Microsoft Copilot for Security i avancerad jakt
Microsoft Copilot for Security i Microsoft Defender levereras med en frågeassistentfunktion i avancerad jakt.
Hotjägare eller säkerhetsanalytiker som ännu inte är bekanta med eller ännu inte har lärt sig KQL kan göra en begäran eller ställa en fråga på naturligt språk (till exempel Hämta alla aviseringar som involverar användaradministratör123). Copilot for Security genererar sedan en KQL-fråga som motsvarar begäran med hjälp av dataschemat för avancerad jakt.
Den här funktionen minskar den tid det tar att skriva en jaktfråga från grunden så hotjägare och säkerhetsanalytiker kan fokusera på att jaga och undersöka hot.
Användare med åtkomst till Copilot for Security har åtkomst till den här funktionen i avancerad jakt.
Obs!
Den avancerade jaktfunktionen är också tillgänglig i den fristående versionen av Copilot for Security via plugin-programmet Microsoft Defender XDR. Läs mer om förinstallerade plugin-program i Copilot for Security.
Prova din första begäran
Öppna sidan avancerad jakt från navigeringsfältet i Microsoft Defender-portalen. Sidofönstret för avancerad jakt i Copilot for Security visas till höger.
Du kan också öppna Copilot igen genom att välja Copilot överst i frågeredigeraren.
I kommandotolken för Copilot frågar du alla frågor om hotjakt som du vill köra och trycker på eller Retur .
Copilot kommer att generera en KQL-fråga från textinstruktionen eller frågan. Medan Copilot genererar resultatet kan du avbryta frågegenereringen genom att välja Sluta generera.
Granska den genererade frågan. Du kan sedan välja att köra frågan genom att välja Lägg till och köra.
Den genererade frågan kommer att sedan visas som den sista frågan i frågeredigeraren och körs automatiskt.
Om du behöver göra ytterligare justeringar väljer du Lägg till i redigeraren.
Den genererade frågan kommer att visas i frågeredigeraren som den sista frågan, där kan du redigera den innan du kör den vanliga Kör fråga ovanför frågeredigeraren.
Du kan ge feedback om det genererade svaret genom att välja feedbackikonen välja Bekräfta, Utanför mål eller Potentiellt skadligt.
Tips
Feedback är ett viktigt sätt att låta Copilot for Security-teamet veta hur väl frågeassistenten kunde hjälpa till med att generera en användbar KQL-fråga. Förklara gärna vad som kunde ha gjort frågan bättre, vilka justeringar du var tvungen att göra innan du körde den genererade KQL-frågan eller dela den KQL-fråga som du till slut använde.
I Microsoft Defender-portalen kan du uppmana Copilot for Security att generera avancerade jaktfrågor för både Defender XDR och Microsoft Sentinel tabeller. För närvarande stöds inte alla Microsoft Sentinel tabeller, men stöd för dessa tabeller kan förväntas i framtiden.
Frågesessioner
Du kan starta din första session när som helst genom att ställa en fråga i sidofönstret för avancerad jakt i Copilot. Sessionen innehåller de begäranden som du har gjort med ditt användarkonto. Om du stänger sidofönstret eller uppdaterar sidan avancerad jakt ignoreras inte sessionen. Du kan fortfarande komma åt de genererade frågorna om du behöver dem.
Välj ikonen för chattbubbla (Ny chatt) för att ignorera den aktuella sessionen.
Ändra inställningar
Välj ellipserna i Copilot-sidofönstret för att välja om du vill lägga till och köra den genererade frågan automatiskt i avancerad jakt.
Om du avmarkerar inställningen Kör genererad fråga automatiskt kan du välja att köra den genererade frågan automatiskt (Lägg till och kör) eller lägga till den genererade frågan i frågeredigeraren för ytterligare ändring (Lägg till i redigeraren).