Microsoft Security Copilot em investigação avançada
Aplica-se a:
- Microsoft Defender
- Microsoft Defender XDR
Security Copilot em investigação avançada
Microsoft Security Copilot no Microsoft Defender inclui uma capacidade de assistente de consulta na investigação avançada.
Os caçadores de ameaças ou analistas de segurança que ainda não estão familiarizados ou ainda não aprenderam a KQL podem fazer um pedido ou fazer uma pergunta em linguagem natural (por exemplo, Obter todos os alertas que envolvam o administrador de utilizador123). Em seguida, o Security Copilot gera uma consulta KQL que corresponde ao pedido através do esquema de dados de investigação avançada.
Esta funcionalidade reduz o tempo necessário para escrever uma consulta de investigação de raiz, para que os investigadores de ameaças e os analistas de segurança se possam concentrar na deteção e investigação de ameaças.
Os utilizadores com acesso ao Security Copilot têm acesso a esta capacidade na investigação avançada.
Nota
A capacidade de investigação avançada também está disponível na experiência autónoma do Security Copilot através do plug-in do Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Security Copilot.
Experimente o seu primeiro pedido
Abra a página investigação avançada na barra de navegação do Microsoft Defender XDR. O painel lateral do Security Copilot para investigação avançada aparece no lado direito.
Também pode reabrir o Copilot, ao selecionar Copilot na parte superior do editor de consultas.
Na barra de pedidos copilot, pergunte a qualquer consulta de investigação de ameaças que pretenda executar e prima
ou Enter .
O Copilot gera uma consulta KQL a partir da sua instrução de texto ou pergunta. Enquanto o Copilot estiver a gerar, pode cancelar a geração da consulta ao selecionar Parar de gerar.
Reveja a consulta gerada. Em seguida, pode optar por executar a consulta ao selecionar Adicionar e executar.
A consulta gerada aparece como a última consulta no editor de consultas e é executada automaticamente.
Se precisar de fazer mais ajustes, selecione Adicionar ao editor.
A consulta gerada aparecerá no editor de consultas como a última consulta, onde é possível editá-la antes de ser executada, ao utilizar o comando habitual Executar consulta acima do editor de consultas.
Pode fornecer feedback sobre a resposta gerada ao selecionar o ícone de feedback
selecionar Confirmar, Fora do destino ou Potencialmente prejudicial.
Sugestão
Fornecer feedback é uma forma importante de informar a equipa do Security Copilot sobre o quão bem a consulta assistente conseguiu ajudar a gerar uma consulta KQL útil. Esteja à vontade para nos dizer como a consulta poderia ter sido melhorada, que ajustes teve de fazer antes de executar a consulta KQL gerada ou partilhe a consulta KQL que acabou por utilizar.
Nota
No portal de Microsoft Defender unificado, pode pedir Security Copilot para gerar consultas de investigação avançadas para tabelas Defender XDR e Microsoft Sentinel. Nem todas as tabelas Microsoft Sentinel são atualmente suportadas, mas o suporte para estas tabelas pode ser esperado no futuro.
Sessões de consulta
Pode iniciar a sua primeira sessão em qualquer altura, ao colocar uma pergunta no painel lateral do Copilot na investigação avançada. A sua sessão contém os pedidos que fez através da sua conta de utilizador. Fechar o painel lateral ou atualizar a página de investigação avançada não elimina a sessão. Continuará a poder aceder às consultas geradas, caso necessite delas.
Selecione o ícone do balão de conversa (Nova conversa) para descartar a sessão atual.
Modificar definições
Selecione as reticências no painel lateral do Copilot para decidir se quer ou não adicionar e executar automaticamente a consulta gerada na investigação avançada.
Se desmarcar a definição Executar consulta gerada automaticamente, tem a opção de executar a consulta gerada automaticamente (Adicionar e executar) ou de adicionar a consulta gerada ao editor de consultas para modificação posterior (Adicionar ao editor).