Teilen über

Microsoft Copilot für Security in der erweiterten Bedrohungssuche

  • Artikel

Gilt für:

  • Microsoft Defender
  • Microsoft Defender XDR

Copilot für Security in der erweiterten Bedrohungssuche

Microsoft Copilot für Security in Microsoft Defender verfügt über eine Abfrage-Assistent-Funktion für die erweiterte Bedrohungssuche.

Bedrohungssuchende oder Sicherheitsanalysten, die noch nicht mit KQL vertraut sind oder es erst noch lernen müssen, können eine Anforderung senden oder eine Frage in natürlicher Sprache stellen (z. B.: Rufe alle Warnungen ab, an denen der Benutzer „admin123“ beteiligt ist). Copilot für Security generiert dann eine der Anforderung entsprechende KQL-Abfrage unter Verwendung des Datenschemas für die erweiterte Bedrohungssuche.

Dieses Feature reduziert die Zeit, die benötigt wird, um eine Bedrohungssuchabfrage von Grund auf neu zu schreiben, sodass Bedrohungssuchende und Sicherheitsanalysten sich auf die Suche und Untersuchung von Bedrohungen konzentrieren können.

Benutzer mit Zugriff auf Copilot für Security haben Zugriff auf diese Funktion in der erweiterten Bedrohungssuche.

Hinweis

Die Funktion zur erweiterten Bedrohungssuche ist auch in der eigenständigen Version von Copilot für Security über das Microsoft Defender XDR-Plug-In verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Copilot für Security.

Probieren Sie Ihre erste Anforderung aus

  1. Öffnen Sie über die Navigationsleiste in Microsoft Defender XDR die Seite Erweiterte Bedrohungssuche. Der Copilot für Security-Seitenbereich für die erweiterte Bedrohungssuche wird auf der rechten Seite angezeigt.

    Screenshot des Copilot-Bereichs in der erweiterten Bedrohungssuche.

    Sie können Copilot auch erneut öffnen, indem Sie oben im Abfrage-Editor Copilot auswählen.

  2. Geben Sie in der Copilot-Prompt-Leiste eine Bedrohungssuchabfrage ein, die Sie ausführen möchten, und drücken Sie oder die EINGABETASTE.

    Screenshot, der die Prompt-Leiste in Copilot für Security für die erweiterte Bedrohungssuche zeigt.

  3. Copilot generiert eine KQL-Abfrage anhand Ihrer Textanweisung oder Frage. Während Copilot die Abfrage generiert, können Sie den Vorgang abbrechen, indem Sie Generieren beenden auswählen.

    Screenshot von Copilot für Security in der erweiterten Bedrohungssuche, der eine Antwort generiert.

  4. Überprüfen Sie die generierte Abfrage. Sie können die Abfrage anschließend ausführen, indem Sie Hinzufügen und ausführen auswählen.

    Screenshot der Copilot-Schaltfläche mit dem Text „Abfrage zum Abfrage-Editor hinzufügen und ausführen“

    Die generierte Abfrage wird dann als letzte Abfrage im Abfrage-Editor angezeigt und automatisch ausgeführt.

    Wenn Sie weitere Optimierungen vornehmen müssen, wählen Sie Zum Editor hinzufügen aus.

    Screenshot von Copilot für Security in der erweiterten Bedrohungssuche und der Option „Zum Editor hinzufügen“

    Die generierte Abfrage wird im Abfrage-Editor als letzte Abfrage angezeigt. Dort können Sie sie bearbeiten, bevor sie über Abfrage ausführen über dem Abfrage-Editor regulär ausgeführt wird.

  5. Sie können Feedback zur generierten Antwort geben, indem Sie das Feedback-Symbol Screenshot des Feedbacksymbols. und dann Bestätigen, Nicht relevant oder Potenziell schädlich auswählen.

Tipp

Die Bereitstellung von Feedback ist eine wichtige Möglichkeit, um das Copilot für Security-Team wissen zu lassen, wie gut der Abfrage-Assistent beim Generieren einer nützlichen KQL-Abfrage helfen konnte. Erläutern Sie gerne, wie die Abfrage hätte verbessert werden können, welche Anpassungen Sie vor dem Ausführen der generierten KQL-Abfrage vornehmen mussten, oder übermitteln Sie die KQL-Abfrage, die Sie schließlich verwendet haben.

Hinweis

Im einheitlichen Microsoft Defender-Portal können Sie Copilot für Security auffordern, Abfragen für die erweiterte Bedrohungssuche für Defender XDR- und Microsoft Sentinel-Tabellen zu generieren. Derzeit werden nicht alle Microsoft Sentinel-Tabellen unterstützt, dies ist aber für die Zukunft geplant.

Abfragesitzungen

Sie können Ihre erste Sitzung jederzeit starten, indem Sie in der erweiterten Bedrohungssuche im Copilot-Seitenbereich eine Frage stellen. Ihre Sitzung enthält die über Ihr Benutzerkonto erstellten Anforderungen. Wenn Sie den Seitenbereich schließen oder die Seite für die erweiterte Bedrohungssuche aktualisieren, wird die Sitzung nicht verworfen. Sie können weiterhin auf die generierten Abfragen zugreifen, wenn Sie sie benötigen.

Wählen Sie das Chatblasensymbol (Neuer Chat) aus, um die aktuelle Sitzung zu verwerfen.

Screenshot von Copilot für Security in der erweiterten Bedrohungssuche und des Symbols „Neuer Chat“

Ändern von Einstellungen

Wählen Sie die Auslassungspunkte im Copilot-Seitenbereich aus, um festzulegen, ob die generierte Abfrage automatisch hinzugefügt und in der erweiterten Bedrohungssuche ausgeführt werden soll.

Screenshot von Copilot für Security in der erweiterten Suche mit dem Auslassungspunkte-Symbols für die Einstellungen.

Wenn Sie die Generierte Abfrage automatisch ausführen deaktivieren, können Sie auswählen, ob die generierte Abfrage automatisch ausgeführt (Hinzufügen und ausführen) oder zur weiteren Änderung zum Abfrage-Editor hinzugefügt (Zum Editor hinzufügen) werden soll.