Copilot dla rozwiązań zabezpieczających firmy Microsoft w zaawansowanym wyszukiwaniu zagrożeń
Dotyczy:
- Microsoft Defender
- Microsoft Defender XDR
Copilot dla rozwiązań zabezpieczających w zaawansowanym wyszukiwaniu zagrożeń
Copilot dla rozwiązań zabezpieczających firmy Microsoft w usłudze Microsoft Defender udostępnia funkcję asystenta zapytań w zaawansowanym wyszukiwaniu zagrożeń.
Łowcy zagrożeń lub analitycy zabezpieczeń, którzy nie są jeszcze zaznajomieni z protokołem KQL lub jeszcze nie nauczyli się go, mogą wysłać żądanie lub zadać pytanie w języku naturalnym (na przykład Pobierz wszystkie alerty z udziałem administratora użytkownika123). Następnie Copilot dla rozwiązań zabezpieczających generuje zapytanie KQL odpowiadające żądaniu przy użyciu zaawansowanego schematu danych wyszukiwania zagrożeń.
Ta funkcja skraca czas potrzebny na napisanie zapytania wyszukiwania zagrożeń od podstaw, dzięki czemu osoby wyszukujące zagrożenia i analitycy zabezpieczeń mogą skupić się na wyszukiwaniu i badaniu zagrożeń.
Użytkownicy z dostępem do funkcji Copilot dla rozwiązań zabezpieczających mają dostęp do tej możliwości podczas zaawansowanego wyszukiwania zagrożeń.
Uwaga
Funkcja zaawansowanego wyszukiwania zagrożeń jest również dostępna w autonomicznym środowisku funkcji Copilot dla rozwiązań zabezpieczających za pośrednictwem wtyczki usługi Microsoft Defender XDR. Dowiedz się więcej o wstępnie zainstalowanych wtyczkach w funkcji Copilot dla rozwiązań zabezpieczających.
Wypróbuj swoje pierwsze żądanie
Otwórz stronę zaawansowanego wyszukiwania zagrożeń na pasku nawigacyjnym w usłudze Microsoft Defender XDR. Po prawej stronie zostanie wyświetlone okienko boczne funkcji Copilot dla rozwiązań zabezpieczających dla zaawansowanego wyszukiwania zagrożeń.
Możesz również ponownie otworzyć funkcję Copilot, wybierając pozycję Copilot w górnej części edytora zapytań.
Na pasku wiersza polecenia Copilot zapytaj dowolne zapytanie dotyczące wyszukiwania zagrożeń, które chcesz uruchomić, i naciśnij Lub Wprowadź .
Funkcja Copilot generuje zapytanie w języku KQL na podstawie instrukcji tekstowej lub pytania. Gdy generowania przez funkcję Copilot możesz anulować generowanie zapytania, wybierając przycisk Zatrzymaj generowanie.
Przejrzyj wygenerowane zapytanie. Następnie możesz uruchomić zapytanie, wybierając pozycję Uruchom zapytanie.
Wygenerowane zapytanie pojawi się jako ostatnie w edytorze zapytań i zostanie uruchomione automatycznie.
Jeśli chcesz wprowadzić dalsze poprawki, wybierz pozycję Dodaj do edytora.
Wygenerowane zapytanie pojawia się w edytorze zapytań jako ostatnie zapytanie, gdzie można je edytować przed uruchomieniem za pomocą zwykłego polecenia Uruchom zapytanie, znajdującego się nad edytorem zapytań.
Możesz przekazać opinię na temat wygenerowanej odpowiedzi, wybierając ikonę opinii wybierając pozycję Potwierdź, Wyłącz cel lub Potencjalnie szkodliwe.
Porada
Przekazywanie opinii jest ważnym sposobem informowania zespołu funkcji Copilot dla rozwiązań zabezpieczających o tym, jak dobrze asystent zapytań był w stanie pomóc w wygenerowaniu użytecznego zapytania w języku KQL. Zachęcamy do opisania, co można by poprawić w zapytaniu, jakie poprawki trzeba było wprowadzić przed uruchomieniem wygenerowanego zapytania w języku KQL lub do udostępnienia zapytania w języku KQL, którego ostatecznie użyto.
Uwaga
W ujednoliconej witrynie Microsoft Defender Portal możesz wyświetlić monit o wygenerowanie przez rozwiązanie Copilot for Security zaawansowanych zapytań dotyczących wyszukiwania zagrożeń zarówno dla tabel usługi Defender XDR, jak i microsoft sentinel. Nie wszystkie tabele usługi Microsoft Sentinel są obecnie obsługiwane, ale w przyszłości można oczekiwać obsługi tych tabel.
Sesje zapytań
W dowolnym momencie możesz rozpocząć pierwszą sesję, zadając pytanie w okienku bocznym funkcji Copilot w zaawansowanym wyszukiwaniu zagrożeń. Sesja zawiera żądania wykonane przy użyciu konta użytkownika. Zamknięcie okienka bocznego lub odświeżenie zaawansowanej strony wyszukiwania zagrożeń nie spowoduje odrzucenia sesji. Nadal możesz uzyskać dostęp do wygenerowanych zapytań, jeśli ich potrzebujesz.
Wybierz ikonę dymka czatu (Nowy czat), aby odrzucić bieżącą sesję.
Modyfikuj ustawienia
Wybierz wielokropek w okienku bocznym funkcji Copilot, aby wybrać, czy automatycznie dodać i uruchomić wygenerowane zapytanie w zaawansowanym wyszukiwaniu zagrożeń.
Odznaczenie ustawienia Uruchom wygenerowane zapytanie automatycznie daje możliwość automatycznego uruchomienia wygenerowanego zapytania (Dodaj i uruchom) lub dodania wygenerowanego zapytania do edytora zapytań w celu dalszej modyfikacji (Dodaj do edytora).
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla