高级搜寻中的Microsoft Copilot for Security
适用于:
- Microsoft Defender
- Microsoft Defender XDR
高级搜寻中的 Copilot for Security
Microsoft Microsoft Defender 中的 Copilot for Security 附带了高级搜寻中的查询助手功能。
不熟悉或尚未了解 KQL 的威胁猎手或安全分析师可以使用自然语言发出请求或提问, (例如 获取涉及用户 admin123) 的所有警报 。 然后,Copilot for Security 使用高级搜寻数据架构生成对应于请求的 KQL 查询。
此功能减少了从头开始编写搜寻查询所需的时间,以便威胁搜寻者和安全分析师可以专注于搜寻和调查威胁。
有权访问 Copilot for Security 的用户有权在高级搜寻中访问此功能。
注意
高级搜寻功能也可通过 Microsoft Defender XDR 插件在 Copilot for Security 独立体验中使用。 详细了解 Copilot for Security 中的预安装插件。
尝试第一个请求
从 Microsoft Defender XDR 中的导航栏打开 高级搜寻 页。 用于高级搜寻的 Copilot for Security 侧窗格显示在右侧。
还可以通过在查询编辑器顶部选择 “Copilot ”来重新打开 Copilot。
在 Copilot 提示栏中,询问要运行的任何威胁搜寻查询,然后按 或 Enter 。
Copilot 从文本说明或问题生成 KQL 查询。 当 Copilot 生成时,可以通过选择“停止生成”来取消查询 生成。
查看生成的查询。 然后,可以通过选择“ 添加并运行”来选择运行查询。
然后,生成的查询在查询编辑器中显示为最后一个查询,并自动运行。
如果需要进一步调整,请选择“添加到编辑器”。
生成的查询将作为最后一个查询显示在查询编辑器中,可以在使用查询编辑器上方的常规 运行查询 之前对其进行编辑。
可以通过选择反馈图标“ ”图标,然后选择“ 确认”、“ 非目标”或“ 可能有害”来提供有关生成的响应的反馈。
提示
提供反馈是让 Copilot for Security 团队了解查询助手如何帮助生成有用的 KQL 查询的重要方法。 可以随意阐明哪些内容可以使查询更好、在运行生成的 KQL 查询之前必须进行哪些调整,或者共享最终使用的 KQL 查询。
注意
在 统一的 Microsoft Defender 门户中,可以提示 Copilot for Security 为 Defender XDR 和 Microsoft Sentinel 表生成高级搜寻查询。 目前并非所有Microsoft Sentinel 表都受支持,但将来可能会支持这些表。
查询会话
可以通过在高级搜寻中的 Copilot 侧窗格中提问,随时开始第一个会话。 会话包含使用用户帐户发出的请求。 关闭侧窗格或刷新高级搜寻页不会放弃会话。 如果需要,仍可以访问生成的查询。
选择聊天气泡图标 (“新建聊天) 放弃当前会话。
修改设置
选择 Copilot 侧窗格中的省略号,以选择是否在高级搜寻中自动添加和运行生成的查询。
取消选择“ 自动运行生成的查询 ”设置后,可以选择 (“添加并运行) ”或将生成的查询添加到查询编辑器中,以便进一步修改 (添加到编辑器) 。