進階搜捕中的 Microsoft 安全性 Copilot
適用於:
- Microsoft Defender
- Microsoft Defender XDR
進階搜捕中的安全性 Copilot
Microsoft Defender 中的 Microsoft Security Copilot 隨附進階搜捕的查詢 助理 功能。
威脅搜捕者或尚未熟悉或尚未瞭解 KQL 的安全性分析師,可以提出要求或以自然語言提出問題 (例如, 取得與使用者 admin123 相關的所有警示) 。 安全性 Copilot 之後會使用進階搜捕資料結構描述產生對應至要求的 KQL 查詢。
這項功能可減少從頭開始撰寫搜捕查詢所需的時間,讓威脅搜捕人員和安全性分析師可以專注在搜捕和調查威脅上。
具有安全性 Copilot 存取權的使用者可在進階搜捕中存取此功能。
注意事項
進階搜捕功能也可透過 Microsoft Defender 全面偵測回應 外掛程式,在 Security Copilot 獨立體驗中使用。 深入瞭解 Security Copilot 中預安裝的外掛程式。
嘗試您的第一個查詢
從 Microsoft Defender 全面偵測回應中的導覽列開啟 進階搜捕 頁面。 適用於進階搜捕的安全性 Copilot 側邊窗格會在右側顯示。
您也可以選取查詢編輯器頂端的 Copilot,以重新開啟 Copilot。
在 Copilot 提示列中,詢問您要執行的任何威脅搜捕查詢,然後按 或 輸入 。
Copilot 會從文字說明或問題中產生 KQL 查詢。 當 Copilot 產生查詢時,您可以透過選取 [停止產生] 來取消查詢產生。
檢視產生的查詢。 您之後可以透過選取 [新增並執行] 來選擇執行查詢。
產生的查詢接著會顯示為查詢編輯器中的最後一個查詢,並自動執行。
如果您需要做進一步的調整,請選取 [新增至編輯器]。
產生的查詢會在查詢編輯器中顯示為最後一個查詢,此處您可以在執行之前,在查詢編輯器上方使用標準 執行查詢 來進行編輯。
您可以選取意見反應圖示意見反應 ,然後選擇 [ 確認]、 [偏離目標] 或 [ 可能有害],以提供所產生回應的意見反應。
提示
提供意見反應是讓 Security Copilot 小組知道查詢 助理 能夠協助產生有用 KQL 查詢的重要方式。 您可以隨意闡述可能讓查詢變更好的事項、在執行產生的 KQL 查詢之前進行了哪些調整,或分享您最終使用的 KQL 查詢。
注意事項
在統一 Microsoft Defender 入口網站中,您可以提示 Security Copilot 為 Defender 全面偵測回應 和 Microsoft Sentinel 數據表產生進階搜捕查詢。 目前並非所有 Microsoft Sentinel 數據表都受到支援,但未來可能會支援這些數據表。
查詢工作階段
您可以隨時在進階搜捕的 Copilot 側邊窗格中詢問問題,以開始您的第一個工作階段。 您的工作模式包含使用您的使用者帳戶所提出的要求。 關閉側邊窗格或重新整理進階搜捕頁面並不會捨棄會話。 您仍然可以在需要時存取產生的查詢。
選取聊天泡泡圖示 (新增聊天),以捨棄目前的工作階段。
修改設定
選取 Copilot 側邊窗格中的省略號,以選擇是否要在進階搜捕中自動新增並執行所產生的查詢。
取消選取 [自動執行產生的查詢] 設定可讓您選擇自動執行產生的查詢 ([新增並執行]),或將產生的查詢新增至查詢編輯器以便進一步修改 (新增至編輯器)。