通过

高级搜寻中的Microsoft 安全 Copilot

  • 项目

适用于:

  • Microsoft Defender
  • Microsoft Defender XDR

高级搜寻中的安全 Copilot

Microsoft Defender 中的Microsoft 安全 Copilot附带高级搜寻中的查询助手功能。

尚不熟悉或尚未了解 KQL 的威胁搜寻者或安全分析师可以使用自然语言提出请求或提问(例如,获取涉及用户管理员 123 的所有警报)。 然后,安全 Copilot使用高级搜寻数据架构生成对应于请求的 KQL 查询。

此功能减少了从头开始编写搜寻查询所需的时间,以便威胁搜寻者和安全分析师可以专注于搜寻和调查威胁。

有权访问安全 Copilot的用户有权在高级搜寻中访问此功能。

注意

高级搜寻功能也可通过 Microsoft Defender XDR 插件在安全 Copilot独立体验中使用。 详细了解 安全 Copilot 中的预安装插件

尝试第一个请求

  1. 在 Microsoft Defender XDR 的导航栏中打开高级搜寻页。 用于高级搜寻的安全 Copilot侧窗格显示在右侧。

    高级搜寻中的 Copilot 窗格的屏幕截图。

    还可以通过在查询编辑器顶部选择 “Copilot ”来重新打开 Copilot。

  2. 在 Copilot 提示栏中,询问要运行的任何威胁搜寻查询,然后按 Enter

    显示高级搜寻安全 Copilot中的提示栏的屏幕截图。

  3. Copilot 从文本说明或问题生成 KQL 查询。 当 Copilot 生成时,可以通过选择“停止生成”来取消查询 生成

    高级搜寻生成响应时安全 Copilot的屏幕截图。

  4. 查看生成的查询。 然后,可以通过选择“ 添加并运行”来选择运行查询。

    Copilot 按钮的屏幕截图,其中显示了将查询添加到查询编辑器并运行。

    然后,生成的查询在查询编辑器中显示为最后一个查询,并自动运行。

    如果需要进一步调整,请选择“添加到编辑器”。

    高级搜寻中安全 Copilot的屏幕截图,其中显示了“添加到编辑器”选项。

    生成的查询将作为最后一个查询显示在查询编辑器中,可以在使用查询编辑器上方的常规 运行查询 之前对其进行编辑。

  5. 可以通过选择反馈图标“ 反馈”图标的“屏幕截图”图标 并选择“ 确认”、“ 非目标”或“ 可能有害”来提供有关生成的响应的反馈。

提示

提供反馈是让安全 Copilot团队了解查询助手如何帮助生成有用的 KQL 查询的重要方法。 可以随意阐明哪些内容可以使查询更好、在运行生成的 KQL 查询之前必须进行哪些调整,或者共享最终使用的 KQL 查询。

注意

统一Microsoft Defender门户中,可以提示安全 Copilot为 Defender XDR 表和 Microsoft Sentinel 表生成高级搜寻查询。 目前并非所有 Microsoft Sentinel 表都受支持,但将来可能会支持这些表。

查询会话

可以通过在高级搜寻中的 Copilot 侧窗格中提问,随时开始第一个会话。 会话包含使用用户帐户发出的请求。 关闭侧窗格或刷新高级搜寻页不会放弃会话。 如果需要,仍可以访问生成的查询。

选择聊天气泡图标 (“新建聊天) 放弃当前会话。

高级搜寻中安全 Copilot的屏幕截图,其中显示了新的聊天图标。

修改设置

选择 Copilot 侧窗格中的省略号,以选择是否在高级搜寻中自动添加和运行生成的查询。

高级搜寻中安全 Copilot的屏幕截图,其中显示了“设置省略号”图标。

取消选择“ 自动运行生成的查询 ”设置后,可以选择 (“添加并运行) ”或将生成的查询添加到查询编辑器中,以便进一步修改 (添加到编辑器) 。