Microsoft Copilot für Security in der erweiterten Bedrohungssuche

Microsoft Copilot für Security in Microsoft Defender verfügt über eine Abfrage-Assistent-Funktion für die erweiterte Bedrohungssuche.

Bedrohungsjäger oder Sicherheitsanalysten, die noch nicht mit KQL vertraut sind oder noch nicht gelernt haben, können eine Anfrage stellen oder eine Frage in natürlicher Sprache stellen (für instance Rufen Sie alle Warnungen mit Benutzeradministrator123 ab). Copilot für Security generiert dann eine der Anforderung entsprechende KQL-Abfrage unter Verwendung des Datenschemas für die erweiterte Bedrohungssuche.

Dieses Feature reduziert die Zeit, die benötigt wird, um eine Bedrohungssuchabfrage von Grund auf neu zu schreiben, sodass Bedrohungssuchende und Sicherheitsanalysten sich auf die Suche und Untersuchung von Bedrohungen konzentrieren können.

Benutzer mit Zugriff auf Copilot für Security haben Zugriff auf diese Funktion in der erweiterten Bedrohungssuche.

Hinweis

Die Funktion zur erweiterten Bedrohungssuche ist auch in der eigenständigen Version von Copilot für Security über das Microsoft Defender XDR-Plug-In verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Copilot für Security.

Probieren Sie Ihre erste Anforderung aus

  1. Öffnen Sie die Seite erweiterte Suche über die Navigationsleiste im Microsoft Defender-Portal. Der Copilot für Security-Seitenbereich für die erweiterte Bedrohungssuche wird auf der rechten Seite angezeigt.

    Screenshot des Copilot-Bereichs in der erweiterten Bedrohungssuche.

    Sie können Copilot auch erneut öffnen, indem Sie oben im Abfrage-Editor Copilot auswählen.

  2. Fragen Sie in der Copilot-Eingabeaufforderung jede Abfrage zur Bedrohungssuche, die Sie ausführen möchten, und drücken Sie die EINGABETASTE .

    Screenshot, der die Prompt-Leiste in Copilot für Security für die erweiterte Bedrohungssuche zeigt.

  3. Copilot generiert eine KQL-Abfrage anhand Ihrer Textanweisung oder Frage. Während Copilot die Abfrage generiert, können Sie den Vorgang abbrechen, indem Sie Generieren beenden auswählen.

    Screenshot von Copilot für Security in der erweiterten Bedrohungssuche, der eine Antwort generiert.

  4. Überprüfen Sie die generierte Abfrage. Sie können die Abfrage anschließend ausführen, indem Sie Hinzufügen und ausführen auswählen.

    Screenshot der Copilot-Schaltfläche mit dem Text „Abfrage zum Abfrage-Editor hinzufügen und ausführen“

    Die generierte Abfrage wird dann als letzte Abfrage im Abfrage-Editor angezeigt und automatisch ausgeführt.

    Wenn Sie weitere Optimierungen vornehmen müssen, wählen Sie Zum Editor hinzufügen aus.

    Screenshot von Copilot für Security in der erweiterten Bedrohungssuche und der Option „Zum Editor hinzufügen“

    Die generierte Abfrage wird im Abfrage-Editor als letzte Abfrage angezeigt. Dort können Sie sie bearbeiten, bevor sie über Abfrage ausführen über dem Abfrage-Editor regulär ausgeführt wird.

  5. Sie können Feedback zur generierten Antwort geben, indem Sie auf das Feedbacksymbol Screenshot des Feedbacksymbols klicken undBestätigen, Zieloffen oder Potenziell schädlich auswählen.

Tipp

Die Bereitstellung von Feedback ist eine wichtige Möglichkeit, um das Copilot für Security-Team wissen zu lassen, wie gut der Abfrage-Assistent beim Generieren einer nützlichen KQL-Abfrage helfen konnte. Erläutern Sie gerne, wie die Abfrage hätte verbessert werden können, welche Anpassungen Sie vor dem Ausführen der generierten KQL-Abfrage vornehmen mussten, oder übermitteln Sie die KQL-Abfrage, die Sie schließlich verwendet haben.

Im Microsoft Defender-Portal können Sie Copilot for Security auffordern, erweiterte Huntingabfragen für Defender XDR und Microsoft Sentinel Tabellen zu generieren. Nicht alle Microsoft Sentinel Tabellen werden derzeit unterstützt, aber die Unterstützung für diese Tabellen kann in Zukunft erwartet werden.

Abfragesitzungen

Sie können Ihre erste Sitzung jederzeit starten, indem Sie in der erweiterten Bedrohungssuche im Copilot-Seitenbereich eine Frage stellen. Ihre Sitzung enthält die über Ihr Benutzerkonto erstellten Anforderungen. Wenn Sie den Seitenbereich schließen oder die Seite für die erweiterte Suche aktualisieren, wird die Sitzung nicht verworfen. Sie können weiterhin auf die generierten Abfragen zugreifen, wenn Sie sie benötigen.

Wählen Sie das Chatblasensymbol (Neuer Chat) aus, um die aktuelle Sitzung zu verwerfen.

Screenshot von Copilot für Security in der erweiterten Bedrohungssuche und des Symbols „Neuer Chat“

Ändern von Einstellungen

Wählen Sie die Auslassungspunkte im Copilot-Seitenbereich aus, um festzulegen, ob die generierte Abfrage automatisch hinzugefügt und in der erweiterten Bedrohungssuche ausgeführt werden soll.

Screenshot von Copilot für Security in der erweiterten Suche mit dem Auslassungspunkte-Symbols für die Einstellungen.

Wenn Sie die Generierte Abfrage automatisch ausführen deaktivieren, können Sie auswählen, ob die generierte Abfrage automatisch ausgeführt (Hinzufügen und ausführen) oder zur weiteren Änderung zum Abfrage-Editor hinzugefügt (Zum Editor hinzufügen) werden soll.