Microsoft Security Copilot nella rilevazione avanzata
Microsoft Copilot per la sicurezza in Microsoft Defender è dotato di una funzionalità di assistente alle query nella rilevazione avanzata.
I cacciatori di minacce o gli analisti della sicurezza che non hanno ancora familiarità o devono ancora apprendere KQL possono effettuare una richiesta o porre una domanda in linguaggio naturale (ad esempio, Ottenere tutti gli avvisi che coinvolgono l'amministratore utente123). Copilot per la sicurezza genera quindi una query KQL che corrisponde alla richiesta utilizzando lo schema dei dati di rilevazione avanzata.
Questa funzionalità riduce il tempo necessario per scrivere una query di ricerca da zero in modo che i cercatori di minacce e gli analisti della sicurezza possano concentrarsi sulla ricerca e l'analisi delle minacce.
Gli utenti con accesso a Copilot per la sicurezza hanno accesso a questa funzionalità nella rilevazione avanzata.
Nota
La capacità di rilevazione avanzata è disponibile anche nell'esperienza autonoma di Copilot per la sicurezza attraverso il plugin Microsoft Defender XDR. Altre informazioni sui plug-in preinstallati in Copilot per la sicurezza.
Provare la prima richiesta
Aprire la pagina ricerca avanzata dalla barra di spostamento nel portale di Microsoft Defender. Il riquadro laterale di Copilot per la sicurezza per la rilevazione avanzata appare sul lato destro.
È anche possibile riaprire Copilot selezionando Copilot nella parte superiore dell'editor di query.
Nella barra dei prompt di Copilot chiedere qualsiasi query di ricerca delle minacce da eseguire e premere
o INVIO .
Copilot genera una query KQL a partire dall'istruzione o dalla domanda di testo. Mentre Copilot sta generando, è possibile annullare la generazione della query selezionando Interrompi generazione.
Esaminare la query generata. È possibile scegliere di eseguire la query selezionando Aggiungi ed esegui.
La query generata viene quindi visualizzata come ultima query nell'editor di query e viene eseguita automaticamente.
Se è necessario apportare ulteriori modifiche, selezionare Aggiungi all'editor.
La query generata viene visualizzata nell'editor di query come ultima query, in cui è possibile modificarla prima di eseguire la query di esecuzione normale sopra l'editor di query.
È possibile fornire commenti e suggerimenti sulla risposta generata selezionando l'icona
e scegliendo Conferma, Fuori destinazione o Potenzialmente dannoso.
Consiglio
Fornire un feedback è un modo importante per far sapere al team di Copilot per la sicurezza quanto l'assistente di query sia stato in grado di aiutare a generare una query KQL utile. È possibile articolare ciò che avrebbe potuto migliorare la query, quali modifiche è stato necessario apportare prima di eseguire la query KQL generata o condividere la query KQL usata alla fine.
Nel portale di Microsoft Defender è possibile richiedere a Copilot per la sicurezza di generare query di ricerca avanzate per tabelle Defender XDR e Microsoft Sentinel. Non tutte le tabelle Microsoft Sentinel sono attualmente supportate, ma il supporto per queste tabelle può essere previsto in futuro.
Sessioni di query
È possibile iniziare la prima sessione in qualsiasi momento ponendo una domanda nel riquadro laterale Copilot in rilevazione avanzata. La sessione contiene le richieste effettuate usando l'account utente. La chiusura del riquadro laterale o l'aggiornamento della pagina di ricerca avanzata non elimina la sessione. È comunque possibile accedere alle query generate in caso di necessità.
Selezionare l'icona a bolle della chat (Nuova chat) per eliminare la sessione corrente.
Modificare le impostazioni
Selezionare le ellissi nel riquadro laterale Copilot per scegliere se aggiungere ed eseguire automaticamente la query generata in rilevazione avanzata.
Deselezionando l'impostazione Esegui query generata automaticamente è possibile eseguire automaticamente la query generata (Aggiungi ed esegui) o aggiungere la query generata all'editor di query per ulteriori modifiche (Aggiungi all'editor).