高级搜寻中的 Microsoft 安全 Copilot
Microsoft Defender 中的 Microsoft 安全 Copilot提供高级搜寻的查询助手功能。
不熟悉或尚未了解 KQL 的威胁猎手或安全分析师可以使用自然语言发出请求或提问, (例如 获取涉及用户 admin123) 的所有警报 。 然后,安全 Copilot 会生成 KQL 查询,该查询对应于使用高级搜寻数据架构的请求。
此功能减少了从头开始编写搜寻查询所需的时间,以便威胁搜寻者和安全分析师可以专注于搜寻和调查威胁。
有权访问安全 Copilot 的用户可以在高级搜寻中访问此功能。
注意
也可通过 Microsoft Defender XDR 插件在安全 Copilot 独立体验中使用高级搜寻功能。 详细了解安全 Copilot 中的预安装插件。
尝试第一个请求
从Microsoft Defender门户中的导航栏打开高级搜寻页。 高级搜寻的安全 Copilot 侧窗格显示在右侧。
还可以在查询编辑器的顶部选择“Copilot”以重新打开 Copilot。
在 Copilot 提示栏中,询问要运行的任何威胁搜寻查询,然后按 或 Enter 。
Copilot 根据文本指令或问题生成 KQL 查询。 在生成 Copilot 时,可以选择“停止生成”以取消查询生成。
查看生成的查询。 然后,可以选择“添加并运行”以运行查询。
然后,生成的查询在查询编辑器中显示为最后一个查询,并自动运行。
如果需要进一步调整,请选择“添加到编辑器”。
生成的查询将作为最后一个查询显示在查询编辑器中,可以在使用查询编辑器上方的常规 运行查询 之前对其进行编辑。
可以通过选择反馈图标“ ”图标,然后选择“ 确认”、“ 非目标”或“ 可能有害”来提供有关生成的响应的反馈。
提示
提供反馈是让安全 Copilot 团队了解查询助手能够帮助生成有用的 KQL 查询的重要方法。 可以随意阐明哪些内容可以使查询更好、在运行生成的 KQL 查询之前必须进行哪些调整,或者共享最终使用的 KQL 查询。
在Microsoft Defender门户中,可以提示 Copilot for Security 为Defender XDR表和Microsoft Sentinel表生成高级搜寻查询。 目前并非所有Microsoft Sentinel表都受支持,但将来可能会支持这些表。
查询会话
可以通过在高级搜寻的“ Copilot 端”窗格中提问,随时启动第一个会话。 会话包含使用用户帐户发出的请求。 关闭侧窗格或刷新高级搜寻页不会放弃会话。 如果需要,仍可以访问生成的查询。
选择聊天气泡图标(新聊天)以放弃当前会话。
修改设置
选择 Copilot 侧窗格中的省略号,以选择是否在高级搜寻中自动添加和运行生成的查询。
取消选择“自动运行生成的查询”设置使你可以选择自动运行生成的查询(添加并运行)或将生成的查询添加到查询编辑器以供进一步修改(添加到编辑器)。