Compartilhar via

Microsoft Copilot for Security na investigação avançada

  • Artigo

Aplica-se a:

  • Microsoft Defender
  • Microsoft Defender XDR

Copilot for Security na investigação avançada

O Microsoft Copilot for Security no Microsoft Defender inclui uma capacidade de assistente de consulta na investigação avançada.

Os caçadores de ameaças ou analistas de segurança que ainda não estão familiarizados ou ainda não aprenderam a KQL podem fazer um pedido ou fazer uma pergunta em linguagem natural (por exemplo, Obter todos os alertas que envolvam o administrador de utilizador123). Em seguida, o Copilot for Security gera uma consulta KQL que corresponde ao pedido com o esquema de dados de investigação avançado.

Esse recurso reduz o tempo necessário para escrever uma consulta de busca do zero para que os exploradores de ameaças e analistas de segurança possam se concentrar na busca e na investigação de ameaças.

Os utilizadores com acesso ao Copilot for Security têm acesso a esta capacidade na investigação avançada.

Observação

A capacidade de investigação avançada também está disponível na experiência autónoma copilot for Security através do plug-in do Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Copilot for Security.

Experimente sua primeira consulta

  1. Abra a página de investigação avançada a partir da barra de navegação no Microsoft Defender XDR. O painel Copilot for Security para investigação avançada aparece no lado direito.

    Captura de ecrã do painel Copilot na investigação avançada.

    Também pode reabrir o Copilot ao selecionar Copilot na parte superior do editor de consultas.

  2. Na barra de pedidos copilot, pergunte a qualquer consulta de investigação de ameaças que pretenda executar e prima ou Enter .

    Captura de ecrã que mostra a barra de pedidos no Copilot for Security para investigação avançada.

  3. O Copilot gera uma consulta KQL a partir da sua instrução de texto ou pergunta. Enquanto o Copilot está a gerar, pode cancelar a geração de consultas ao selecionar Parar de gerar.

    Captura de ecrã do Copilot for Security na investigação avançada que gera uma resposta.

  4. Examine a consulta gerada. Em seguida, pode optar por executar a consulta ao selecionar Adicionar e executar.

    Captura de ecrã do botão Copilot a mostrar Adicionar a consulta ao editor de consultas e executar.

    Depois, a consulta gerada é exibida como a última consulta no editor de consultas e é executada automaticamente.

    Se você precisar fazer mais ajustes, selecione Adicionar ao editor.

    Captura de ecrã do Copilot for Security na investigação avançada a mostrar a opção Adicionar ao editor.

    A consulta gerada é exibida no editor de consultas como a última consulta, na qual você pode editá-la antes de executar usando Executar consulta acima do editor de consultas.

  5. Pode fornecer feedback sobre a resposta gerada ao selecionar o ícone de feedback Captura de ecrã do ícone de feedback e selecionar Confirmar, Fora do destino ou Potencialmente prejudicial.

Dica

Fornecer feedback é uma forma importante de informar a equipa do Copilot for Security de que forma o assistente de consultas conseguiu ajudar a gerar uma consulta KQL útil. Sinta-se à vontade para articular o que poderia ter melhorado a consulta, quais ajustes você teve que fazer antes de executar a consulta KQL gerada ou compartilhar a consulta KQL que você eventualmente usou.

Observação

No portal unificado do Microsoft Defender, pode pedir à Copilot para Segurança para gerar consultas de investigação avançadas para as tabelas Defender XDR e Microsoft Sentinel. Nem todas as tabelas do Microsoft Sentinel são atualmente suportadas, mas o suporte para estas tabelas pode ser esperado no futuro.

Sessões de consulta

Pode iniciar a sua primeira sessão em qualquer altura ao fazer uma pergunta no painel lateral copilot na investigação avançada. Sua sessão contém as solicitações que você fez usando sua conta de usuário. Fechar o painel lateral ou atualizar a página de investigação avançada não elimina a sessão. Você ainda pode acessar as consultas geradas caso precise delas.

Selecione o ícone de bolha de chat (Nova conversa) para eliminar a sessão atual.

Captura de ecrã a mostrar Copilot for Security na investigação avançada com o novo ícone de chat.

Modificar configurações

Selecione as reticências no painel lateral copilot para escolher se pretende adicionar e executar automaticamente a consulta gerada na investigação avançada.

Captura de ecrã do Copilot for Security na investigação avançada a mostrar o ícone de reticências das definições.

Desselecionar a definição Executar consulta gerada automaticamente dá-lhe a opção de executar a consulta gerada automaticamente (Adicionar e executar) ou adicionar a consulta gerada ao editor de consultas para modificação adicional (Adicionar ao editor).