Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Microsoft Security Copilot i Microsoft Defender inneholder en spørringsassistentfunksjon for avansert jakt.
Trusseljegere eller sikkerhetsanalytikere som ikke er kjent med eller ikke har lært Kusto-spørringsspråk (KQL), kan sende en forespørsel eller stille et spørsmål på naturlig språk (for eksempel Få alle varsler som involverer brukeradministrator123). Security Copilot genererer deretter en KQL-spørring som samsvarer med forespørselen ved hjelp av det avanserte jaktdataskjemaet.
Denne funksjonen reduserer tiden det tar å skrive en jaktspørring fra bunnen av, slik at trusseljegere og sikkerhetsanalytikere kan fokusere på jakt og undersøke trusler.
Brukere med tilgang til Security Copilot kan bruke denne funksjonen i avansert jakt.
Obs!
Funksjonen for avansert jakt er også tilgjengelig i den frittstående Sikkerhet Copilot-funksjonen gjennom programtillegget Microsoft Defender XDR. Finn ut mer om forhåndsinstallerte programtillegg i Security Copilot.
Prøv din første forespørsel
Følg disse trinnene for å begynne å bruke spørringsassistenten:
Obs!
Kontroller at modusen for spørringsassistenten er aktiv. Finn ut mer
Åpne siden Avansert jakt fra navigasjonsfeltet i Microsoft Defender portal. Sideruten Sikkerhet Copilot for avansert jakt vises på høyre side.
Du kan også åpne Copilot på nytt ved å velge Copilot øverst i redigeringsprogrammet for spørring.
Spør eventuelle trusseljaktspørringer du vil kjøre, på Copilot-spørsmål linjen, og trykk eller enter
.
Copilot genererer en KQL-spørring fra tekstinstruksjonen eller spørsmålet. Mens Copilot genererer, kan du avbryte spørringsgenereringen ved å velge Stopp generering.
Se gjennom den genererte spørringen. Hvis du vil kontrollere hvordan Copilot kom opp med spørringen, kan du velge Se logikken bak spørringen under spørringsteksten for å utvide forklaringen bak spørringen. Velg den på nytt for å minimere.
Deretter kan du velge å kjøre spørringen ved å velge Kjør spørring.
Den genererte spørringen vises deretter som den siste spørringen i redigeringsprogrammet for spørring og kjøres automatisk.
Hvis du trenger å gjøre ytterligere justeringer, velger du Legg til i redigeringsprogram.
Den genererte spørringen vises i redigeringsprogrammet for spørring som den siste spørringen, der du kan redigere den før du kjører ved hjelp av den vanlige Kjør-spørringen over redigeringsprogrammet for spørring.
Du kan gi tilbakemelding om det genererte svaret ved å velge tilbakemeldingsikonet
velge Ser riktig ut, Behovsforbedring eller Upassende.
Tips
Å gi tilbakemelding er en viktig måte å la Security Copilot-teamet få vite hvor godt spørringsassistenten kunne hjelpe til med å generere en nyttig KQL-spørring. Du kan gjerne artikulere hva som kan gjøre spørringen bedre, hvilke justeringer du måtte gjøre før du kjørte den genererte KQL-spørringen, eller dele KQL-spørringen som du til slutt brukte.
Endre innstillinger
Velg menyen med tre prikker i Copilot-sideruten for å velge om du vil legge til og kjøre den genererte spørringen i avansert jakt automatisk.
Hvis du fjerner merkingen av innstillingen Kjør generert spørring automatisk , kan du velge å kjøre den genererte spørringen automatisk (Legg til og kjør) eller legge til den genererte spørringen i redigeringsprogrammet for spørring for ytterligere endring (Legg til i redigeringsprogram).