Microsoft Defender 中的 Microsoft Security Copilot 包含用於進階搜尋的查詢助理功能。
不熟悉或未學過 KQL (Kusto 查詢語言的安全分析師) 可以用自然語言提出請求或提問, (例如「 Get all alerts involving inuser admin123) 」。 Security Copilot 接著會根據進階搜尋資料結構產生與請求相符的 KQL 查詢。
此功能縮短從零撰寫狩獵查詢的時間,讓威脅獵人與資安分析師能專注於追蹤與調查威脅。
擁有 Security Copilot 權限的使用者可以在進階狩獵中使用此功能。
注意事項
進階狩獵功能也可透過 Microsoft Defender 全面偵測回應外掛,在 Security Copilot 獨立體驗中提供。 了解更多關於 Security Copilot 預裝插件的資訊。
嘗試您的第一個查詢
要開始使用查詢助理,請依照以下步驟操作:
注意事項
請確保查詢助理模式已啟用。 深入了解
從 Microsoft Defender 入口網站的導覽欄開啟進階狩獵頁面。 適用於進階搜捕的安全性 Copilot 側邊窗格會在右側顯示。
![進階搜捕中的 [Copilot] 窗格的螢幕擷取畫面。](media/advanced-hunting-security-copilot/advanced-hunting-security-copilot-pane-big.png)
您也可以選取查詢編輯器頂端的 Copilot,以重新開啟 Copilot。
在 Copilot 提示欄中,提出任何你想執行的威脅狩獵查詢,然後按下
Enter 鍵。
Copilot 會從文字說明或問題中產生 KQL 查詢。 當 Copilot 產生查詢時,您可以透過選取 [停止產生] 來取消查詢產生。
檢視產生的查詢。 要查看 Copilot 是如何產生這個查詢的,你可以選擇查詢文字下方的「 查看查詢背後的邏輯 」,以展開查詢背後的說明。 再次選擇以最小化。
您之後可以透過選取 [執行查詢] 來選擇執行查詢。
產生的查詢接著會顯示為查詢編輯器中的最後一個查詢,並自動執行。
如果您需要做進一步的調整,請選取 [新增至編輯器]。
產生的查詢會在查詢編輯器中顯示為最後一個查詢,此處您可以在執行之前,在查詢編輯器上方使用標準 執行查詢 來進行編輯。
你可以選擇回饋圖示「
,並選擇 「看起來正確」、「 需要改進」或 「不適當」來提供回饋。
![進階搜捕中的 [Copilot] 窗格的螢幕擷取畫面。](media/advanced-hunting-security-copilot/advanced-hunting-security-copilot-pane-big.png#lightbox)
提示
提供回饋是讓 Security Copilot 團隊了解查詢助理在產生有用 KQL 查詢時的幫助的重要方式。 歡迎你說明哪些地方可以讓查詢更好,或是你在執行產生的 KQL 查詢前做了哪些調整,或分享你最後使用的 KQL 查詢。
修改設定
在 Copilot 側窗格中選擇三點選單,選擇是否自動新增並執行 Advanced Hunting 的查詢。
如果你取消選擇「 自動執行產生查詢 」設定,你可以選擇自動執行產生的查詢 (新增並執行) ,或將產生的查詢加入查詢編輯器進行進一步修改 (新增到編輯器) 。