Поделиться через

Microsoft Security Copilot при расширенной охоте

  • Статья
  • Применяется к:
    Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Область применения:

  • Microsoft Defender
  • Microsoft Defender XDR

Security Copilot при расширенной охоте

Microsoft Security Copilot в Microsoft Defender предоставляет возможность помощник запросов в расширенной охоте.

Охотники за угрозами или аналитики безопасности, которые еще не знакомы с языком запросов Kusto (KQL) или еще не освоили язык запросов Kusto (KQL), могут сделать запрос или задать вопрос на естественном языке (например, Получить все оповещения с участием администратора пользователя123). Затем Security Copilot создаст запрос KQL, соответствующий данному, с помощью схемы данных расширенной охоты.

Эта возможность позволяет сократить время, необходимое для создания запроса охоты с нуля, благодаря чему охотники на угрозы и аналитики безопасности могут сосредоточиться на охоте и исследовании угроз.

Пользователи, имеющие доступ к Security Copilot, могут пользоваться этой возможностью при расширенной охоте.

Примечание.

Расширенная возможность охоты также доступна в автономном интерфейсе Security Copilot через подключаемый модуль Microsoft Defender XDR. Узнайте больше о предустановленных подключаемых модулях в Security Copilot.

Попробуйте создать и запустить свой первый запрос

  1. Откройте страницу Расширенный поиск на панели навигации в Microsoft Defender XDR. Справа появится боковая панель навигации Security Copilot для расширенной охоты.

    Снимок экрана панели Copilot в режиме расширенной охоты.

    Вы также можете повторно открыть Copilot, выбрав Copilot в верхней части редактора запросов.

  2. На панели командной строки Copilot запросите любой запрос на поиск угроз, который вы хотите запустить, и нажмите клавишу ВВОД.

    Снимок экрана: панель запросов в Security Copilot для расширенной охоты.

  3. Copilot генерирует запрос KQL на основе вашей текстовой инструкции или вопроса. Во время генерации Copilot вы можете отменить генерацию запроса, выбрав Остановить генерирование.

    Снимок экрана: Security Copilot в расширенной охоте при создании ответа.

  4. Просмотрите созданный запрос. Чтобы проверка, как Copilot придумал запрос, можно выбрать Просмотреть логику запроса под текстом запроса, чтобы развернуть объяснение запроса. Выберите его еще раз, чтобы свернуть его.

    Снимок экрана: кнопка Copilot с отображением логики запроса.

    Затем вы можете запустить запрос, выбрав Запустить запрос.

    Снимок экрана: кнопка Copilot с параметром

    Созданный запрос отображается последним в редакторе запросов и запускается автоматически.

    Если вам нужно внести дополнительные изменения, выберите Добавить в редактор.

    Снимок экрана: Security Copilot в расширенной охоте с параметром Добавить в редактор.

    Созданный запрос отображается последним в редакторе запросов, где его можно изменить перед запуском с помощью обычной кнопки Запустить запрос над редактором запросов.

  5. Вы можете отправить отзыв о созданном ответе, щелкнув значок обратной связи Снимок экрана со значком обратной связи и выбрав Выглядит правильно, Нуждается в улучшении или Неуместно.

Совет

Предоставление отзывов — это важный способ сообщить команде Security Copilot, насколько хорошо помощник запрос смог помочь в создании полезного запроса KQL. Вы можете сформулировать, что может сделать запрос лучше, какие корректировки необходимо внести перед выполнением созданного запроса KQL, или предоставить общий доступ к запросу KQL, который вы использовали в конечном итоге.

Примечание.

На портале единого Microsoft Defender можно предложить Security Copilot создавать расширенные запросы на поиск как для Defender XDR, так и для таблиц Microsoft Sentinel. В настоящее время поддерживаются не все Microsoft Sentinel таблицы, но поддержка этих таблиц может быть ожидаемой в будущем.

Сеансы запросов

Вы можете начать свой первый сеанс в любое время, задав вопрос на боковой панели Copilot в расширенной охоте. Сеанс содержит запросы, созданные с помощью учетной записи пользователя. Закрытие боковой панели или обновление страницы расширенной охоты не отменяет сеанс. Вы по-прежнему можете получить доступ к созданным запросам при необходимости.

Выберите значок чата (Новый чат), чтобы отменить текущий сеанс.

Снимок экрана: Security Copilot в расширенной охоте с новым значком чата.

Объяснения запросов

Изменение параметров

Выберите многоточие на боковой панели Copilot, чтобы выбрать, следует ли автоматически добавлять и запускать сгенерированный запрос в режиме расширенного поиска.

Снимок экрана: Security Copilot в расширенной охоте со значком многоточия параметров.

Выбор параметра Автоматически запустить созданный запрос позволяет запустить созданный запрос автоматически (Запустить запрос) или добавить его в редактор запросов для дальнейшего изменения (Добавить в редактор).