Delen via


Microsoft Copilot voor beveiliging in geavanceerde opsporing

Van toepassing op:

  • Microsoft Defender
  • Microsoft Defender XDR

Copilot voor beveiliging in geavanceerde opsporing

Microsoft Copilot voor beveiliging in Microsoft Defender wordt geleverd met een functie voor queryassistent in geavanceerde opsporing.

Bedreigingsjagers of beveiligingsanalisten die nog niet bekend zijn met KQL of die KQL nog niet hebben geleerd, kunnen een aanvraag indienen of een vraag stellen in natuurlijke taal (bijvoorbeeld Alle waarschuwingen ophalen met betrekking tot gebruikersbeheerder123). Copilot for Security genereert vervolgens een KQL-query die overeenkomt met de aanvraag met behulp van het geavanceerde opsporingsgegevensschema.

Deze functie vermindert de tijd die nodig is om een nieuwe opsporingsquery te schrijven, zodat bedreigingszoekers en beveiligingsanalisten zich kunnen richten op het opsporen en onderzoeken van bedreigingen.

Gebruikers met toegang tot Copilot for Security hebben toegang tot deze mogelijkheid bij geavanceerde opsporing.

Opmerking

De geavanceerde opsporingsmogelijkheid is ook beschikbaar in de zelfstandige ervaring van Copilot for Security via de Microsoft Defender XDR-invoegtoepassing. Meer informatie over vooraf geïnstalleerde invoegtoepassingen in Copilot for Security.

Probeer uw eerste aanvraag

  1. Open de geavanceerde opsporingspagina vanuit de navigatiebalk in Microsoft Defender XDR. Het zijvenster Copilot voor beveiliging voor geavanceerde opsporing wordt aan de rechterkant weergegeven.

    Schermopname van het copilot-deelvenster in geavanceerde opsporing.

    U kunt Copilot ook opnieuw openen door Copilot bovenaan de queryeditor te selecteren.

  2. Vraag in de Copilot-promptbalk een query voor het opsporen van bedreigingen die u wilt uitvoeren en druk op Of Enter .

    Schermopname van de promptbalk in de Copilot for Security voor geavanceerde opsporing.

  3. Copilot genereert een KQL-query op basis van uw tekstinstructie of vraag. Terwijl Copilot genereert, kunt u het genereren van query's annuleren door Genereren stoppen te selecteren.

    Schermopname van Copilot for Security in geavanceerde opsporing die een reactie genereert.

  4. Controleer de gegenereerde query. Vervolgens kunt u ervoor kiezen om de query uit te voeren door Toevoegen en uitvoeren te selecteren.

    Schermopname van de Copilot-knop met De query toevoegen aan query-editor en uitvoeren.

    De gegenereerde query wordt vervolgens weergegeven als de laatste query in de query-editor en wordt automatisch uitgevoerd.

    Als u meer aanpassingen wilt aanbrengen, selecteert u Toevoegen aan editor.

    Schermopname van Copilot for Security in geavanceerde opsporing met de optie Toevoegen aan editor.

    De gegenereerde query wordt in de query-editor weergegeven als de laatste query, waar u deze kunt bewerken voordat u deze uitvoert met behulp van de reguliere Query uitvoeren boven de query-editor.

  5. U kunt feedback geven over het gegenereerde antwoord door het feedbackpictogram Schermopname van het feedbackpictogram te selecteren en Bevestigen, Buiten doel of Mogelijk schadelijk te kiezen.

Tip

Het geven van feedback is een belangrijke manier om het Copilot for Security-team te laten weten hoe goed de queryassistent kon helpen bij het genereren van een nuttige KQL-query. U kunt gerust aangeven wat de query had kunnen verbeteren, welke aanpassingen u moest aanbrengen voordat u de gegenereerde KQL-query uitvoerde of deel de KQL-query die u uiteindelijk hebt gebruikt.

Opmerking

In de geïntegreerde Microsoft Defender-portal kunt u Copilot for Security vragen om geavanceerde opsporingsquery's te genereren voor zowel Defender XDR- als Microsoft Sentinel-tabellen. Niet alle Microsoft Sentinel-tabellen worden momenteel ondersteund, maar ondersteuning voor deze tabellen kan in de toekomst worden verwacht.

Querysessies

U kunt uw eerste sessie op elk gewenst moment starten door een vraag te stellen in het copilot-zijvenster in geavanceerde opsporing. Uw sessie bevat de aanvragen die u hebt gedaan met uw gebruikersaccount. Als u het zijvenster sluit of de geavanceerde opsporingspagina vernieuwt, wordt de sessie niet genegeerd. U hebt nog steeds toegang tot de gegenereerde query's als u ze nodig hebt.

Selecteer het chatballonpictogram (Nieuwe chat) om de huidige sessie te verwijderen.

Schermopname van Copilot for Security in geavanceerde opsporing met het nieuwe chatpictogram.

Instellingen wijzigen

Selecteer het beletselteken in het copilot-zijvenster om te kiezen of u de gegenereerde query automatisch wilt toevoegen en uitvoeren in geavanceerde opsporing.

Schermopname van Copilot for Security in geavanceerde opsporing met het pictogram voor het beletselteken voor instellingen.

Als u de instelling Gegenereerde query automatisch uitvoeren uitschakelt, kunt u de gegenereerde query automatisch uitvoeren (Toevoegen en uitvoeren) of de gegenereerde query toevoegen aan de queryeditor voor verdere wijziging (Toevoegen aan editor).