Microsoft Copilot til Security i avanceret jagt på trusler
Microsoft Copilot til Security i Microsoft Defender leveres med en funktionalitet som forespørgselsassistent i avanceret jagt på trusler.
Trusselsjægere eller sikkerhedsanalytikere, der endnu ikke er bekendt med eller endnu ikke har lært KQL, kan foretage en anmodning eller stille et spørgsmål på et naturligt sprog (f.eks. Få alle beskeder, der involverer brugeradministrator123). Copilot til Security genererer derefter en KQL-forespørgsel, der svarer til anmodningen, ved hjælp af dataskemaet for avanceret jagt på trusler.
Denne funktion reducerer den tid, det tager at skrive en jagtforespørgsel fra bunden, så trusselsjægere og sikkerhedsanalytikere kan fokusere på jagt og undersøgelse af trusler.
Brugere med adgang til Copilot til Security har adgang til denne funktion i avanceret jagt på trusler.
Bemærk!
Funktionaliteten avanceret jagt på trusler også tilgængelig i den separate Copilot til Security-oplevelse via Microsoft Defender XDR-plugin'et. Få mere at vide om forudinstallerede plug-ins i Copilot til Security.
Prøv din første anmodning
Åbn siden avanceret jagt på navigationslinjen på Microsoft Defender-portalen. Copilot til Security-sideruden til avanceret jagt på trusler vises i højre side.
Du kan også åbne Copilot igen ved at vælge Copilot øverst i forespørgselseditoren.
På promptlinjen Copilot skal du spørge en hvilken som helst forespørgsel om trusselsjagt, som du vil køre, og trykke på
eller Enter .
Copilot genererer en KQL-forespørgsel ud fra din tekstinstruktion eller dit spørgsmål. Mens Copilot genererer, kan du annullere oprettelsen af forespørgslen ved at vælge Annuller.
Gennemse den genererede forespørgsel. Du kan derefter vælge at køre forespørgslen ved at vælge Tilføj og kør.
Den genererede forespørgsel vises derefter som den sidste forespørgsel i forespørgselseditoren og kører automatisk.
Hvis du har brug for at foretage yderligere ændringer, skal du vælge Føj til editor.
Den genererede forespørgsel vises i forespørgselseditoren som den sidste forespørgsel, hvor du kan redigere den, før den køres ved hjælp af den almindelige Kør-forespørgsel over forespørgselseditoren.
Du kan give feedback om det genererede svar ved at vælge feedbackikonet
vælge Bekræft, På vej væk fra målet eller Potentielt skadeligt.
Tip
Det at give feedback er en vigtig måde at lade Copilot til Security-teamet vide, hvor godt forespørgselsassistenten var i stand til at hjælpe med at generere en nyttig KQL-forespørgsel. Du er velkommen til at formulere, hvad der kunne have gjort forespørgslen bedre, hvilke justeringer du skulle foretage, før du kørte den genererede KQL-forespørgsel, eller del KQL-forespørgslen, du til sidst brugte.
På Microsoft Defender-portalen kan du bede Copilot for Security om at generere avancerede jagtforespørgsler for både Defender XDR og Microsoft Sentinel tabeller. Ikke alle Microsoft Sentinel tabeller understøttes i øjeblikket, men understøttelse af disse tabeller kan forventes i fremtiden.
Forespørgselssessioner
Du kan starte din første session når som helst ved at stille et spørgsmål i Copilot-sideruden i avanceret jagt på trusler. Din session indeholder de anmodninger, du har foretaget ved hjælp af din brugerkonto. Hvis du lukker sideruden eller opdaterer den avancerede jagtside, kasseres sessionen ikke. Du kan stadig få adgang til de genererede forespørgsler, hvis du har brug for dem.
Vælg chatbobleikonet (Ny chat) for at kassere den aktuelle session.
Rediger indstillinger
Vælg ellipserne i Copilot-sideruden for at vælge, om den genererede forespørgsel automatisk skal tilføjes og køres i avanceret jagt på trusler.
Hvis du fravælger indstillingen Kør genereret forespørgsel automatisk, kan du køre den genererede forespørgsel automatisk (Tilføj og kør) eller føje den genererede forespørgsel til forespørgselseditoren med henblik på yderligere ændring (Føj til editor).