copilot team te laten weten hoe goed de query assistent kon helpen bij het genereren van een nuttige KQL-query. U kunt gerust aangeven wat de query had kunnen verbeteren, welke aanpassingen u moest aanbrengen voordat u de gegenereerde KQL-query uitvoerde of deel de KQL-query die u uiteindelijk hebt gebruikt.

Opmerking

In de geïntegreerde Microsoft Defender-portal kunt u Security Copilot vragen geavanceerde opsporingsquery's te genereren voor zowel Defender XDR- als Microsoft Sentinel-tabellen. Niet alle Microsoft Sentinel tabellen worden momenteel ondersteund, maar ondersteuning voor deze tabellen kan in de toekomst worden verwacht.

Querysessies

U kunt uw eerste sessie op elk gewenst moment starten door een vraag te stellen in het zijvenster van Copilot in geavanceerde opsporing. Uw sessie bevat de aanvragen die u hebt gedaan met uw gebruikersaccount. Als u het zijvenster sluit of de geavanceerde opsporingspagina vernieuwt, wordt de sessie niet genegeerd. U hebt nog steeds toegang tot de gegenereerde query's als u ze nodig hebt.

Selecteer het chatballonpictogram (Nieuwe chat) om de huidige sessie te verwijderen.

Schermopname van Security Copilot in geavanceerde opsporing met het nieuwe chatpictogram.

Instellingen wijzigen

Selecteer de beletseltekens in het zijvenster van Copilot om te kiezen of de gegenereerde query automatisch moet worden toegevoegd en uitgevoerd tijdens geavanceerde opsporing.

Schermopname van Security Copilot in geavanceerde opsporing met het pictogram voor het beletselteken voor instellingen.

Als u de instelling Gegenereerde query automatisch uitvoeren uitschakelt, kunt u de gegenereerde query automatisch uitvoeren (Toevoegen en uitvoeren) of de gegenereerde query toevoegen aan de queryeditor voor verdere wijziging (Toevoegen aan editor).