Freigeben über

Microsoft Copilot für Security bei der erweiterten Suche

  • Artikel

Gilt für:

  • Microsoft Defender
  • Microsoft Defender XDR

Copilot für Security bei der erweiterten Suche

Microsoft Copilot für Security in Microsoft Defender verfügt über eine Abfrage-Assistent-Funktion für die erweiterte Suche.

Bedrohungsjäger oder Sicherheitsanalysten, die noch nicht mit KQL vertraut sind oder noch nicht gelernt haben, können eine Anfrage stellen oder eine Frage in natürlicher Sprache stellen (für instance: Abrufen aller Warnungen unter Benutzeradministrator123). Copilot für Security generiert dann mithilfe des Erweiterten Huntingdatenschemas eine KQL-Abfrage, die der Anforderung entspricht.

Dieses Feature reduziert die Zeit, die benötigt wird, um eine Hunting-Abfrage von Grund auf neu zu schreiben, sodass Bedrohungssucher und Sicherheitsanalysten sich auf die Suche und Untersuchung von Bedrohungen konzentrieren können.

Benutzer mit Zugriff auf Copilot für Security haben Zugriff auf diese Funktion bei der erweiterten Suche.

Hinweis

Die erweiterte Suchfunktion ist auch in der Copilot für Security eigenständigen Umgebung über das Microsoft Defender XDR-Plug-In verfügbar. Erfahren Sie mehr über vorinstallierte Plug-Ins in Copilot für Security.

Probieren Sie Ihre erste Anforderung aus

  1. Öffnen Sie die Seite erweiterte Suche über die Navigationsleiste in Microsoft Defender XDR. Der Copilot für Security Seitenbereich für die erweiterte Suche wird auf der rechten Seite angezeigt.

    Screenshot des Copilot-Bereichs in der erweiterten Suche.

    Sie können Copilot auch erneut öffnen, indem Sie oben im Abfrage-Editor Copilot auswählen.

  2. Fragen Sie in der Copilot-Eingabeaufforderung jede Abfrage zur Bedrohungssuche, die Sie ausführen möchten, und drücken Sie die EINGABETASTE .

    Screenshot: Eingabeaufforderungsleiste im Copilot für Security für die erweiterte Suche

  3. Copilot generiert eine KQL-Abfrage aus Ihrer Textanweisung oder -frage. Während Copilot generiert, können Sie die Abfragegenerierung abbrechen, indem Sie Generierung beenden auswählen.

    Screenshot: Copilot für Security in der erweiterten Suche, die eine Antwort generiert.

  4. Überprüfen Sie die generierte Abfrage. Sie können dann auswählen, dass die Abfrage ausgeführt werden soll, indem Sie Hinzufügen und ausführen auswählen.

    Screenshot der Schaltfläche

    Die generierte Abfrage wird dann als letzte Abfrage im Abfrage-Editor angezeigt und automatisch ausgeführt.

    Wenn Sie weitere Optimierungen vornehmen müssen, wählen Sie Zum Editor hinzufügen aus.

    Screenshot: Copilot für Security in der erweiterten Suche mit der Option Zum Editor hinzufügen

    Die generierte Abfrage wird im Abfrage-Editor als letzte Abfrage angezeigt, wo Sie sie bearbeiten können, bevor Sie die reguläre Abfrage ausführen über dem Abfrage-Editor ausführen.

  5. Sie können Feedback zu der generierten Antwort geben, indem Sie auf das Feedbacksymbol Screenshot des Feedbacksymbols klicken und Bestätigen, Zieloffen oder Potenziell schädlich auswählen.

Tipp

Feedback ist eine wichtige Möglichkeit, um das Copilot für Security Team darüber zu informieren, wie gut die Abfrage Assistent beim Generieren einer nützlichen KQL-Abfrage helfen konnte. Sie können gerne erläutern, was die Abfrage hätte verbessern können, welche Anpassungen Sie vor dem Ausführen der generierten KQL-Abfrage vornehmen mussten, oder die KQL-Abfrage freigeben, die Sie schließlich verwendet haben.

Hinweis

Im Unified Microsoft Defender-Portal können Sie Copilot für Security auffordern, erweiterte Suchabfragen für Defender XDR- und Microsoft Sentinel-Tabellen zu generieren. Derzeit werden nicht alle Microsoft Sentinel-Tabellen unterstützt, aber die Unterstützung für diese Tabellen kann in Zukunft erwartet werden.

Abfragesitzungen

Sie können Ihre erste Sitzung jederzeit starten, indem Sie im Copilot-Seitenbereich in der erweiterten Suche eine Frage stellen. Ihre Sitzung enthält die Anforderungen, die Sie mit Ihrem Benutzerkonto vorgenommen haben. Wenn Sie den Seitenbereich schließen oder die Seite für die erweiterte Suche aktualisieren, wird die Sitzung nicht verworfen. Sie können weiterhin auf die generierten Abfragen zugreifen, wenn Sie sie benötigen.

Wählen Sie das Chatblasensymbol (Neuer Chat) aus, um die aktuelle Sitzung zu verwerfen.

Screenshot: Copilot für Security in der erweiterten Suche mit dem Neuen Chatsymbol.

Ändern von Einstellungen

Wählen Sie die Auslassungspunkte im Copilot-Seitenbereich aus, um auszuwählen, ob die generierte Abfrage in der erweiterten Suche automatisch hinzugefügt und ausgeführt werden soll.

Screenshot: Copilot für Security in der erweiterten Suche mit dem Symbol mit den Auslassungspunkten der Einstellungen.

Wenn Sie die Option Generierte Abfrage automatisch ausführen deaktivieren, können Sie die generierte Abfrage automatisch ausführen (Hinzufügen und ausführen) oder die generierte Abfrage zur weiteren Änderung zum Abfrage-Editor hinzufügen (Dem Editor hinzufügen).