Microsoft Copilot para Segurança na caça avançada

Aplica-se a:

• Microsoft Defender
• Microsoft Defender XDR

Copilot para Segurança em busca avançada

Microsoft Copilot para Segurança no Microsoft Defender vem com uma funcionalidade de assistente de consulta na caça avançada.

Os analistas de segurança ou invasores de ameaças que ainda não estão familiarizados ou ainda não conheceram o KQL podem fazer uma solicitação ou fazer uma pergunta em linguagem natural (por exemplo, Obter todos os alertas que envolvem o usuário admin123). Copilot para Segurança então gera uma consulta KQL que corresponde à solicitação usando o esquema avançado de dados de caça.

Esse recurso reduz o tempo necessário para escrever uma consulta de busca do zero para que os exploradores de ameaças e analistas de segurança possam se concentrar na busca e na investigação de ameaças.

Usuários com acesso a Copilot para Segurança têm acesso a essa funcionalidade na caça avançada.

Observação

A funcionalidade avançada de caça também está disponível no Copilot para Segurança experiência autônoma por meio do plug-in Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Copilot para Segurança.

Experimente sua primeira consulta

1. Abra a página de caça avançada da barra de navegação no Microsoft Defender XDR. O painel lateral Copilot para Segurança para caça avançada aparece no lado direito.

   

   Você também pode reabrir Copilot selecionando Copilot na parte superior do editor de consultas.

2. Na barra de prompt copilot, pergunte a qualquer consulta de caça de ameaças que você deseja executar e pressione ou Enter .

   

3. Copilot gera uma consulta KQL a partir de sua instrução de texto ou pergunta. Enquanto Copilot está gerando, você pode cancelar a geração de consulta selecionando Parar de gerar.

   

4. Examine a consulta gerada. Em seguida, você pode optar por executar a consulta selecionando Adicionar e executar.

   

   Depois, a consulta gerada é exibida como a última consulta no editor de consultas e é executada automaticamente.

   Se você precisar fazer mais ajustes, selecione Adicionar ao editor.

   

   A consulta gerada é exibida no editor de consultas como a última consulta, na qual você pode editá-la antes de executar usando Executar consulta acima do editor de consultas.

5. Você pode fornecer comentários sobre a resposta gerada selecionando o ícone e escolhendo Confirmar, Fora do destino ou Potencialmente prejudicial.

Dica

Fornecer comentários é uma maneira importante de permitir que a equipe Copilot para Segurança saiba o quão bem a assistente de consulta foi capaz de ajudar na geração de uma consulta KQL útil. Sinta-se à vontade para articular o que poderia ter melhorado a consulta, quais ajustes você teve que fazer antes de executar a consulta KQL gerada ou compartilhar a consulta KQL que você eventualmente usou.

Observação

No portal de Microsoft Defender unificado, você pode solicitar Copilot para Segurança para gerar consultas de caça avançadas para Defender XDR e tabelas do Microsoft Sentinel. Nem todas as tabelas do Microsoft Sentinel têm suporte no momento, mas o suporte para essas tabelas pode ser esperado no futuro.

Sessões de consulta

Você pode iniciar sua primeira sessão a qualquer momento fazendo uma pergunta no painel lateral copilot na caça avançada. Sua sessão contém as solicitações que você fez usando sua conta de usuário. Fechar o painel lateral ou atualizar a página de busca avançada de ameaças não descarta a sessão. Você ainda pode acessar as consultas geradas caso precise delas.

Selecione o ícone de bolha de chat (Novo chat) para descartar a sessão atual.

Modificar configurações

Selecione as reticências no painel lateral copilot para escolher se deve ou não adicionar e executar automaticamente a consulta gerada na caça avançada.

Desmarcar a configuração executar consulta gerada automaticamente oferece a opção de executar a consulta gerada automaticamente (Adicionar e executar) ou adicionar a consulta gerada ao editor de consulta para posterior modificação (Adicionar ao editor).