進階搜捕中的 Microsoft Copilot for Security
Microsoft Defender 中的 Microsoft Copilot for Security 隨附進階搜捕中的查詢小幫手功能。
威脅搜捕者或尚未熟悉或尚未瞭解 KQL 的安全性分析師,可以提出要求或以自然語言提出問題 (例如, 取得與使用者 admin123 相關的所有警示) 。 Copilot for Security 之後會使用進階搜捕資料結構描述產生對應至要求的 KQL 查詢。
這項功能可減少從頭開始撰寫搜捕查詢所需的時間,讓威脅搜捕人員和安全性分析師可以專注在搜捕和調查威脅上。
具有 Copilot for Security 存取權的使用者可在進階搜捕中存取此功能。
注意事項
進階搜捕功能也可透過 Microsoft Defender 全面偵測回應外掛程式,在 Copilot for Security 獨立體驗中取得。 深入瞭解 Copilot for Security 中預先安裝的外掛程式。
嘗試您的第一個查詢
從 Microsoft Defender 入口網站的導覽列開啟進階搜捕頁面。 適用於進階搜捕的 Copilot for Security 側邊窗格會在右側顯示。
![進階搜捕中的 [Copilot] 窗格的螢幕擷取畫面。](/zh-tw/defender/media/advanced-hunting-security-copilot-pane.png)
您也可以選取查詢編輯器頂端的 Copilot,以重新開啟 Copilot。
在 Copilot 提示列中,詢問您要執行的任何威脅搜捕查詢,然後按
或 輸入 。
Copilot 會從文字說明或問題中產生 KQL 查詢。 當 Copilot 產生查詢時,您可以透過選取 [停止產生] 來取消查詢產生。
檢視產生的查詢。 您之後可以透過選取 [新增並執行] 來選擇執行查詢。
![[Copilot] 按鈕的螢幕擷取畫面,其中顯示 [將查詢新增至查詢編輯器並執行]。](/zh-tw/defender/media/advanced-hunting-security-copilot-run-query.png)
產生的查詢接著會顯示為查詢編輯器中的最後一個查詢,並自動執行。
如果您需要做進一步的調整,請選取 [新增至編輯器]。
![進階搜捕中 Copilot for Security 的螢幕擷取畫面,其中顯示 [新增至編輯器] 選項。](/zh-tw/defender/media/advanced-hunting-security-copilot-add-editor.png)
產生的查詢會在查詢編輯器中顯示為最後一個查詢,此處您可以在執行之前,在查詢編輯器上方使用標準 執行查詢 來進行編輯。
您可以選取意見反應圖示意見反應
,然後選擇 [ 確認]、 [偏離目標] 或 [ 可能有害],以提供所產生回應的意見反應。
![進階搜捕中的 [Copilot] 窗格的螢幕擷取畫面。](/zh-tw/defender/media/advanced-hunting-security-copilot-pane-big.png#lightbox)
提示
提供意見反應是讓 Copilot for Security 小組知道查詢小幫手能夠如何協助產生實用 KQL 查詢的重要方式。 您可以隨意闡述可能讓查詢變更好的事項、在執行產生的 KQL 查詢之前進行了哪些調整,或分享您最終使用的 KQL 查詢。
在 Microsoft Defender 入口網站中,您可以提示 Copilot for Security 為 Defender 全面偵測回應 和 Microsoft Sentinel 數據表產生進階搜捕查詢。 目前並非所有 Microsoft Sentinel 數據表都受到支援,但未來可能會支援這些數據表。
查詢工作階段
您可以隨時在進階搜捕的 Copilot 側邊窗格中詢問問題,以開始您的第一個工作階段。 您的工作模式包含使用您的使用者帳戶所提出的要求。 關閉側邊窗格或重新整理進階搜捕頁面並不會捨棄會話。 您仍然可以在需要時存取產生的查詢。
選取聊天泡泡圖示 (新增聊天),以捨棄目前的工作階段。
修改設定
選取 Copilot 側邊窗格中的省略號,以選擇是否要在進階搜捕中自動新增並執行所產生的查詢。
取消選取 [自動執行產生的查詢] 設定可讓您選擇自動執行產生的查詢 ([新增並執行]),或將產生的查詢新增至查詢編輯器以便進一步修改 (新增至編輯器)。