Microsoft Copilot para Security na investigação avançada
O Microsoft Copilot para Security no Microsoft Defender inclui uma capacidade de assistente de consultas em investigação avançada.
Os caçadores de ameaças ou analistas de segurança que ainda não estão familiarizados ou ainda não aprenderam a KQL podem fazer um pedido ou fazer uma pergunta em linguagem natural (por exemplo, Obter todos os alertas que envolvam o administrador de utilizador123). O Copilot para Security gera, de seguida, uma consulta KQL que corresponde ao pedido através do esquema de dados de investigação avançada.
Esta funcionalidade reduz o tempo necessário para escrever uma consulta de investigação de raiz, para que os investigadores de ameaças e os analistas de segurança se possam concentrar na deteção e investigação de ameaças.
Os utilizadores com acesso ao Copilot para Security têm acesso a esta capacidade na investigação avançada.
Nota
A capacidade de investigação avançada também está disponível na experiência autónoma do Copilot para Security através do plug-in do Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Copilot para Security.
Experimente o seu primeiro pedido
Abra a página de investigação avançada a partir da barra de navegação no portal do Microsoft Defender. O painel lateral do Copilot para Security para investigação avançada aparece no lado direito.
Também pode reabrir o Copilot, ao selecionar Copilot na parte superior do editor de consultas.
Na barra de pedidos copilot, pergunte a qualquer consulta de investigação de ameaças que pretenda executar e prima
ou Enter .
O Copilot gera uma consulta KQL a partir da sua instrução de texto ou pergunta. Enquanto o Copilot estiver a gerar, pode cancelar a geração da consulta ao selecionar Parar de gerar.
Reveja a consulta gerada. Em seguida, pode optar por executar a consulta ao selecionar Adicionar e executar.
A consulta gerada aparece como a última consulta no editor de consultas e é executada automaticamente.
Se precisar de fazer mais ajustes, selecione Adicionar ao editor.
A consulta gerada aparecerá no editor de consultas como a última consulta, onde é possível editá-la antes de ser executada, ao utilizar o comando habitual Executar consulta acima do editor de consultas.
Pode fornecer feedback sobre a resposta gerada ao selecionar o ícone de feedback
selecionar Confirmar, Fora do destino ou Potencialmente prejudicial.
Sugestão
Fornecer feedback é uma forma importante de permitir que a equipa do Copilot para Security saiba até que ponto o assistente de consultas foi capaz de ajudar a gerar uma consulta KQL útil. Esteja à vontade para nos dizer como a consulta poderia ter sido melhorada, que ajustes teve de fazer antes de executar a consulta KQL gerada ou partilhe a consulta KQL que acabou por utilizar.
No portal Microsoft Defender, pode pedir ao Copilot para Segurança para gerar consultas de investigação avançadas para tabelas de Defender XDR e Microsoft Sentinel. Nem todas as tabelas Microsoft Sentinel são atualmente suportadas, mas o suporte para estas tabelas pode ser esperado no futuro.
Sessões de consulta
Pode iniciar a sua primeira sessão em qualquer altura, ao colocar uma pergunta no painel lateral do Copilot na investigação avançada. A sua sessão contém os pedidos que fez através da sua conta de utilizador. Fechar o painel lateral ou atualizar a página de investigação avançada não elimina a sessão. Continuará a poder aceder às consultas geradas, caso necessite delas.
Selecione o ícone do balão de conversa (Nova conversa) para descartar a sessão atual.
Modificar definições
Selecione as reticências no painel lateral do Copilot para decidir se quer ou não adicionar e executar automaticamente a consulta gerada na investigação avançada.
Se desmarcar a definição Executar consulta gerada automaticamente, tem a opção de executar a consulta gerada automaticamente (Adicionar e executar) ou de adicionar a consulta gerada ao editor de consultas para modificação posterior (Adicionar ao editor).