Udostępnij za pośrednictwem

Copilot dla rozwiązań zabezpieczających firmy Microsoft w zaawansowanym wyszukiwaniu zagrożeń

  • Artykuł

Dotyczy:

  • Microsoft Defender
  • Microsoft Defender XDR

Copilot dla rozwiązań zabezpieczających w zaawansowanym wyszukiwaniu zagrożeń

Copilot dla rozwiązań zabezpieczających firmy Microsoft w usłudze Microsoft Defender udostępnia funkcję asystenta zapytań w zaawansowanym wyszukiwaniu zagrożeń.

Łowcy zagrożeń lub analitycy zabezpieczeń, którzy nie są jeszcze zaznajomieni z protokołem KQL lub jeszcze nie nauczyli się go, mogą wysłać żądanie lub zadać pytanie w języku naturalnym (na przykład Pobierz wszystkie alerty z udziałem administratora użytkownika123). Następnie Copilot dla rozwiązań zabezpieczających generuje zapytanie KQL odpowiadające żądaniu przy użyciu zaawansowanego schematu danych wyszukiwania zagrożeń.

Ta funkcja skraca czas potrzebny na napisanie zapytania wyszukiwania zagrożeń od podstaw, dzięki czemu osoby wyszukujące zagrożenia i analitycy zabezpieczeń mogą skupić się na wyszukiwaniu i badaniu zagrożeń.

Użytkownicy z dostępem do funkcji Copilot dla rozwiązań zabezpieczających mają dostęp do tej możliwości podczas zaawansowanego wyszukiwania zagrożeń.

Uwaga

Funkcja zaawansowanego wyszukiwania zagrożeń jest również dostępna w autonomicznym środowisku funkcji Copilot dla rozwiązań zabezpieczających za pośrednictwem wtyczki usługi Microsoft Defender XDR. Dowiedz się więcej o wstępnie zainstalowanych wtyczkach w funkcji Copilot dla rozwiązań zabezpieczających.

Wypróbuj swoje pierwsze żądanie

  1. Otwórz stronę zaawansowanego wyszukiwania zagrożeń na pasku nawigacyjnym w usłudze Microsoft Defender XDR. Po prawej stronie zostanie wyświetlone okienko boczne funkcji Copilot dla rozwiązań zabezpieczających dla zaawansowanego wyszukiwania zagrożeń.

    Wycinek ekranu funkcji Copilot w zaawansowanym wyszukiwaniu zagrożeń.

    Możesz również ponownie otworzyć funkcję Copilot, wybierając pozycję Copilot w górnej części edytora zapytań.

  2. Na pasku wiersza polecenia Copilot zapytaj dowolne zapytanie dotyczące wyszukiwania zagrożeń, które chcesz uruchomić, i naciśnij Lub Wprowadź .

    Wycinek ekranu przedstawiający pasek monitu w funkcji Copilot rozwiązań zabezpieczających na potrzeby zaawansowanego wyszukiwania zagrożeń.

  3. Funkcja Copilot generuje zapytanie w języku KQL na podstawie instrukcji tekstowej lub pytania. Gdy generowania przez funkcję Copilot możesz anulować generowanie zapytania, wybierając przycisk Zatrzymaj generowanie.

    Wycinek ekranu funkcji Copilot rozwiązań zabezpieczających w zaawansowanym wyszukiwaniu zagrożeń generującym odpowiedź.

  4. Przejrzyj wygenerowane zapytanie. Następnie możesz uruchomić zapytanie, wybierając pozycję Uruchom zapytanie.

    Wycinek ekranu przedstawiający przycisk Copilot przedstawiający polecenie Dodaj zapytanie do edytora zapytań i uruchom je.

    Wygenerowane zapytanie pojawi się jako ostatnie w edytorze zapytań i zostanie uruchomione automatycznie.

    Jeśli chcesz wprowadzić dalsze poprawki, wybierz pozycję Dodaj do edytora.

    Wycinek ekranu przedstawiający funkcję Copilot rozwiązań zabezpieczających w zaawansowanym wyszukiwaniu zagrożeń z opcją Dodaj do edytora.

    Wygenerowane zapytanie pojawia się w edytorze zapytań jako ostatnie zapytanie, gdzie można je edytować przed uruchomieniem za pomocą zwykłego polecenia Uruchom zapytanie, znajdującego się nad edytorem zapytań.

  5. Możesz przekazać opinię na temat wygenerowanej odpowiedzi, wybierając ikonę opinii Zrzut ekranu przedstawiający ikonę opinii i wybierając pozycję Potwierdź, Wyłącz cel lub Potencjalnie szkodliwe.

Porada

Przekazywanie opinii jest ważnym sposobem informowania zespołu funkcji Copilot dla rozwiązań zabezpieczających o tym, jak dobrze asystent zapytań był w stanie pomóc w wygenerowaniu użytecznego zapytania w języku KQL. Zachęcamy do opisania, co można by poprawić w zapytaniu, jakie poprawki trzeba było wprowadzić przed uruchomieniem wygenerowanego zapytania w języku KQL lub do udostępnienia zapytania w języku KQL, którego ostatecznie użyto.

Uwaga

W ujednoliconej witrynie Microsoft Defender Portal możesz wyświetlić monit o wygenerowanie przez rozwiązanie Copilot for Security zaawansowanych zapytań dotyczących wyszukiwania zagrożeń zarówno dla tabel usługi Defender XDR, jak i microsoft sentinel. Nie wszystkie tabele usługi Microsoft Sentinel są obecnie obsługiwane, ale w przyszłości można oczekiwać obsługi tych tabel.

Sesje zapytań

W dowolnym momencie możesz rozpocząć pierwszą sesję, zadając pytanie w okienku bocznym funkcji Copilot w zaawansowanym wyszukiwaniu zagrożeń. Sesja zawiera żądania wykonane przy użyciu konta użytkownika. Zamknięcie okienka bocznego lub odświeżenie zaawansowanej strony wyszukiwania zagrożeń nie spowoduje odrzucenia sesji. Nadal możesz uzyskać dostęp do wygenerowanych zapytań, jeśli ich potrzebujesz.

Wybierz ikonę dymka czatu (Nowy czat), aby odrzucić bieżącą sesję.

Zrzut ekranu funkcji Copilot dla rozwiązań zabezpieczających w zaawansowanym wyszukiwaniu zagrożeń przedstawiający ikonę czatu.

Modyfikuj ustawienia

Wybierz wielokropek w okienku bocznym funkcji Copilot, aby wybrać, czy automatycznie dodać i uruchomić wygenerowane zapytanie w zaawansowanym wyszukiwaniu zagrożeń.

Zrzut ekranu przedstawiający ikonę wielokropka ustawień funkcji Copilot dla rozwiązań zabezpieczających w zaawansowanym wyszukiwaniu zagrożeń.

Odznaczenie ustawienia Uruchom wygenerowane zapytanie automatycznie daje możliwość automatycznego uruchomienia wygenerowanego zapytania (Dodaj i uruchom) lub dodania wygenerowanego zapytania do edytora zapytań w celu dalszej modyfikacji (Dodaj do edytora).