高级搜寻中的 Microsoft 安全 Copilot
适用于:
- Microsoft Defender
- Microsoft Defender XDR
高级搜寻中的安全 Copilot
Microsoft Defender中的Microsoft Security Copilot附带高级搜寻中的查询助手功能。
不熟悉或尚未了解 KQL 的威胁猎手或安全分析师可以使用自然语言发出请求或提问, (例如 获取涉及用户 admin123) 的所有警报 。 然后,安全 Copilot 将生成一个 KQL 查询,该查询对应于使用高级搜寻数据架构的请求。
此功能减少了从头开始编写搜寻查询所需的时间,以便威胁搜寻者和安全分析师可以专注于搜寻和调查威胁。
有权访问安全 Copilot 的用户可以在高级搜寻中访问此功能。
注意
高级搜寻功能也可通过 Microsoft Defender XDR 插件在Security Copilot独立体验中使用。 详细了解 Security Copilot 中的预安装插件。
尝试第一个请求
在 Microsoft Defender XDR 的导航栏中打开高级搜寻页。 高级搜寻的安全 Copilot 侧窗格显示在右侧。
还可以在查询编辑器的顶部选择“Copilot”以重新打开 Copilot。
在 Copilot 提示栏中,询问要运行的任何威胁搜寻查询,然后按
或 Enter 。
Copilot 根据文本指令或问题生成 KQL 查询。 在生成 Copilot 时,可以选择“停止生成”以取消查询生成。
查看生成的查询。 然后,可以选择“添加并运行”以运行查询。
然后,生成的查询在查询编辑器中显示为最后一个查询,并自动运行。
如果需要进一步调整,请选择“添加到编辑器”。
生成的查询将作为最后一个查询显示在查询编辑器中,可以在使用查询编辑器上方的常规 运行查询 之前对其进行编辑。
可以通过选择反馈图标“
”图标,然后选择“ 确认”、“ 非目标”或“ 可能有害”来提供有关生成的响应的反馈。
提示
提供反馈是让Security Copilot团队了解查询助手帮助生成有用的 KQL 查询的重要方法。 可以随意阐明哪些内容可以使查询更好、在运行生成的 KQL 查询之前必须进行哪些调整,或者共享最终使用的 KQL 查询。
注意
在统一Microsoft Defender门户中,可以提示Security Copilot为Defender XDR表和Microsoft Sentinel表生成高级搜寻查询。 目前并非所有Microsoft Sentinel表都受支持,但将来可能会支持这些表。
查询会话
可以通过在高级搜寻的“ Copilot 端”窗格中提问,随时启动第一个会话。 会话包含使用用户帐户发出的请求。 关闭侧窗格或刷新高级搜寻页不会放弃会话。 如果需要,仍可以访问生成的查询。
选择聊天气泡图标(新聊天)以放弃当前会话。
修改设置
选择 Copilot 侧窗格中的省略号,以选择是否在高级搜寻中自动添加和运行生成的查询。
取消选择“自动运行生成的查询”设置使你可以选择自动运行生成的查询(添加并运行)或将生成的查询添加到查询编辑器以供进一步修改(添加到编辑器)。