مشاركة عبر

Copilot للأمان من Microsoft في التتبع المتقدم

  • مقالة
  • ينطبق على:
    Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

ينطبق على:

  • Microsoft Defender
  • Microsoft Defender XDR

Copilot للأمان في التتبع المتقدم

Microsoft Security Copilot في Microsoft Defender يأتي مع إمكانية مساعد الاستعلام في التتبع المتقدم.

يمكن لصيادي التهديدات أو محللي الأمان غير المألوفين بعد أو الذين لم يتعلموا بعد لغة استعلام Kusto (KQL) تقديم طلب أو طرح سؤال باللغة الطبيعية (على سبيل المثال، الحصول على جميع التنبيهات التي تتضمن مسؤول المستخدم123). ينشئ Copilot للأمان بعد ذلك استعلام بلغة استعلامات Kusto (KQL) يتوافق مع الطلب باستخدام مخطط بيانات التتبع المتقدم.

تعمل هذه الميزة على تقليل الوقت المستغرق لكتابة استعلام تتبع من البداية حتى يتمكن متتبعو المخاطر ومحللو الأمان من التركيز على التتبع والتحقيق في المخاطر.

يمكن للمستخدمين الذين لديهم حق الوصول إلى Copilot للأمان الوصول إلى هذه الإمكانية في التعقب المتقدم.

ملاحظة

تتوفر إمكانية التتبع المتقدم أيضاً في تجربة Security Copilot المستقلة من خلال المكون الإضافي Microsoft Defender XDR. تعرف على المزيد حول المكونات الإضافية المثبتة مسبقا في Security Copilot.

تجربة طلبك الأول

  1. افتح صفحة التتبع المتقدم من شريط التنقل في Microsoft Defender XDR. يظهر الجزء الجانبي للمساعِدة Copilot للأمان للتتبع المتقدم على الجانب الأيسر.

    لقطة شاشة لجزء Copilot في التتبع المتقدم.

    يمكنك أيضا إعادة فتح Copilot عن طريق تحديد Copilot في أعلى محرر الاستعلام.

  2. في شريط المطالبة Copilot، اسأل أي استعلام عن التهديدات تريد تشغيله واضغط عليه أو Enter.

    لقطة شاشة تعرض شريط المطالبة في Security Copilot للتتبع المتقدم.

  3. يقوم Copilot بإنشاء استعلام KQL من إرشادات النص أو السؤال. أثناء إنشاء Copilot، يمكنك إلغاء إنشاء الاستعلام عن طريق تحديد إيقاف الإنشاء.

    لقطة شاشة للمساعِدة Copilot للأمان في التتبع المتقدم وهي تنشئ استجابة.

  4. راجع الاستعلام الذي تم إنشاؤه. للتحقق من كيفية ظهور Copilot مع الاستعلام، يمكنك تحديد رؤية المنطق خلف الاستعلام أسفل نص الاستعلام لتوسيع الشرح خلف الاستعلام. حدده مرة أخرى للتصغير.

    لقطة شاشة لزر Copilot تظهر رؤية المنطق وراء الاستعلام.

    يمكنك بعد ذلك اختيار تشغيل الاستعلام عن طريق تحديد تشغيل الاستعلام.

    لقطة شاشة لزر Copilot تعرض خيار تشغيل الاستعلام.

    يظهر الاستعلام الذي تم إنشاؤه بعد ذلك كالاستعلام الأخير في محرر الاستعلام ويتم تشغيله تلقائياً.

    إذا كنت بحاجة إلى إجراء المزيد من التعديلات، فحدد إضافة إلى المحرر.

    لقطة شاشة للمساعِدة Copilot للأمان في التتبع المتقدم تعرض خيار

    يظهر الاستعلام الذي تم إنشاؤه في محرر الاستعلام كالاستعلام الأخير، حيث يمكنك تحريره قبل التشغيل باستخدام تشغيل الاستعلام العادي أعلى محرر الاستعلام.

  5. يمكنك تقديم ملاحظات حول الاستجابة التي تم إنشاؤها عن طريق تحديد أيقونة الملاحظات لقطة شاشة لرمز الملاحظات. واختيار المظهر الصحيح أو يحتاج إلى تحسين أو غير مناسب.

تلميح

يعد تقديم الملاحظات طريقة مهمة للسماح لفريق Security Copilot بمعرفة مدى قدرة مساعد الاستعلام على المساعدة في إنشاء استعلام KQL مفيد. لا تتردد في توضيح ما يمكن أن يجعل الاستعلام أفضل، وما هي التعديلات التي كان عليك إجراؤها قبل تشغيل استعلام KQL الذي تم إنشاؤه، أو مشاركة استعلام KQL الذي استخدمته في النهاية.

ملاحظة

في مدخل Microsoft Defender الموحد، يمكنك مطالبة Security Copilot بإنشاء استعلامات تتبع متقدمة لكل من جداول Defender XDR Microsoft Sentinel. لا يتم دعم جميع الجداول Microsoft Sentinel حاليا، ولكن يمكن توقع دعم هذه الجداول في المستقبل.

جلسات عمل الاستعلام

يمكنك بدء جلسة العمل الأولى في أي وقت عن طريق طرح سؤال في الجزء الجانبي لـ Copilot في التتبع المتقدم. تحتوي جلسة العمل على الطلبات التي أجريتها باستخدام حساب المستخدم الخاص بك. لا يؤدي إغلاق الجزء الجانبي أو تحديث صفحة التتبع المتقدمة إلى تجاهل جلسة العمل. لا يزال بإمكانك الوصول إلى الاستعلامات التي تم إنشاؤها إذا كنت بحاجة إليها.

حدد أيقونة فقاعة الدردشة (دردشة جديدة) لتجاهل جلسة العمل الحالية.

لقطة شاشة Security Copilot في التتبع المتقدم تظهر أيقونة الدردشة الجديدة.

تفسيرات الاستعلام

تعديل الإعدادات

حدد علامات الحذف في الجزء الجانبي لـ Copilot لاختيار ما إذا كنت تريد إضافة الاستعلام الذي تم إنشاؤه وتشغيله تلقائيا في التتبع المتقدم أم لا.

لقطة شاشة Security Copilot في التتبع المتقدم تعرض أيقونة علامات الحذف للإعدادات.

يتيح لك إلغاء تحديد إعداد تشغيل الاستعلام المُنشأ تلقائياً خيار تشغيل الاستعلام الذي تم إنشاؤه تلقائياً (إضافة وتشغيل) أو إضافة الاستعلام الذي تم إنشاؤه إلى محرر الاستعلام لمزيد من التعديل (إضافة إلى المحرر).