مشاركة عبر

Microsoft Copilot للأمان في التتبع المتقدم

  • مقالة

ينطبق على:

  • Microsoft Defender
  • Microsoft Defender XDR

Copilot للأمان في التتبع المتقدم

يأتي Microsoft Copilot للأمان في Microsoft Defender مزودا بإمكانية مساعد الاستعلام في التتبع المتقدم.

يمكن لصيادي التهديدات أو محللي الأمان الذين لم يتعرفوا بعد على KQL أو لم يتعلموا بعد تقديم طلب أو طرح سؤال باللغة الطبيعية (على سبيل المثال، الحصول على جميع التنبيهات التي تتضمن مسؤول المستخدم123). يقوم Copilot للأمان بعد ذلك بإنشاء استعلام KQL يتوافق مع الطلب باستخدام مخطط بيانات التتبع المتقدم.

تعمل هذه الميزة على تقليل الوقت المستغرق لكتابة استعلام تتبع من البداية حتى يتمكن متتبعو المخاطر ومحللو الأمان من التركيز على التتبع والتحقيق في المخاطر.

يمكن للمستخدمين الذين لديهم حق الوصول إلى Copilot للأمان الوصول إلى هذه الإمكانية في التتبع المتقدم.

ملاحظة

إمكانية التتبع المتقدم متوفرة أيضا في تجربة Copilot للأمان المستقلة عبر المكون الإضافي Microsoft Defender XDR. تعرف على المزيد حول المكونات الإضافية المثبتة مسبقا في Copilot للأمان.

تجربة طلبك الأول

  1. افتح صفحة التتبع المتقدم من شريط التنقل في Microsoft Defender XDR. يظهر الجزء الجانبي لـ Copilot للأمان للتتبع المتقدم على الجانب الأيسر.

    لقطة شاشة لجزء Copilot في التتبع المتقدم.

    يمكنك أيضا إعادة فتح Copilot عن طريق تحديد Copilot في أعلى محرر الاستعلام.

  2. في شريط المطالبة Copilot، اسأل أي استعلام تتبع التهديدات الذي تريد تشغيله واضغط عليه أو Enter .

    لقطة شاشة تعرض شريط المطالبة في Copilot للأمان للتتبع المتقدم.

  3. يقوم Copilot بإنشاء استعلام KQL من إرشادات النص أو السؤال. أثناء إنشاء Copilot، يمكنك إلغاء إنشاء الاستعلام عن طريق تحديد إيقاف الإنشاء.

    لقطة شاشة لـ Copilot للأمان في التتبع المتقدم يقوم بإنشاء استجابة.

  4. راجع الاستعلام الذي تم إنشاؤه. يمكنك بعد ذلك اختيار تشغيل الاستعلام عن طريق تحديد إضافة وتشغيل.

    لقطة شاشة لزر Copilot تعرض إضافة الاستعلام إلى محرر الاستعلام وتشغيله.

    يظهر الاستعلام الذي تم إنشاؤه بعد ذلك كالاستعلام الأخير في محرر الاستعلام ويتم تشغيله تلقائياً.

    إذا كنت بحاجة إلى إجراء المزيد من التعديلات، فحدد إضافة إلى المحرر.

    لقطة شاشة لـ Copilot للأمان في التتبع المتقدم تعرض خيار

    يظهر الاستعلام الذي تم إنشاؤه في محرر الاستعلام كالاستعلام الأخير، حيث يمكنك تحريره قبل التشغيل باستخدام تشغيل الاستعلام العادي أعلى محرر الاستعلام.

  5. يمكنك تقديم ملاحظات حول الاستجابة التي تم إنشاؤها عن طريق تحديد أيقونة الملاحظات لقطة شاشة لرمز الملاحظات. واختيار تأكيد أو خارج الهدف أو يحتمل أن يكون ضارا.

تلميح

يعد تقديم الملاحظات طريقة مهمة للسماح لفريق Copilot للأمان بمعرفة مدى قدرة مساعد الاستعلام على المساعدة في إنشاء استعلام KQL مفيد. لا تتردد في توضيح ما كان يمكن أن يجعل الاستعلام أفضل، أو التعديلات التي كان عليك إجراؤها قبل تشغيل الاستعلام المُنشأ الذي بلغة استعلامات Kusto (KQL)، أو مشاركة الاستعلام الذي بلغة استعلامات Kusto (KQL) الذي استخدمته في النهاية.

ملاحظة

في مدخل Microsoft Defender الموحد، يمكنك مطالبة Copilot for Security بإنشاء استعلامات تتبع متقدمة لكل من جداول Defender XDR وMicrosoft Sentinel. لا يتم دعم جميع جداول Microsoft Sentinel حاليا، ولكن يمكن توقع دعم هذه الجداول في المستقبل.

جلسات عمل الاستعلام

يمكنك بدء جلسة العمل الأولى في أي وقت عن طريق طرح سؤال في الجزء الجانبي لـ Copilot في التتبع المتقدم. تحتوي جلسة العمل على الطلبات التي أجريتها باستخدام حساب المستخدم الخاص بك. لا يؤدي إغلاق الجزء الجانبي أو تحديث صفحة التتبع المتقدمة إلى تجاهل جلسة العمل. لا يزال بإمكانك الوصول إلى الاستعلامات التي تم إنشاؤها إذا كنت بحاجة إليها.

حدد أيقونة فقاعة الدردشة (دردشة جديدة) لتجاهل جلسة العمل الحالية.

لقطة شاشة لـ Copilot للأمان في التتبع المتقدم تعرض أيقونة الدردشة الجديدة.

تعديل الإعدادات

حدد علامات الحذف في الجزء الجانبي لـ Copilot لاختيار ما إذا كنت تريد إضافة الاستعلام الذي تم إنشاؤه وتشغيله تلقائيا في التتبع المتقدم أم لا.

لقطة شاشة لـ Copilot للأمان في التتبع المتقدم تعرض أيقونة علامات الحذف للإعدادات.

يتيح لك إلغاء تحديد إعداد تشغيل الاستعلام المُنشأ تلقائياً خيار تشغيل الاستعلام الذي تم إنشاؤه تلقائياً (إضافة وتشغيل) أو إضافة الاستعلام الذي تم إنشاؤه إلى محرر الاستعلام لمزيد من التعديل (إضافة إلى المحرر).