Partager via

Microsoft Copilot pour la sécurité dans la chasse avancée

  • Article

S’applique à :

  • Microsoft Defender
  • Microsoft Defender XDR

Copilote pour la sécurité dans la chasse avancée

Microsoft Copilot for Security dans Microsoft Defender est fourni avec une fonctionnalité d’assistant de requête dans la chasse avancée.

Les chasseurs de menaces ou les analystes de sécurité qui ne sont pas encore familiarisés avec le langage KQL ou qui n’en ont pas encore appris peuvent faire une demande ou poser une question en langage naturel (par exemple, Obtenir toutes les alertes impliquant l’utilisateur admin123). Copilot for Security génère ensuite une requête KQL qui correspond à la requête à l’aide du schéma de données de repérage avancé.

Cette fonctionnalité réduit le temps nécessaire à l’écriture d’une requête de chasse à partir de zéro afin que les repéreurs de menaces et les analystes de sécurité puissent se concentrer sur le repérage et l’investigation des menaces.

Les utilisateurs ayant accès à Copilot for Security ont accès à cette fonctionnalité dans la chasse avancée.

Remarque

La fonctionnalité de repérage avancée est également disponible dans l’expérience autonome Copilot for Security via le plug-in Microsoft Defender XDR. En savoir plus sur les plug-ins préinstallés dans Copilot for Security.

Essayez votre première requête

  1. Ouvrez la page de repérage avancé à partir de la barre de navigation dans Microsoft Defender XDR. Le volet latéral Copilot pour la sécurité pour la chasse avancée s’affiche à droite.

    Capture d’écran du volet Copilot dans la chasse avancée.

    Vous pouvez également rouvrir Copilot en sélectionnant Copilot en haut de l’éditeur de requête.

  2. Dans la barre d’invite Copilot, demandez à toute requête de chasse aux menaces que vous souhaitez exécuter, puis appuyez sur ou sur Entrée .

    Capture d’écran montrant la barre d’invite dans Copilot for Security pour la chasse avancée.

  3. Copilot génère une requête KQL à partir de votre instruction ou question de texte. Pendant la génération de Copilot, vous pouvez annuler la génération de la requête en sélectionnant Arrêter la génération.

    Capture d’écran de Copilot for Security dans la chasse avancée générant une réponse.

  4. Évaluez la requête générée. Vous pouvez ensuite choisir d’exécuter la requête en sélectionnant Ajouter et exécuter.

    Capture d’écran du bouton Copilot montrant Ajouter la requête à l’éditeur de requête et exécuter.

    La requête générée apparaît alors comme la dernière requête dans l’éditeur de requête et s’exécute automatiquement.

    Si vous devez effectuer d’autres ajustements, sélectionnez Ajouter à l’éditeur.

    Capture d’écran de Copilot for Security dans la chasse avancée montrant l’option Ajouter à l’éditeur.

    La requête générée apparaît dans l’éditeur de requête en tant que dernière requête, où vous pouvez la modifier avant d’exécuter à l’aide de la requête Exécuter normale au-dessus de l’éditeur de requête.

  5. Vous pouvez fournir des commentaires sur la réponse générée en sélectionnant l’icône de commentaires Capture d’écran de l’icône de commentaires et en choisissant Confirmer, Hors cible ou Potentiellement dangereux.

Conseil

La fourniture de commentaires est un moyen important de faire savoir à l’équipe Copilot for Security dans quelle mesure l’assistant de requête a pu aider à générer une requête KQL utile. N’hésitez pas à expliquer ce qui aurait pu améliorer la requête, les ajustements que vous deviez effectuer avant d’exécuter la requête KQL générée, ou partager la requête KQL que vous avez finalement utilisée.

Remarque

Dans le portail Microsoft Defender unifié, vous pouvez demander à Copilot for Security de générer des requêtes de repérage avancées pour les tables Defender XDR et Microsoft Sentinel. Toutes les tables Microsoft Sentinel ne sont pas prises en charge actuellement, mais la prise en charge de ces tables peut être attendue à l’avenir.

Sessions de requête

Vous pouvez démarrer votre première session à tout moment en posant une question dans le volet latéral de Copilot dans la chasse avancée. Votre session contient les requêtes que vous avez effectuées à l’aide de votre compte d’utilisateur. La fermeture du volet latéral ou l’actualisation de la page de repérage avancé n’annule pas la session. Vous pouvez toujours accéder aux requêtes générées si vous en avez besoin.

Sélectionnez l’icône de bulle de conversation (Nouvelle conversation) pour ignorer la session active.

Capture d’écran de Copilot for Security dans la chasse avancée montrant la nouvelle icône de conversation.

Modifier les paramètres

Sélectionnez les points de suspension dans le volet latéral Copilot pour choisir d’ajouter et d’exécuter automatiquement la requête générée dans la chasse avancée.

Capture d’écran de Copilot for Security dans la chasse avancée montrant l’icône des points de suspension des paramètres.

La désélectionnement du paramètre Exécuter automatiquement la requête générée vous donne la possibilité d’exécuter automatiquement la requête générée (Ajouter et exécuter) ou d’ajouter la requête générée à l’éditeur de requête pour une modification supplémentaire (Ajouter à l’éditeur).