Partilhar via

Microsoft Copilot para Security na investigação avançada

  • Artigo

Aplica-se a:

  • Microsoft Defender
  • Microsoft Defender XDR

Copilot para Security em investigação avançada

O Microsoft Copilot para Security no Microsoft Defender inclui uma capacidade de assistente de consultas em investigação avançada.

Os caçadores de ameaças ou analistas de segurança que ainda não estão familiarizados ou ainda não aprenderam a KQL podem fazer um pedido ou fazer uma pergunta em linguagem natural (por exemplo, Obter todos os alertas que envolvam o administrador de utilizador123). O Copilot para Security gera, de seguida, uma consulta KQL que corresponde ao pedido através do esquema de dados de investigação avançada.

Esta funcionalidade reduz o tempo necessário para escrever uma consulta de investigação de raiz, para que os investigadores de ameaças e os analistas de segurança se possam concentrar na deteção e investigação de ameaças.

Os utilizadores com acesso ao Copilot para Security têm acesso a esta capacidade na investigação avançada.

Nota

A capacidade de investigação avançada também está disponível na experiência autónoma do Copilot para Security através do plug-in do Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Copilot para Security.

Experimente o seu primeiro pedido

  1. Abra a página investigação avançada na barra de navegação do Microsoft Defender XDR. O painel lateral do Copilot para Security para investigação avançada aparece no lado direito.

    Captura de ecrã do painel do Copilot na investigação avançada.

    Também pode reabrir o Copilot, ao selecionar Copilot na parte superior do editor de consultas.

  2. Na barra de pedidos copilot, pergunte a qualquer consulta de investigação de ameaças que pretenda executar e prima ou Enter .

    Captura de ecrã que mostra a barra de pedidos no Copilot para Security para investigação avançada.

  3. O Copilot gera uma consulta KQL a partir da sua instrução de texto ou pergunta. Enquanto o Copilot estiver a gerar, pode cancelar a geração da consulta ao selecionar Parar de gerar.

    Captura de ecrã do Copilot para Security em investigação avançada a gerar uma resposta.

  4. Reveja a consulta gerada. Em seguida, pode optar por executar a consulta ao selecionar Adicionar e executar.

    Captura de ecrã do botão do Copilot que mostra Adicionar a consulta ao editor de consultas e executar.

    A consulta gerada aparece como a última consulta no editor de consultas e é executada automaticamente.

    Se precisar de fazer mais ajustes, selecione Adicionar ao editor.

    Captura de ecrã do Copilot para Security na investigação avançada, a mostrar a opção Adicionar ao editor.

    A consulta gerada aparecerá no editor de consultas como a última consulta, onde é possível editá-la antes de ser executada, ao utilizar o comando habitual Executar consulta acima do editor de consultas.

  5. Pode fornecer feedback sobre a resposta gerada ao selecionar o ícone de feedback Captura de ecrã do ícone de feedback e selecionar Confirmar, Fora do destino ou Potencialmente prejudicial.

Sugestão

Fornecer feedback é uma forma importante de permitir que a equipa do Copilot para Security saiba até que ponto o assistente de consultas foi capaz de ajudar a gerar uma consulta KQL útil. Esteja à vontade para nos dizer como a consulta poderia ter sido melhorada, que ajustes teve de fazer antes de executar a consulta KQL gerada ou partilhe a consulta KQL que acabou por utilizar.

Nota

No portal unificado do Microsoft Defender, pode pedir à Copilot para Segurança para gerar consultas de investigação avançadas para as tabelas Defender XDR e Microsoft Sentinel. Nem todas as tabelas do Microsoft Sentinel são atualmente suportadas, mas o suporte para estas tabelas pode ser esperado no futuro.

Sessões de consulta

Pode iniciar a sua primeira sessão em qualquer altura, ao colocar uma pergunta no painel lateral do Copilot na investigação avançada. A sua sessão contém os pedidos que fez através da sua conta de utilizador. Fechar o painel lateral ou atualizar a página de investigação avançada não elimina a sessão. Continuará a poder aceder às consultas geradas, caso necessite delas.

Selecione o ícone do balão de conversa (Nova conversa) para descartar a sessão atual.

Captura de ecrã do Copilot para Security na investigação avançada, a mostrar o ícone de novo chat.

Modificar definições

Selecione as reticências no painel lateral do Copilot para decidir se quer ou não adicionar e executar automaticamente a consulta gerada na investigação avançada.

Captura de ecrã do Copilot para Security na investigação avançada, a mostrar o ícone das reticências das definições.

Se desmarcar a definição Executar consulta gerada automaticamente, tem a opção de executar a consulta gerada automaticamente (Adicionar e executar) ou de adicionar a consulta gerada ao editor de consultas para modificação posterior (Adicionar ao editor).