Compartilhar via

Copilot da Segurança da Microsoft na busca avançada de ameaças

  • Artigo
  • Aplica-se a:
    Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Aplica-se a:

  • Microsoft Defender
  • Microsoft Defender XDR

Copilot da Segurança na busca avançada de ameaças

Microsoft Security Copilot no Microsoft Defender inclui uma capacidade de assistente de consulta na investigação avançada.

Os caçadores de ameaças ou analistas de segurança que ainda não estão familiarizados ou ainda não aprenderam a KQL podem fazer um pedido ou fazer uma pergunta em linguagem natural (por exemplo, Obter todos os alertas que envolvam o administrador de utilizador123). Em seguida, o Copilot da Segurança gera uma consulta KQL que corresponde à solicitação usando o esquema de dados de busca avançada de ameaças.

Esse recurso reduz o tempo necessário para escrever uma consulta de busca do zero para que os exploradores de ameaças e analistas de segurança possam se concentrar na busca e na investigação de ameaças.

Os usuários com acesso ao Copilot da Segurança têm acesso a essa funcionalidade na busca avançada de ameaças.

Observação

A capacidade de investigação avançada também está disponível na experiência autónoma Security Copilot através do plug-in Microsoft Defender XDR. Saiba mais sobre plug-ins pré-instalados no Security Copilot.

Experimente sua primeira consulta

  1. Abra a página de busca avançada de ameaças na barra de navegação no Microsoft Defender XDR. O painel lateral do Copilot da Segurança para busca avançada aparece no lado direito.

    Captura de tela do painel Copilot na busca avançada de ameaças.

    Você também pode reabrir o Copilot ao selecionar o Copilot na parte superior do editor de consultas.

  2. Na barra de pedidos copilot, pergunte a qualquer consulta de investigação de ameaças que pretenda executar e prima ou Enter .

    Captura de ecrã que mostra a barra de pedidos no Security Copilot para investigação avançada.

  3. O Copilot gera uma consulta KQL da sua instrução de texto ou pergunta. Enquanto o Copilot está sendo gerado, você pode cancelar a geração de consulta selecionando Parar de gerar.

    Captura de ecrã a mostrar Security Copilot na investigação avançada que gera uma resposta.

  4. Examine a consulta gerada. Em seguida, você pode optar por executar a consulta selecionando Adicionar e executar.

    Captura de tela do botão Copilot mostrando Adicionar a consulta ao editor de consultas e executar.

    Depois, a consulta gerada é exibida como a última consulta no editor de consultas e é executada automaticamente.

    Se você precisar fazer mais ajustes, selecione Adicionar ao editor.

    Captura de ecrã a mostrar Security Copilot na investigação avançada com a opção Adicionar ao editor.

    A consulta gerada é exibida no editor de consultas como a última consulta, na qual você pode editá-la antes de executar usando Executar consulta acima do editor de consultas.

  5. Pode fornecer feedback sobre a resposta gerada ao selecionar o ícone de feedback Captura de ecrã do ícone de feedback e selecionar Confirmar, Fora do destino ou Potencialmente prejudicial.

Dica

Fornecer feedback é uma forma importante de informar a equipa do Security Copilot sobre o quão bem a consulta assistente conseguiu ajudar a gerar uma consulta KQL útil. Sinta-se à vontade para articular o que poderia ter melhorado a consulta, quais ajustes você teve que fazer antes de executar a consulta KQL gerada ou compartilhar a consulta KQL que você eventualmente usou.

Observação

No portal de Microsoft Defender unificado, pode pedir Security Copilot para gerar consultas de investigação avançadas para tabelas Defender XDR e Microsoft Sentinel. Nem todas as tabelas Microsoft Sentinel são atualmente suportadas, mas o suporte para estas tabelas pode ser esperado no futuro.

Sessões de consulta

Você pode iniciar sua primeira sessão a qualquer momento fazendo uma pergunta no painel lateral do Copilot para Segurança na busca avançada de ameaças. Sua sessão contém as solicitações que você fez usando sua conta de usuário. Fechar o painel lateral ou atualizar a página de investigação avançada não elimina a sessão. Você ainda pode acessar as consultas geradas caso precise delas.

Selecione o ícone de bolha de chat (Nova conversa) para eliminar a sessão atual.

Captura de ecrã a mostrar Security Copilot na investigação avançada com o novo ícone de chat.

Modificar configurações

Selecione o ícone de engrenagem no painel lateral do Copilot para Segurança para escolher se quer ou não adicionar e executar automaticamente a consulta gerada na busca avançada de ameaças.

Captura de ecrã a mostrar Security Copilot na investigação avançada com o ícone de reticências das definições.

Desmarcar a configuração Executar a consulta gerada automaticamente oferece a opção de você executar a consulta gerada automaticamente (Adicionar e executar) ou adicionar a consulta gerada ao editor de consulta para modificação posterior (Adicionar ao editor).