Microsoft Copilot para Segurança em busca avançada de ameaças
O Microsoft Copilot para Segurança no Microsoft Defender vem com uma funcionalidade de assistente de consulta na busca avançada de ameaças.
Os caçadores de ameaças ou analistas de segurança que ainda não estão familiarizados ou ainda não aprenderam a KQL podem fazer um pedido ou fazer uma pergunta em linguagem natural (por exemplo, Obter todos os alertas que envolvam o administrador de utilizador123). Em seguida, o Copilot para Segurança gera uma consulta KQL que corresponde à solicitação usando o esquema de dados da busca avançada de ameaças.
Esse recurso reduz o tempo necessário para escrever uma consulta de busca do zero para que os exploradores de ameaças e analistas de segurança possam se concentrar na busca e na investigação de ameaças.
Os usuários com acesso ao Copilot para Segurança têm acesso a essa funcionalidade na busca avançada de ameaças.
Observação
A capacidade de busca avançada de ameaças também está disponível na experiência autónoma do Copilot para Segurança pelo plug-in do Microsoft Defender XDR. Saiba mais sobre os plug-ins pré-instalados no Copilot para Segurança.
Experimente sua primeira consulta
Abra a página de investigação avançada a partir da barra de navegação no portal do Microsoft Defender. O painel lateral do Copilot para Segurança para busca avançada de ameaças aparece no lado direito.
Você também pode reabrir o Copilot ao selecionar o Copilot na parte superior do editor de consultas.
Na barra de pedidos copilot, pergunte a qualquer consulta de investigação de ameaças que pretenda executar e prima
ou Enter .
O Copilot gera uma consulta KQL da sua instrução de texto ou pergunta. Enquanto o Copilot está sendo gerado, você pode cancelar a geração de consulta selecionando Parar de gerar.
Examine a consulta gerada. Em seguida, você pode optar por executar a consulta selecionando Adicionar e executar.
Depois, a consulta gerada é exibida como a última consulta no editor de consultas e é executada automaticamente.
Se você precisar fazer mais ajustes, selecione Adicionar ao editor.
A consulta gerada é exibida no editor de consultas como a última consulta, na qual você pode editá-la antes de executar usando Executar consulta acima do editor de consultas.
Pode fornecer feedback sobre a resposta gerada ao selecionar o ícone de feedback
selecionar Confirmar, Fora do destino ou Potencialmente prejudicial.
Dica
Fornecer comentários é uma maneira importante de informar à equipe do Copilot para Segurança como o assistente de consulta conseguiu ajudar a gerar uma consulta KQL útil. Sinta-se à vontade para articular o que poderia ter melhorado a consulta, quais ajustes você teve que fazer antes de executar a consulta KQL gerada ou compartilhar a consulta KQL que você eventualmente usou.
No portal Microsoft Defender, pode pedir ao Copilot para Segurança para gerar consultas de investigação avançadas para tabelas de Defender XDR e Microsoft Sentinel. Nem todas as tabelas Microsoft Sentinel são atualmente suportadas, mas o suporte para estas tabelas pode ser esperado no futuro.
Sessões de consulta
Você pode iniciar sua primeira sessão a qualquer momento fazendo uma pergunta no painel lateral do Copilot para Segurança na busca avançada de ameaças. Sua sessão contém as solicitações que você fez usando sua conta de usuário. Fechar o painel lateral ou atualizar a página de investigação avançada não elimina a sessão. Você ainda pode acessar as consultas geradas caso precise delas.
Selecione o ícone de bolha de chat (Nova conversa) para eliminar a sessão atual.
Modificar configurações
Selecione o ícone de engrenagem no painel lateral do Copilot para Segurança para escolher se quer ou não adicionar e executar automaticamente a consulta gerada na busca avançada de ameaças.
Desmarcar a configuração Executar a consulta gerada automaticamente oferece a opção de você executar a consulta gerada automaticamente (Adicionar e executar) ou adicionar a consulta gerada ao editor de consulta para modificação posterior (Adicionar ao editor).