Partager via


Microsoft Copilot pour la sécurité dans le repérage avancé

Microsoft Copilot pour la sécurité dans Microsoft Defender est fourni avec une fonctionnalité d’assistant de requête dans le repérage avancé.

Les chasseurs de menaces ou les analystes de sécurité qui ne sont pas encore familiarisés avec le langage KQL ou qui n’en ont pas encore appris peuvent faire une demande ou poser une question en langage naturel (pour instance, Obtenir toutes les alertes impliquant l’administrateur utilisateur123). Copilot pour la sécurité génère ensuite une requête KQL qui correspond à la requête à l’aide du schéma de données de repérage avancé.

Cette fonctionnalité réduit le temps nécessaire à l’écriture d’une requête de chasse à partir de zéro afin que les repéreurs de menaces et les analystes de sécurité puissent se concentrer sur le repérage et l’investigation des menaces.

Les utilisateurs ayant accès à Copilot pour la sécurité ont accès à cette fonctionnalité dans le repérage avancé.

Notes

La fonctionnalité de repérage avancée est également disponible dans l’expérience autonome Copilot pour la sécurité par le biais du plug-in Microsoft Defender XDR. En savoir plus sur les plug-ins préinstallés dans Copilot pour la sécurité.

Essayez votre première requête

  1. Ouvrez la page de repérage avancé à partir de la barre de navigation dans le portail Microsoft Defender. Le volet latéral Copilot pour la sécurité pour le repérage avancé s’affiche à droite.

    Capture d’écran du volet Copilot dans le repérage avancé.

    Vous pouvez également rouvrir Copilot en sélectionnant Copilot en haut de l’éditeur de requête.

  2. Dans la barre d’invite Copilot, demandez à toute requête de chasse aux menaces que vous souhaitez exécuter, puis appuyez sur ou sur Entrée .

    Capture d’écran montrant la barre d’invite dans Copilot pour la sécurité pour le repérage avancé.

  3. Copilot génère une requête KQL à partir de votre instruction ou question de texte. Pendant la génération de Copilot, vous pouvez annuler la génération de la requête en sélectionnant Arrêter la génération.

    Capture d’écran de Copilot pour la sécurité dans le repérage avancé générant une réponse.

  4. Évaluez la requête générée. Vous pouvez ensuite choisir d’exécuter la requête en sélectionnant Ajouter et exécuter.

    Capture d’écran du bouton Copilot montrant l’option Ajouter la requête à l’éditeur de requête et exécuter.

    La requête générée apparaît alors comme la dernière requête dans l’éditeur de requête et s’exécute automatiquement.

    Si vous devez effectuer d’autres ajustements, sélectionnez Ajouter à l’éditeur.

    Capture d’écran de Copilot pour la sécurité dans le repérage avancé montrant l’option Ajouter à l’éditeur.

    La requête générée apparaît dans l’éditeur de requête en tant que dernière requête, où vous pouvez la modifier avant d’exécuter à l’aide de la requête Exécuter normale au-dessus de l’éditeur de requête.

  5. Vous pouvez fournir des commentaires sur la réponse générée en sélectionnant l’icône de commentaires Capture d’écran de l’icône de commentaires et en choisissant Confirmer, Hors cible ou Potentiellement dangereux.

Conseil

La fourniture de commentaires est un moyen important de faire savoir à l’équipe Copilot pour la sécurité dans quelle mesure l’assistant de requête a pu aider à générer une requête KQL utile. N’hésitez pas à expliquer ce qui aurait pu améliorer la requête, les ajustements que vous deviez effectuer avant d’exécuter la requête KQL générée, ou partager la requête KQL que vous avez finalement utilisée.

Dans le portail Microsoft Defender, vous pouvez inviter Copilot for Security à générer des requêtes de repérage avancées pour les tables Defender XDR et Microsoft Sentinel. Toutes les tables Microsoft Sentinel ne sont pas actuellement prises en charge, mais la prise en charge de ces tables peut être attendue à l’avenir.

Sessions de requête

Vous pouvez démarrer votre première session à tout moment en posant une question dans le volet latéral Copilot dans le repérage avancé. Votre session contient les requêtes que vous avez effectuées à l’aide de votre compte d’utilisateur. La fermeture du volet latéral ou l’actualisation de la page de repérage avancé n’annule pas la session. Vous pouvez toujours accéder aux requêtes générées si vous en avez besoin.

Sélectionnez l’icône de bulle de conversation (Nouvelle conversation) pour ignorer la session active.

Capture d’écran de Copilot pour la sécurité dans le repérage avancé montrant la nouvelle icône de conversation.

Modifier les paramètres

Sélectionnez les points de suspension dans le volet latéral Copilot pour choisir d’ajouter et d’exécuter automatiquement la requête générée dans le repérage avancé.

Capture d’écran de Copilot pour la sécurité dans le repérage avancé montrant l’icône des points de suspension des paramètres.

La désélection du paramètre Exécuter automatiquement la requête générée vous donne la possibilité d’exécuter automatiquement la requête générée (Exécuter la requête) ou d’ajouter la requête générée à l’éditeur de requête pour une modification supplémentaire (Ajouter à l’éditeur).