Seguridad de Copilot de Microsoft en la búsqueda avanzada de amenazas

Se aplica a: Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Microsoft Security Copilot en Microsoft Defender proporciona dos eficaces funcionalidades en la búsqueda avanzada para mejorar la búsqueda de amenazas y el análisis de seguridad.

En la tabla siguiente se describen estas funcionalidades, donde se usan mejor, y la salida esperada:

Funcionalidad	Descripción	Salida	Experiencia
Agente de búsqueda de amenazas (versión preliminar)	Agente de búsqueda de amenazas conversacional con tecnología de inteligencia artificial que se usa mejor para investigaciones completas, búsqueda de varios pasos, análisis exploratorios y obtención de respuestas directas	Respuestas conversacionales, consultas del lenguaje de consulta Kusto (KQL), resultados, conclusiones y recomendaciones	Centrado en la investigación
Asistente de consultas	Generación de consultas de lenguaje natural a KQL que se usa mejor para generar consultas	Consulta de KQL con explicación	Centrado en consultas

Estas características le permiten buscar amenazas de forma más rápida, precisa y con mayor confianza sin necesidad de escribir consultas KQL.

Obtener acceso

Los usuarios con acceso a Security Copilot pueden usar estas funcionalidades en la búsqueda avanzada.

Solo puede usar una funcionalidad a la vez. De forma predeterminada, el agente de búsqueda de amenazas es el modo activo. Para cambiar al modo de asistente de consultas, en el panel lateral Security Copilot, seleccione el menú de tres puntos y, a continuación, desactive el modificador Agente de búsqueda de amenazas.

Captura de pantalla de Security Copilot en la búsqueda avanzada que muestra que el modo agente de búsqueda de amenazas está activo.

Nota:

El cambio entre modos solo está disponible en entornos de usuario específicos.
Al cambiar entre modos, se restablece la conversación con Security Copilot.

Ámbito de Security Copilot en la búsqueda avanzada

Compatibilidad con casos de uso

El Agente de búsqueda de amenazas y la consulta asistente admiten completamente la generación de consultas de complejidad simple a media, que incluye la operación de filtro o la agregación. Se admiten casos de uso complejos (consultas con combinaciones, filtrado y agregación), pero se recomienda validar su precisión. Ayúdenos a mejorar proporcionando comentarios con consultas incorrectas o ejemplos de respuesta.

Procedimientos recomendados

Sea inequívoca. Formular preguntas con un tema claro. Por ejemplo, "inicios de sesión" podrían significar inicios de sesión de dispositivos o inicios de sesión en la nube.
Haga una pregunta a la vez. Pida una sola tarea o tipo de información a la vez. No espere que el modelo de inteligencia artificial realice varias tareas no relacionadas a la vez. Siempre puede hacer preguntas de seguimiento en lugar de combinar preguntas no relacionadas en una sola solicitud.
Sea específico. Si sabe algo sobre los datos que está buscando, proporcione esa información en su pregunta.

Tablas admitidas

El agente de búsqueda de amenazas y la asistente de consulta admiten las tablas siguientes en la búsqueda avanzada:

tablas de Microsoft Defender	tablas de Microsoft Sentinel
AADSignInEventsBeta AADSpnSignInEventsBeta AlertEvidence AlertInfo BehaviorEntities BehaviorInfo CloudAppEvents DeviceAlertEvents DeviceBaselineComplianceAssessment DeviceBaselineComplianceAssessmentKB DeviceBaselineComplianceProfiles DeviceEvents DeviceFileCertificateInfo DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceInternetFacing DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceScriptEvents DeviceTvmInfoGathering DeviceTvmInfoGatheringKB DeviceTvmSecureConfigurationAssessment DeviceTvmSecureConfigurationAssessmentKB DeviceTvmSoftwareEvidenceBeta DeviceTvmSoftwareInventory DeviceTvmSoftwareVulnerabilities DeviceTvmSoftwareVulnerabilitiesKB DynamicEventCollection EmailAttachmentInfo EmailEvents EmailPostDeliveryEvents EmailUrlInfo IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents UrlClickEvents	AADManagedIdentitySignInLogs AADNonInteractiveUserSignInLogs AADProvisioningLogs AADRiskyUsers AADServicePrincipalSignInLogs AADUserRiskEvents ABAPAuditLog_CL AlertEvidence AlertInfo Anomalías AppDependencies AppTraces AuditLogs AWSCloudTrail AWSGuardDuty AzureActivity AzureDevOpsAuditing AzureDiagnostics AzureMetrics BehaviorAnalytics CloudAppEvents CommonSecurityLog ContainerInventory ContainerLog DeviceEvents DeviceFileCertificateInfo DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DnsEvents Dynamics365Activity EmailPostDeliveryEvents Evento Latido IdentityInfo InsightsMetrics IntuneAuditLogs IntuneDispositivos LAQueryLogs MicrosoftAzureBastionAuditLogs MicrosoftPurviewInformationProtection OfficeActivity Perf PowerBIActivity ProtectionStatus SecurityAlert SecurityEvent SecurityIncident SecurityRecommendation SigninLogs SqlAtpStatus StorageBlobLogs StorageFileLogs Syslog ThreatIntelligenceIndicator Actualizar UrlClickEvents Uso UserAccessAnalytics UserPeerAnalytics VMBoundPort VMComputer VMConnection VMProcess WindowsEvent W3CIISLog WindowsFirewall

tablas de Microsoft Defender

tablas de Microsoft Sentinel

AADSignInEventsBeta
AADSpnSignInEventsBeta
AlertEvidence
AlertInfo
BehaviorEntities
BehaviorInfo
CloudAppEvents
DeviceAlertEvents
DeviceBaselineComplianceAssessment
DeviceBaselineComplianceAssessmentKB
DeviceBaselineComplianceProfiles
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceInternetFacing
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceScriptEvents
DeviceTvmInfoGathering
DeviceTvmInfoGatheringKB
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareEvidenceBeta
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DynamicEventCollection
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
UrlClickEvents

AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyUsers
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABAPAuditLog_CL
AlertEvidence
AlertInfo
Anomalías
AppDependencies
AppTraces
AuditLogs
AWSCloudTrail
AWSGuardDuty
AzureActivity
AzureDevOpsAuditing
AzureDiagnostics
AzureMetrics
BehaviorAnalytics
CloudAppEvents
CommonSecurityLog
ContainerInventory
ContainerLog
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DnsEvents
Dynamics365Activity
EmailPostDeliveryEvents
Evento
Latido
IdentityInfo
InsightsMetrics
IntuneAuditLogs
IntuneDispositivos
LAQueryLogs
MicrosoftAzureBastionAuditLogs
MicrosoftPurviewInformationProtection
OfficeActivity
Perf
PowerBIActivity
ProtectionStatus
SecurityAlert
SecurityEvent
SecurityIncident
SecurityRecommendation
SigninLogs
SqlAtpStatus
StorageBlobLogs
StorageFileLogs
Syslog
ThreatIntelligenceIndicator
Actualizar
UrlClickEvents
Uso
UserAccessAnalytics
UserPeerAnalytics
VMBoundPort
VMComputer
VMConnection
VMProcess
WindowsEvent
W3CIISLog
WindowsFirewall

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-12-12