高级搜寻中的Microsoft 安全 Copilot
适用于:
- Microsoft Defender
- Microsoft Defender XDR
高级搜寻中的安全 Copilot
Microsoft Defender 中的Microsoft 安全 Copilot附带高级搜寻中的查询助手功能。
尚不熟悉或尚未了解 KQL 的威胁搜寻者或安全分析师可以使用自然语言提出请求或提问(例如,获取涉及用户管理员 123 的所有警报)。 然后,安全 Copilot使用高级搜寻数据架构生成对应于请求的 KQL 查询。
此功能减少了从头开始编写搜寻查询所需的时间,以便威胁搜寻者和安全分析师可以专注于搜寻和调查威胁。
有权访问安全 Copilot的用户有权在高级搜寻中访问此功能。
注意
高级搜寻功能也可通过 Microsoft Defender XDR 插件在安全 Copilot独立体验中使用。 详细了解 安全 Copilot 中的预安装插件。
尝试第一个请求
在 Microsoft Defender XDR 的导航栏中打开高级搜寻页。 用于高级搜寻的安全 Copilot侧窗格显示在右侧。
还可以通过在查询编辑器顶部选择 “Copilot ”来重新打开 Copilot。
在 Copilot 提示栏中,询问要运行的任何威胁搜寻查询,然后按 或 Enter 。
Copilot 从文本说明或问题生成 KQL 查询。 当 Copilot 生成时,可以通过选择“停止生成”来取消查询 生成。
查看生成的查询。 然后,可以通过选择“ 添加并运行”来选择运行查询。
然后,生成的查询在查询编辑器中显示为最后一个查询,并自动运行。
如果需要进一步调整,请选择“添加到编辑器”。
生成的查询将作为最后一个查询显示在查询编辑器中,可以在使用查询编辑器上方的常规 运行查询 之前对其进行编辑。
可以通过选择反馈图标“ 并选择“ 确认”、“ 非目标”或“ 可能有害”来提供有关生成的响应的反馈。
提示
提供反馈是让安全 Copilot团队了解查询助手如何帮助生成有用的 KQL 查询的重要方法。 可以随意阐明哪些内容可以使查询更好、在运行生成的 KQL 查询之前必须进行哪些调整,或者共享最终使用的 KQL 查询。
注意
在统一Microsoft Defender门户中,可以提示安全 Copilot为 Defender XDR 表和 Microsoft Sentinel 表生成高级搜寻查询。 目前并非所有 Microsoft Sentinel 表都受支持,但将来可能会支持这些表。
查询会话
可以通过在高级搜寻中的 Copilot 侧窗格中提问,随时开始第一个会话。 会话包含使用用户帐户发出的请求。 关闭侧窗格或刷新高级搜寻页不会放弃会话。 如果需要,仍可以访问生成的查询。
选择聊天气泡图标 (“新建聊天) 放弃当前会话。
修改设置
选择 Copilot 侧窗格中的省略号,以选择是否在高级搜寻中自动添加和运行生成的查询。
取消选择“ 自动运行生成的查询 ”设置后,可以选择 (“添加并运行) ”或将生成的查询添加到查询编辑器中,以便进一步修改 (添加到编辑器) 。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈