Microsoft Security Copilot при расширенной охоте
Область применения:
- Microsoft Defender
- Microsoft Defender XDR
Security Copilot при расширенной охоте
Microsoft Security Copilot в Microsoft Defender предоставляет возможность помощник запросов в расширенной охоте.
Охотники за угрозами или аналитики безопасности, которые еще не знакомы с KQL или еще не учатся, могут сделать запрос или задать вопрос на естественном языке (например, Получить все оповещения с участием администратора пользователя123). Затем Security Copilot создаст запрос KQL, соответствующий данному, с помощью схемы данных расширенной охоты.
Эта возможность позволяет сократить время, необходимое для создания запроса охоты с нуля, благодаря чему охотники на угрозы и аналитики безопасности могут сосредоточиться на охоте и исследовании угроз.
Пользователи, имеющие доступ к Security Copilot, могут пользоваться этой возможностью при расширенной охоте.
Примечание.
Расширенная возможность охоты также доступна в автономном интерфейсе Security Copilot через подключаемый модуль Microsoft Defender XDR. Узнайте больше о предустановленных подключаемых модулях в Security Copilot.
Попробуйте создать и запустить свой первый запрос
Откройте страницу Расширенная охота на панели навигации в Microsoft Defender XDR. Справа появится боковая панель навигации Security Copilot для расширенной охоты.
Вы также можете повторно открыть Copilot, выбрав Copilot в верхней части редактора запросов.
На панели командной строки Copilot спросите любой запрос охоты на угрозы, который требуется выполнить, и нажмите или
Введите .
Copilot генерирует запрос KQL на основе вашей текстовой инструкции или вопроса. Во время генерации Copilot вы можете отменить генерацию запроса, выбрав Остановить генерирование.
Просмотрите созданный запрос. Затем вы можете выполнить запрос, выбрав Добавить и запустить.
Созданный запрос отображается последним в редакторе запросов и запускается автоматически.
Если вам нужно внести дополнительные изменения, выберите Добавить в редактор.
Созданный запрос отображается последним в редакторе запросов, где его можно изменить перед запуском с помощью обычной кнопки Запустить запрос над редактором запросов.
Вы можете отправить отзыв о созданном ответе, выбрав значок
выбрав Подтвердить, Не целевой объект или Потенциально опасный.
Совет
Предоставление отзывов — это важный способ сообщить команде Security Copilot, насколько хорошо помощник запрос смог помочь в создании полезного запроса KQL. Свободно изложите, как можно было бы улучшить запрос, какие изменения вам пришлось внести перед запуском созданного запроса KQL, или поделитесь запросом KQL, который вы использовали в конечном итоге.
Примечание.
На портале единого Microsoft Defender можно предложить Security Copilot создавать расширенные запросы на поиск как для Defender XDR, так и для таблиц Microsoft Sentinel. В настоящее время поддерживаются не все Microsoft Sentinel таблицы, но поддержка этих таблиц может быть ожидаемой в будущем.
Сеансы запросов
Вы можете начать свой первый сеанс в любое время, задав вопрос на боковой панели Copilot в расширенной охоте. Сеанс содержит запросы, созданные с помощью учетной записи пользователя. Закрытие боковой панели или обновление страницы расширенной охоты не отменяет сеанс. Вы по-прежнему можете получить доступ к созданным запросам при необходимости.
Выберите значок чата (Новый чат), чтобы отменить текущий сеанс.
Изменение параметров
Выберите многоточие на боковой панели Copilot, чтобы выбрать, следует ли автоматически добавлять и запускать сгенерированный запрос в режиме расширенного поиска.
Выбор параметра Автоматически запустить созданный запрос позволяет запустить созданный запрос автоматически (Запустить запрос) или добавить его в редактор запросов для дальнейшего изменения (Добавить в редактор).