Microsoft Copilot для безопасности в расширенной охоте
Область применения:
- Microsoft Defender
- Microsoft Defender XDR
Copilot для безопасности в расширенной охоте
Microsoft Copilot для безопасности в Microsoft Defender предоставляет возможность помощника по запросам для расширенной охоты.
Охотники за угрозами или аналитики безопасности, которые еще не знакомы с KQL или еще не учатся, могут сделать запрос или задать вопрос на естественном языке (например, Получить все оповещения с участием администратора пользователя123). Затем Copilot for Security создает запрос KQL, соответствующий запросу, используя расширенную схему данных охоты.
Эта возможность позволяет сократить время, необходимое для создания запроса охоты с нуля, благодаря чему охотники на угрозы и аналитики безопасности могут сосредоточиться на охоте и исследовании угроз.
Пользователи с доступом к Copilot for Security имеют доступ к этой возможности в расширенной охоте.
Примечание.
Расширенная возможность охоты также доступна в автономном интерфейсе Copilot for Security через подключаемый модуль XDR в Microsoft Defender. Узнайте больше о предустановленных подключаемых модулях в Copilot for Security.
Попробуйте создать и запустить свой первый запрос
Откройте страницу расширенной охоты на панели навигации в XDR в Microsoft Defender. Боковая панель Copilot for Security для расширенной охоты появится справа.
Вы также можете повторно открыть Copilot, выбрав Copilot в верхней части редактора запросов.
На панели командной строки Copilot спросите любой запрос охоты на угрозы, который требуется выполнить, и нажмите или
Введите .
Copilot создает запрос KQL из текстовой инструкции или вопроса. Во время создания Copilot можно отменить создание запроса, выбрав Остановить создание.
Просмотрите созданный запрос. Затем можно выполнить запрос, выбрав Добавить и выполнить.
Созданный запрос отображается последним в редакторе запросов и запускается автоматически.
Если вам нужно внести дополнительные изменения, выберите Добавить в редактор.
Созданный запрос отображается последним в редакторе запросов, где его можно изменить перед запуском с помощью обычной кнопки Запустить запрос над редактором запросов.
Вы можете отправить отзыв о созданном ответе, выбрав значок
выбрав Подтвердить, Не целевой объект или Потенциально опасный.
Совет
Предоставление отзывов — это важный способ сообщить команде Copilot for Security, насколько хорошо помощник по запросам смог помочь в создании полезного запроса KQL. Свободно изложите, как можно было бы улучшить запрос, какие изменения вам пришлось внести перед запуском созданного запроса KQL, или поделитесь запросом KQL, который вы использовали в конечном итоге.
Примечание.
На едином портале Microsoft Defender можно предложить Copilot for Security создать расширенные запросы на поиск для таблиц Defender XDR и Microsoft Sentinel. В настоящее время поддерживаются не все таблицы Microsoft Sentinel, но поддержка этих таблиц ожидается в будущем.
Сеансы запросов
Вы можете начать свой первый сеанс в любое время, задав вопрос на боковой панели Copilot в расширенной охоте. Сеанс содержит запросы, созданные с помощью учетной записи пользователя. Закрытие боковой панели или обновление страницы расширенной охоты не отменяет сеанс. Вы по-прежнему можете получить доступ к созданным запросам при необходимости.
Щелкните значок пузырька чата (Новый чат), чтобы отменить текущий сеанс.
Изменение параметров
Выберите многоточие в боковой области Copilot, чтобы выбрать, следует ли автоматически добавлять и выполнять созданный запрос в расширенном поиске.
Отмена выбора параметра Автоматический запуск созданного запроса позволяет автоматически выполнить созданный запрос (Добавить и выполнить) или добавить созданный запрос в редактор запросов для дальнейшего изменения (Добавить в редактор).