Share via

Microsoft Copilot voor Beveiliging in geavanceerde opsporing

  • Artikel
  • Geldt voor:
    Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Copilot voor Beveiliging in Microsoft Defender wordt geleverd met een query-assistentfunctie voor geavanceerde opsporing.

Bedreigingsjagers of beveiligingsanalisten die nog niet bekend zijn met KQL of die KQL nog niet hebben geleerd, kunnen een aanvraag indienen of een vraag stellen in natuurlijke taal (bijvoorbeeld Alle waarschuwingen ophalen met betrekking tot gebruikersbeheerder123). Copilot voor Beveiliging genereert vervolgens een KQL-query die overeenkomt met de aanvraag met behulp van het schema voor geavanceerde opsporingsgegevens.

Deze functie vermindert de tijd die nodig is om een nieuwe opsporingsquery te schrijven, zodat bedreigingszoekers en beveiligingsanalisten zich kunnen richten op het opsporen en onderzoeken van bedreigingen.

Gebruikers met toegang tot Copilot voor Beveiliging hebben toegang tot deze mogelijkheid bij geavanceerde opsporing.

Opmerking

De geavanceerde opsporingsmogelijkheid is ook beschikbaar in de zelfstandige ervaring van Copilot voor Beveiliging via de Microsoft Defender XDR-invoegtoepassing. Meer informatie over vooraf geïnstalleerde invoegtoepassingen in Copilot voor Beveiliging.

Probeer uw eerste aanvraag

  1. Open de geavanceerde opsporingspagina vanuit de navigatiebalk in de Microsoft Defender portal. Het zijvenster van Copilot voor Beveiliging voor geavanceerde opsporing wordt aan de rechterkant weergegeven.

    Schermopname van het Copilot-deelvenster in geavanceerde opsporing.

    U kunt Copilot ook opnieuw openen door Copilot bovenaan de queryeditor te selecteren.

  2. Vraag in de Copilot-promptbalk een query voor het opsporen van bedreigingen die u wilt uitvoeren en druk op Of Enter .

    Schermopname van de promptbalk in geavanceerde opsporing van Copilot voor Beveiliging.

  3. Copilot genereert een KQL-query op basis van uw tekstinstructie of vraag. Terwijl Copilot aan het genereren is, kunt u het genereren van query's annuleren door Stoppen met genereren te selecteren.

    Schermopname van Copilot voor Beveiliging in geavanceerde opsporing die een reactie genereert.

  4. Controleer de gegenereerde query. U kunt er vervolgens voor kiezen om de query uit te voeren door Toevoegen en uitvoeren te selecteren.

    Schermopname van de Copilot-knop met De query toevoegen aan query-editor en uitvoeren.

    De gegenereerde query wordt vervolgens weergegeven als de laatste query in de query-editor en wordt automatisch uitgevoerd.

    Als u meer aanpassingen wilt aanbrengen, selecteert u Toevoegen aan editor.

    Schermopname van Copilot voor Beveiliging in geavanceerde opsporing met de optie Toevoegen aan editor.

    De gegenereerde query wordt in de query-editor weergegeven als de laatste query, waar u deze kunt bewerken voordat u deze uitvoert met behulp van de reguliere Query uitvoeren boven de query-editor.

  5. U kunt feedback geven over het gegenereerde antwoord door het feedbackpictogram Schermopname van het feedbackpictogram te selecteren en Bevestigen, Buiten doel of Mogelijk schadelijk te kiezen.

Tip

Feedback geven is een belangrijke manier om het team Copilot voor Beveiliging te laten weten hoe goed de queryassistent kan helpen bij het genereren van een nuttige KQL-query. U kunt gerust aangeven wat de query had kunnen verbeteren, welke aanpassingen u moest aanbrengen voordat u de gegenereerde KQL-query uitvoerde of deel de KQL-query die u uiteindelijk hebt gebruikt.

In de Microsoft Defender-portal kunt u Copilot for Security vragen om geavanceerde opsporingsquery's te genereren voor zowel Defender XDR als Microsoft Sentinel tabellen. Niet alle Microsoft Sentinel tabellen worden momenteel ondersteund, maar ondersteuning voor deze tabellen kan in de toekomst worden verwacht.

Querysessies

U kunt uw eerste sessie op elk gewenst moment starten door een vraag te stellen in het zijvenster van Copilot in geavanceerde opsporing. Uw sessie bevat de aanvragen die u hebt gedaan met uw gebruikersaccount. Als u het zijvenster sluit of de geavanceerde opsporingspagina vernieuwt, wordt de sessie niet genegeerd. U hebt nog steeds toegang tot de gegenereerde query's als u ze nodig hebt.

Selecteer het chatballonpictogram (Nieuwe chat) om de huidige sessie te verwijderen.

Schermopname van Copilot voor Beveiliging in geavanceerde opsporing met het nieuwe chatpictogram.

Instellingen wijzigen

Selecteer de beletseltekens in het zijvenster van Copilot om te kiezen of de gegenereerde query automatisch moet worden toegevoegd en uitgevoerd tijdens geavanceerde opsporing.

Schermopname van Copilot voor Beveiliging in geavanceerde opsporing met het pictogram voor het beletselteken voor instellingen.

Als u de instelling Gegenereerde query automatisch uitvoeren uitschakelt, kunt u de gegenereerde query automatisch uitvoeren (Toevoegen en uitvoeren) of de gegenereerde query toevoegen aan de queryeditor voor verdere wijziging (Toevoegen aan editor).