Udostępnij za pośrednictwem

Funkcja Copilot rozwiązań zabezpieczających firmy Microsoft w zaawansowanym wyszukiwaniu zagrożeń

  • Artykuł
  • Dotyczy:
    Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Dotyczy:

  • Microsoft Defender
  • Microsoft Defender XDR

Funkcja Copilot rozwiązań zabezpieczających w zaawansowanym wyszukiwaniu zagrożeń

Microsoft Security Copilot w Microsoft Defender udostępnia funkcję asystent zapytań w zaawansowanym wyszukiwaniu.

Łowcy zagrożeń lub analitycy zabezpieczeń, którzy nie są jeszcze zaznajomieni z protokołem KQL lub jeszcze nie nauczyli się go, mogą wysłać żądanie lub zadać pytanie w języku naturalnym (na przykład Pobierz wszystkie alerty z udziałem administratora użytkownika123). Następnie funkcja Copilot rozwiązań zabezpieczających firmy Microsoft generuje zapytanie KQL odpowiadające żądaniu przy użyciu zaawansowanego schematu danych wyszukiwania zagrożeń.

Ta funkcja skraca czas potrzebny na napisanie zapytania wyszukiwania zagrożeń od podstaw, dzięki czemu osoby wyszukujące zagrożenia i analitycy zabezpieczeń mogą skupić się na wyszukiwaniu i badaniu zagrożeń.

Użytkownicy z dostępem do funkcji Copilot rozwiązań zabezpieczających firmy Microsoft mają dostęp do tej możliwości podczas zaawansowanego wyszukiwania zagrożeń.

Uwaga

Funkcja zaawansowanego wyszukiwania zagrożeń jest również dostępna w autonomicznym środowisku funkcji Security Copilot za pośrednictwem wtyczki usługi Microsoft Defender XDR. Dowiedz się więcej o wstępnie zainstalowanych wtyczkach w Security Copilot.

Wypróbuj swoje pierwsze żądanie

  1. Otwórz stronę zaawansowanego wyszukiwania zagrożeń na pasku nawigacyjnym w usłudze Microsoft Defender XDR. Po prawej stronie zostanie wyświetlone okienko boczne funkcji Copilot rozwiązań zabezpieczających firmy Microsoft dla zaawansowanego wyszukiwania zagrożeń.

    Wycinek ekranu funkcji Copilot w zaawansowanym wyszukiwaniu zagrożeń.

    Możesz również ponownie otworzyć funkcję Copilot, wybierając pozycję Copilot w górnej części edytora zapytań.

  2. Na pasku wiersza polecenia Copilot zapytaj dowolne zapytanie dotyczące wyszukiwania zagrożeń, które chcesz uruchomić, i naciśnij Lub Wprowadź .

    Zrzut ekranu przedstawiający pasek monitu w Security Copilot na potrzeby zaawansowanego wyszukiwania zagrożeń.

  3. Funkcja Copilot generuje zapytanie w języku KQL na podstawie instrukcji tekstowej lub pytania. Gdy generowania przez funkcję Copilot możesz anulować generowanie zapytania, wybierając przycisk Zatrzymaj generowanie.

    Wycinek ekranu przedstawiający zdarzenie Copilot rozwiązań zabezpieczających w zaawansowanym wyszukiwaniu zagrożeń generującym odpowiedź.

  4. Przejrzyj wygenerowane zapytanie. Następnie możesz uruchomić zapytanie, wybierając pozycję Uruchom zapytanie.

    Wycinek ekranu przedstawiający przycisk Copilot przedstawiający polecenie Dodaj zapytanie do edytora zapytań i uruchom je.

    Wygenerowane zapytanie pojawi się jako ostatnie w edytorze zapytań i zostanie uruchomione automatycznie.

    Jeśli chcesz wprowadzić dalsze poprawki, wybierz pozycję Dodaj do edytora.

    Wycinek ekranu przedstawiający pozycję Copilot rozwiązań zabezpieczających w zaawansowanym wyszukiwaniu zagrożeń z opcją Dodaj do edytora.

    Wygenerowane zapytanie pojawia się w edytorze zapytań jako ostatnie zapytanie, gdzie można je edytować przed uruchomieniem za pomocą zwykłego polecenia Uruchom zapytanie, znajdującego się nad edytorem zapytań.

  5. Możesz przekazać opinię na temat wygenerowanej odpowiedzi, wybierając ikonę opinii Zrzut ekranu przedstawiający ikonę opinii i wybierając pozycję Potwierdź, Wyłącz cel lub Potencjalnie szkodliwe.

Porada

Przekazywanie opinii jest ważnym sposobem poinformowania zespołu Security Copilot, jak dobrze zapytanie asystent mogło pomóc w wygenerowaniu użytecznego zapytania KQL. Zachęcamy do opisania, co można by poprawić w zapytaniu, jakie poprawki trzeba było wprowadzić przed uruchomieniem wygenerowanego zapytania w języku KQL lub do udostępnienia zapytania w języku KQL, którego ostatecznie użyto.

Uwaga

W ujednoliconym portalu Microsoft Defender można wyświetlić monit Security Copilot o wygenerowanie zaawansowanych zapytań wyszukiwania zagrożeń dla tabel Defender XDR i Microsoft Sentinel. Nie wszystkie tabele Microsoft Sentinel są obecnie obsługiwane, ale w przyszłości można oczekiwać obsługi tych tabel.

Sesje zapytań

W dowolnym momencie możesz rozpocząć pierwszą sesję, zadając pytanie w okienku bocznym funkcji Copilot w zaawansowanym wyszukiwaniu zagrożeń. Sesja zawiera żądania wykonane przy użyciu konta użytkownika. Zamknięcie okienka bocznego lub odświeżenie zaawansowanej strony wyszukiwania zagrożeń nie spowoduje odrzucenia sesji. Nadal możesz uzyskać dostęp do wygenerowanych zapytań, jeśli ich potrzebujesz.

Wybierz ikonę dymka czatu (Nowy czat), aby odrzucić bieżącą sesję.

Zrzut ekranu przedstawiający Security Copilot w zaawansowanym polowaniu z nową ikoną czatu.

Modyfikuj ustawienia

Wybierz wielokropek w okienku bocznym funkcji Copilot, aby wybrać, czy automatycznie dodać i uruchomić wygenerowane zapytanie w zaawansowanym wyszukiwaniu zagrożeń.

Zrzut ekranu przedstawiający Security Copilot w zaawansowanym polowaniu z ikoną wielokropka ustawień.

Odznaczenie ustawienia Uruchom wygenerowane zapytanie automatycznie daje możliwość automatycznego uruchomienia wygenerowanego zapytania (Dodaj i uruchom) lub dodania wygenerowanego zapytania do edytora zapytań w celu dalszej modyfikacji (Dodaj do edytora).