Microsoft Copilot voor Beveiliging in geavanceerde opsporing

Van toepassing op:

• Microsoft Defender
• Microsoft Defender XDR

Copilot voor Beveiliging in geavanceerde opsporing

Microsoft Copilot voor Beveiliging in Microsoft Defender wordt geleverd met een query-assistent mogelijkheid voor geavanceerde opsporing.

Bedreigingszoekers of beveiligingsanalisten die nog niet bekend zijn met KQL of nog geen kennis hebben van KQL, kunnen een aanvraag indienen of een vraag stellen in natuurlijke taal (bijvoorbeeld Alle waarschuwingen ontvangen met betrekking tot gebruikersbeheerder123). Copilot voor Beveiliging genereert vervolgens een KQL-query die overeenkomt met de aanvraag met behulp van het geavanceerde opsporingsgegevensschema.

Deze functie vermindert de tijd die nodig is om een nieuwe opsporingsquery te schrijven, zodat bedreigingszoekers en beveiligingsanalisten zich kunnen richten op het opsporen en onderzoeken van bedreigingen.

Gebruikers met toegang tot Copilot voor Beveiliging toegang hebben tot deze mogelijkheid bij geavanceerde opsporing.

Opmerking

De geavanceerde opsporingsmogelijkheid is ook beschikbaar in de Copilot voor Beveiliging zelfstandige ervaring via de Microsoft Defender XDR-invoegtoepassing. Meer informatie over vooraf geïnstalleerde invoegtoepassingen in Copilot voor Beveiliging.

Probeer uw eerste aanvraag

1. Open de geavanceerde opsporingspagina vanuit de navigatiebalk in Microsoft Defender XDR. Het Copilot voor Beveiliging zijvenster voor geavanceerde opsporing wordt aan de rechterkant weergegeven.

   

   U kunt Copilot ook opnieuw openen door Copilot bovenaan de queryeditor te selecteren.

2. Vraag in de Copilot-promptbalk een query voor het opsporen van bedreigingen die u wilt uitvoeren en druk op Of Enter .

   

3. Copilot genereert een KQL-query op basis van uw tekstinstructie of vraag. Terwijl Copilot genereert, kunt u het genereren van query's annuleren door Genereren stoppen te selecteren.

   

4. Controleer de gegenereerde query. Vervolgens kunt u ervoor kiezen om de query uit te voeren door Toevoegen en uitvoeren te selecteren.

   

   De gegenereerde query wordt vervolgens weergegeven als de laatste query in de query-editor en wordt automatisch uitgevoerd.

   Als u meer aanpassingen wilt aanbrengen, selecteert u Toevoegen aan editor.

   

   De gegenereerde query wordt in de query-editor weergegeven als de laatste query, waar u deze kunt bewerken voordat u deze uitvoert met behulp van de reguliere Query uitvoeren boven de query-editor.

5. U kunt feedback geven over het gegenereerde antwoord door het feedbackpictogram te selecteren en Bevestigen, Niet van doel of Mogelijk schadelijk te kiezen.

Tip

Het geven van feedback is een belangrijke manier om het Copilot voor Beveiliging team te laten weten hoe goed de query assistent kon helpen bij het genereren van een nuttige KQL-query. U kunt gerust aangeven wat de query had kunnen verbeteren, welke aanpassingen u moest aanbrengen voordat u de gegenereerde KQL-query uitvoerde of deel de KQL-query die u uiteindelijk hebt gebruikt.

Querysessies

U kunt uw eerste sessie op elk gewenst moment starten door een vraag te stellen in het copilot-zijvenster in geavanceerde opsporing. Uw sessie bevat de aanvragen die u hebt gedaan met uw gebruikersaccount. Als u het zijvenster sluit of de geavanceerde opsporingspagina vernieuwt, wordt de sessie niet verwijderd. U hebt nog steeds toegang tot de gegenereerde query's als u ze nodig hebt.

Selecteer het chatballonpictogram (Nieuwe chat) om de huidige sessie te verwijderen.

Instellingen wijzigen

Selecteer het beletselteken in het copilot-zijvenster om te kiezen of u de gegenereerde query automatisch wilt toevoegen en uitvoeren in geavanceerde opsporing.

Als u de instelling Gegenereerde query automatisch uitvoeren uitschakelt, kunt u de gegenereerde query automatisch uitvoeren (Toevoegen en uitvoeren) of de gegenereerde query toevoegen aan de queryeditor voor verdere wijziging (Toevoegen aan editor).