Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Security Copilot in Microsoft Defender bevat een query assistent functie voor geavanceerde opsporing.
Bedreigingsjagers of beveiligingsanalisten die niet bekend zijn met de Kusto-querytaal (KQL) of deze nog niet hebben geleerd, kunnen een aanvraag indienen of een vraag stellen in natuurlijke taal (bijvoorbeeld Alle waarschuwingen ophalen met betrekking tot gebruikersbeheerder123). Security Copilot genereert vervolgens een KQL-query die overeenkomt met de aanvraag met behulp van het geavanceerde opsporingsgegevensschema.
Deze functie verkort de tijd die nodig is om een opsporingsquery helemaal opnieuw te schrijven, zodat bedreigingsjagers en beveiligingsanalisten zich kunnen richten op het opsporen en onderzoeken van bedreigingen.
Gebruikers met toegang tot Security Copilot kunnen deze functie gebruiken bij geavanceerde opsporing.
Opmerking
De geavanceerde opsporingsmogelijkheid is ook beschikbaar in de Security Copilot zelfstandige ervaring via de Microsoft Defender XDR-invoegtoepassing. Meer informatie over vooraf geïnstalleerde invoegtoepassingen in Security Copilot.
Probeer uw eerste aanvraag
Voer de volgende stappen uit om het query-assistent te gaan gebruiken:
Opmerking
Zorg ervoor dat de modus Query assistent actief is. Meer informatie
Open de pagina Geavanceerd opsporen vanuit de navigatiebalk in Microsoft Defender portal. Het zijvenster van Security Copilot voor geavanceerde opsporing wordt aan de rechterkant weergegeven.
U kunt Copilot ook opnieuw openen door Copilot bovenaan de queryeditor te selecteren.
Vraag in de Copilot-prompt-balk een query voor het opsporen van bedreigingen die u wilt uitvoeren en druk op
Enter.
Copilot genereert een KQL-query op basis van uw tekstinstructie of vraag. Terwijl Copilot aan het genereren is, kunt u het genereren van query's annuleren door Stoppen met genereren te selecteren.
Controleer de gegenereerde query. Als u wilt controleren hoe Copilot de query heeft bedacht, selecteert u De logica achter de query weergeven onder de querytekst om de uitleg achter de query uit te vouwen. Selecteer deze opnieuw om te minimaliseren.
U kunt er vervolgens voor kiezen om de query uit te voeren door Query uitvoeren te selecteren.
De gegenereerde query wordt vervolgens weergegeven als de laatste query in de query-editor en wordt automatisch uitgevoerd.
Als u meer aanpassingen wilt aanbrengen, selecteert u Toevoegen aan editor.
De gegenereerde query wordt in de query-editor weergegeven als de laatste query, waar u deze kunt bewerken voordat u deze uitvoert met behulp van de reguliere Query uitvoeren boven de query-editor.
U kunt feedback geven over het gegenereerde antwoord door het feedbackpictogram
te selecteren en Er goed uitzien, Verbetering nodig of Ongepast te kiezen.
Tip
Feedback geven is een belangrijke manier om het Security Copilot team te laten weten hoe goed de query assistent kon helpen bij het genereren van een nuttige KQL-query. Voel u vrij om te verwoorden wat de query zou kunnen verbeteren, welke aanpassingen u moest aanbrengen voordat de gegenereerde KQL-query werd uitgevoerd, of deel de KQL-query die u uiteindelijk hebt gebruikt.
Instellingen wijzigen
Selecteer het menu met drie punten in het copilot-zijvenster om te kiezen of u de gegenereerde query automatisch wilt toevoegen en uitvoeren in geavanceerde opsporing.
Als u de instelling Gegenereerde query automatisch uitvoeren uitschakelt, kunt u ervoor kiezen om de gegenereerde query automatisch uit te voeren (Toevoegen en uitvoeren) of de gegenereerde query toe te voegen aan de query-editor voor verdere wijziging (Toevoegen aan editor).