Microsoft Copilot für Security in der erweiterten Bedrohungssuche
Gilt für:
- Microsoft Defender
- Microsoft Defender XDR
Copilot für Security in der erweiterten Bedrohungssuche
Microsoft Copilot für Security in Microsoft Defender verfügt über eine Abfrage-Assistent-Funktion für die erweiterte Bedrohungssuche.
Bedrohungssuchende oder Sicherheitsanalysten, die noch nicht mit KQL vertraut sind oder es erst noch lernen müssen, können eine Anforderung senden oder eine Frage in natürlicher Sprache stellen (z. B.: Rufe alle Warnungen ab, an denen der Benutzer „admin123“ beteiligt ist). Copilot für Security generiert dann eine der Anforderung entsprechende KQL-Abfrage unter Verwendung des Datenschemas für die erweiterte Bedrohungssuche.
Dieses Feature reduziert die Zeit, die benötigt wird, um eine Bedrohungssuchabfrage von Grund auf neu zu schreiben, sodass Bedrohungssuchende und Sicherheitsanalysten sich auf die Suche und Untersuchung von Bedrohungen konzentrieren können.
Benutzer mit Zugriff auf Copilot für Security haben Zugriff auf diese Funktion in der erweiterten Bedrohungssuche.
Hinweis
Die Funktion zur erweiterten Bedrohungssuche ist auch in der eigenständigen Version von Copilot für Security über das Microsoft Defender XDR-Plug-In verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Copilot für Security.
Probieren Sie Ihre erste Anforderung aus
Öffnen Sie über die Navigationsleiste in Microsoft Defender XDR die Seite Erweiterte Bedrohungssuche. Der Copilot für Security-Seitenbereich für die erweiterte Bedrohungssuche wird auf der rechten Seite angezeigt.
Sie können Copilot auch erneut öffnen, indem Sie oben im Abfrage-Editor Copilot auswählen.
Geben Sie in der Copilot-Prompt-Leiste eine Bedrohungssuchabfrage ein, die Sie ausführen möchten, und drücken Sie oder die EINGABETASTE.
Copilot generiert eine KQL-Abfrage anhand Ihrer Textanweisung oder Frage. Während Copilot die Abfrage generiert, können Sie den Vorgang abbrechen, indem Sie Generieren beenden auswählen.
Überprüfen Sie die generierte Abfrage. Sie können die Abfrage anschließend ausführen, indem Sie Hinzufügen und ausführen auswählen.
Die generierte Abfrage wird dann als letzte Abfrage im Abfrage-Editor angezeigt und automatisch ausgeführt.
Wenn Sie weitere Optimierungen vornehmen müssen, wählen Sie Zum Editor hinzufügen aus.
Die generierte Abfrage wird im Abfrage-Editor als letzte Abfrage angezeigt. Dort können Sie sie bearbeiten, bevor sie über Abfrage ausführen über dem Abfrage-Editor regulär ausgeführt wird.
Sie können Feedback zur generierten Antwort geben, indem Sie das Feedback-Symbol und dann Bestätigen, Nicht relevant oder Potenziell schädlich auswählen.
Tipp
Die Bereitstellung von Feedback ist eine wichtige Möglichkeit, um das Copilot für Security-Team wissen zu lassen, wie gut der Abfrage-Assistent beim Generieren einer nützlichen KQL-Abfrage helfen konnte. Erläutern Sie gerne, wie die Abfrage hätte verbessert werden können, welche Anpassungen Sie vor dem Ausführen der generierten KQL-Abfrage vornehmen mussten, oder übermitteln Sie die KQL-Abfrage, die Sie schließlich verwendet haben.
Hinweis
Im einheitlichen Microsoft Defender-Portal können Sie Copilot für Security auffordern, Abfragen für die erweiterte Bedrohungssuche für Defender XDR- und Microsoft Sentinel-Tabellen zu generieren. Derzeit werden nicht alle Microsoft Sentinel-Tabellen unterstützt, dies ist aber für die Zukunft geplant.
Abfragesitzungen
Sie können Ihre erste Sitzung jederzeit starten, indem Sie in der erweiterten Bedrohungssuche im Copilot-Seitenbereich eine Frage stellen. Ihre Sitzung enthält die über Ihr Benutzerkonto erstellten Anforderungen. Wenn Sie den Seitenbereich schließen oder die Seite für die erweiterte Bedrohungssuche aktualisieren, wird die Sitzung nicht verworfen. Sie können weiterhin auf die generierten Abfragen zugreifen, wenn Sie sie benötigen.
Wählen Sie das Chatblasensymbol (Neuer Chat) aus, um die aktuelle Sitzung zu verwerfen.
Ändern von Einstellungen
Wählen Sie die Auslassungspunkte im Copilot-Seitenbereich aus, um festzulegen, ob die generierte Abfrage automatisch hinzugefügt und in der erweiterten Bedrohungssuche ausgeführt werden soll.
Wenn Sie die Generierte Abfrage automatisch ausführen deaktivieren, können Sie auswählen, ob die generierte Abfrage automatisch ausgeführt (Hinzufügen und ausführen) oder zur weiteren Änderung zum Abfrage-Editor hinzugefügt (Zum Editor hinzufügen) werden soll.