Microsoft Copilot für Security bei der erweiterten Suche
Gilt für:
- Microsoft Defender
- Microsoft Defender XDR
Copilot für Security bei der erweiterten Suche
Microsoft Copilot für Security in Microsoft Defender verfügt über eine Abfrage-Assistent-Funktion für die erweiterte Suche.
Bedrohungsjäger oder Sicherheitsanalysten, die noch nicht mit KQL vertraut sind oder noch nicht gelernt haben, können eine Anfrage stellen oder eine Frage in natürlicher Sprache stellen (für instance: Abrufen aller Warnungen unter Benutzeradministrator123). Copilot für Security generiert dann mithilfe des Erweiterten Huntingdatenschemas eine KQL-Abfrage, die der Anforderung entspricht.
Dieses Feature reduziert die Zeit, die benötigt wird, um eine Hunting-Abfrage von Grund auf neu zu schreiben, sodass Bedrohungssucher und Sicherheitsanalysten sich auf die Suche und Untersuchung von Bedrohungen konzentrieren können.
Benutzer mit Zugriff auf Copilot für Security haben Zugriff auf diese Funktion bei der erweiterten Suche.
Hinweis
Die erweiterte Suchfunktion ist auch in der Copilot für Security eigenständigen Umgebung über das Microsoft Defender XDR-Plug-In verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Copilot für Security.
Probieren Sie Ihre erste Anforderung aus
Öffnen Sie die Seite erweiterte Suche über die Navigationsleiste in Microsoft Defender XDR. Der Copilot für Security Seitenbereich für die erweiterte Suche wird auf der rechten Seite angezeigt.
Sie können Copilot auch erneut öffnen, indem Sie oben im Abfrage-Editor Copilot auswählen.
Fragen Sie in der Copilot-Eingabeaufforderung jede Abfrage zur Bedrohungssuche, die Sie ausführen möchten, und drücken Sie die EINGABETASTE .
Copilot generiert eine KQL-Abfrage aus Ihrer Textanweisung oder -frage. Während Copilot generiert, können Sie die Abfragegenerierung abbrechen, indem Sie Generierung beenden auswählen.
Überprüfen Sie die generierte Abfrage. Sie können dann auswählen, dass die Abfrage ausgeführt werden soll, indem Sie Hinzufügen und ausführen auswählen.
Die generierte Abfrage wird dann als letzte Abfrage im Abfrage-Editor angezeigt und automatisch ausgeführt.
Wenn Sie weitere Optimierungen vornehmen müssen, wählen Sie Zum Editor hinzufügen aus.
Die generierte Abfrage wird im Abfrage-Editor als letzte Abfrage angezeigt, wo Sie sie bearbeiten können, bevor Sie die reguläre Abfrage ausführen über dem Abfrage-Editor ausführen.
Sie können Feedback zu der generierten Antwort geben, indem Sie auf das Feedbacksymbol klicken und Bestätigen, Zieloffen oder Potenziell schädlich auswählen.
Tipp
Feedback ist eine wichtige Möglichkeit, um das Copilot für Security Team darüber zu informieren, wie gut die Abfrage Assistent beim Generieren einer nützlichen KQL-Abfrage helfen konnte. Sie können gerne erläutern, was die Abfrage hätte verbessern können, welche Anpassungen Sie vor dem Ausführen der generierten KQL-Abfrage vornehmen mussten, oder die KQL-Abfrage freigeben, die Sie schließlich verwendet haben.
Hinweis
Im Unified Microsoft Defender-Portal können Sie Copilot für Security auffordern, erweiterte Suchabfragen für Defender XDR- und Microsoft Sentinel-Tabellen zu generieren. Derzeit werden nicht alle Microsoft Sentinel-Tabellen unterstützt, aber die Unterstützung für diese Tabellen kann in Zukunft erwartet werden.
Abfragesitzungen
Sie können Ihre erste Sitzung jederzeit starten, indem Sie im Copilot-Seitenbereich in der erweiterten Suche eine Frage stellen. Ihre Sitzung enthält die Anforderungen, die Sie mit Ihrem Benutzerkonto vorgenommen haben. Wenn Sie den Seitenbereich schließen oder die Seite für die erweiterte Suche aktualisieren, wird die Sitzung nicht verworfen. Sie können weiterhin auf die generierten Abfragen zugreifen, wenn Sie sie benötigen.
Wählen Sie das Chatblasensymbol (Neuer Chat) aus, um die aktuelle Sitzung zu verwerfen.
Ändern von Einstellungen
Wählen Sie die Auslassungspunkte im Copilot-Seitenbereich aus, um auszuwählen, ob die generierte Abfrage in der erweiterten Suche automatisch hinzugefügt und ausgeführt werden soll.
Wenn Sie die Option Generierte Abfrage automatisch ausführen deaktivieren, können Sie die generierte Abfrage automatisch ausführen (Hinzufügen und ausführen) oder die generierte Abfrage zur weiteren Änderung zum Abfrage-Editor hinzufügen (Dem Editor hinzufügen).
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für