Megosztás a következőn keresztül:

Microsoft Biztonsági Copilot a speciális veszélyforrás-keresésben

  • Cikk
  • A következőre érvényes::
    Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Érintett szolgáltatás:

  • Microsoft Defender
  • Microsoft Defender XDR

Biztonsági Copilot a speciális veszélyforrás-keresésben

Microsoft Security Copilot a Microsoft Defender rendelkezik egy lekérdezési segéd képességgel a speciális veszélyforrás-keresésben.

Azok a veszélyforrás-vadászok vagy biztonsági elemzők, akik még nem ismerik vagy még nem ismerik a Kusto lekérdezési nyelvét (KQL), kérést kezdeményezhetnek, vagy természetes nyelven tehetnek fel kérdéseket (például Az összes riasztás lekérése a felhasználói rendszergazda bevonásával123). A Biztonsági Copilot ezután a speciális veszélyforrás-keresés adatsémájával létrehoz egy, a kérésnek megfelelő KQL-lekérdezést.

Ez a funkció csökkenti a veszélyforrás-keresési lekérdezések írásához szükséges időt, így a veszélyforrás-keresők és a biztonsági elemzők a veszélyforrás-keresésre és a fenyegetések vizsgálatára összpontosíthatnak.

A Biztonsági Copilothoz hozzáféréssel rendelkező felhasználók hozzáférnek ehhez a funkcióhoz a speciális veszélyforrás-keresés során.

Megjegyzés:

A speciális veszélyforrás-keresési képesség a Biztonsági Copilot önálló felületén is elérhető a Microsoft Defender XDR beépülő modulon keresztül. Tudjon meg többet a Security Copilot előre telepített beépülő moduljairól.

Próbálkozás az első kéréssel

  1. Nyissa meg a Speciális veszélyforrás-keresés lapot a Microsoft Defender XDR navigációs sávján. Ekkor a jobb oldalon megjelenik speciális veszélyforrás-keresés Biztonsági Copilot nevű oldalsó táblája.

    A speciális veszélyforrás-keresés Copilot-panelének képernyőképe.

    A Copilotot a lekérdezésszerkesztő tetején található Copilot gombra kattintva is újranyithatja.

  2. A Copilot parancssori sávján kérdezzen rá a futtatni kívánt veszélyforrás-keresési lekérdezésre, majd nyomja le vagy nyomja le az Enter billentyűt.

    Képernyőkép a speciális veszélyforrás-keresés Security Copilot megjelenő parancssori sávról.

  3. A Copilot egy KQL-lekérdezést generál az Ön által beírt szöveges utasításból vagy kérdésből. Miközben a Copilot a lekérdezést generálja, Ön a Generálás leállítása gombra kattintva megszakíthatja a lekérdezés generálását.

    A speciális veszélyforrás-keresésben választ létrehozó Biztonsági Copilot képernyőképe.

  4. Tekintse át a létrehozott lekérdezést. Annak ellenőrzéséhez, hogy a Copilot hogyan hozta létre a lekérdezést, a lekérdezés szövege alatti lekérdezés logikájának megtekintésével kibonthatja a lekérdezés mögötti magyarázatot. Jelölje ki újra a kis méretűre állításhoz.

    Képernyőkép a Copilot gombról, amelyen a lekérdezés mögötti logika látható.

    Ezután a Lekérdezés futtatása lehetőséget választva futtathatja a lekérdezést.

    Képernyőkép a Copilot gombról, amelyen a Lekérdezés futtatása lehetőség látható.

    A létrehozott lekérdezés ezután utolsó lekérdezésként megjelenik a lekérdezésszerkesztőben, és automatikusan fut.

    Ha további módosításokat kell végeznie, válassza a Hozzáadás a szerkesztőhöz lehetőséget.

    Képernyőkép a Biztonsági Copilot Hozzáadás a lekérdezésszerkesztőhöz beállításáról a speciális veszélyforrás-keresésben.

    A létrehozott lekérdezés utolsó lekérdezésként megjelenik a lekérdezésszerkesztőben, ahol Ön a futtatása előtt szerkesztheti a szokásos, a lekérdezésszerkesztő fölött található Lekérdezés futtatása elemet választva.

  5. A generált válaszról a visszajelzés ikon Képernyőkép a visszajelzés ikonról lehetőséget választva adhat visszajelzést. Ezután válassza a Megfelelőnek látszik, a Fejlesztést igényel vagy a Nem megfelelő lehetőséget.

Tipp

A visszajelzés küldése fontos módja annak, hogy a Security Copilot csapat tudja, milyen jól tudott segíteni a lekérdezés segéd egy hasznos KQL-lekérdezés létrehozásához. A létrehozott KQL-lekérdezés futtatása előtt meg kell fogalmaznia, hogy mi teheti jobbá a lekérdezést, milyen módosításokat kellett végrehajtania, vagy ossza meg a végül használt KQL-lekérdezést.

Megjegyzés:

Az egyesített Microsoft Defender portálon kérheti, hogy Security Copilot hozzon létre speciális keresési lekérdezéseket Defender XDR és Microsoft Sentinel táblákhoz. Jelenleg nem minden Microsoft Sentinel tábla támogatott, de ezeknek a tábláknak a támogatása a jövőben várható.

Lekérdezési munkamenetek

Az első munkamenetet bármikor elindíthatja úgy, hogy a speciális veszélyforrás-keresés során a Copilot oldalsó tábláján feltesz egy kérdést. A munkamenet a felhasználói fiókjával küldött kéréseket tartalmazza. Az oldalpanel bezárása vagy a speciális veszélyforrás-keresés lapjának frissítése nem veti el a munkamenetet. A létrehozott lekérdezéseket továbbra is elérheti, ha szüksége van rájuk.

Az aktuális munkamenet elvetéséhez válassza a csevegőbuborék ikont (Új csevegés).

A speciális veszélyforrás-keresésben Security Copilot képernyőképe az új csevegés ikonnal.

Lekérdezési magyarázatok

Beállítások módosítása

A Copilot oldalsó tábláján található három pontot választva megadhatja, hogy a generált lekérdezést automatikusan hozzáadja és futtatja-e speciális veszélyforrás-keresés során.

Képernyőkép a speciális veszélyforrás-keresés Security Copilot a beállítások három pont ikonjának megjelenítéséről.

Ha törli A létrehozott lekérdezés automatikus futtatása jelölőnégyzet jelölését, akkor lehetősége van a létrehozott lekérdezés automatikus futtatására (Hozzáadás és futtatás), illetve arra is, hogy hozzáadja a létrehozott lekérdezést a lekérdezésszerkesztőhöz további módosítás céljából (Hozzáadás a szerkesztőhöz).