Funkcja Copilot rozwiązań zabezpieczających firmy Microsoft w zaawansowanym wyszukiwaniu zagrożeń

Dotyczy: Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Microsoft Security Copilot w Microsoft Defender zapewnia dwie zaawansowane możliwości w zakresie zaawansowanego wyszukiwania zagrożeń w celu usprawnienia wyszukiwania zagrożeń i analizy zabezpieczeń.

W poniższej tabeli opisano te możliwości, w których są najlepiej używane, oraz oczekiwane dane wyjściowe:

Możliwości	Opis	Dane wyjściowe	Możliwości
Agent wyszukiwania zagrożeń (wersja zapoznawcza)	Oparty na sztucznej inteligencji agent wyszukiwania zagrożeń konwersacyjnych, który najlepiej służy do pełnych badań, wieloetapowego wyszukiwania zagrożeń, analizy eksploracyjnej i uzyskiwania bezpośrednich odpowiedzi	Odpowiedzi konwersacyjne, zapytania języka zapytań Kusto (KQL), wyniki, szczegółowe informacje i zalecenia	Skoncentrowane na badaniu
Asystent zapytań	Generowanie zapytań języka naturalnego do języka KQL, które najlepiej służy do generowania zapytań	Zapytanie KQL z wyjaśnieniem	Skoncentrowane na zapytaniach

Te funkcje umożliwiają szybsze, dokładniejsze i bardziej precyzyjne wyszukiwanie zagrożeń bez konieczności pisania zapytań KQL.

Uzyskiwanie dostępu

Użytkownicy z dostępem do Security Copilot mogą korzystać z tych możliwości w zaawansowanym polowaniu.

Jednocześnie można używać tylko jednej funkcji. Domyślnie agent wyszukiwania zagrożeń jest trybem aktywnym. Aby przełączyć się do trybu asystent zapytania, w okienku po stronie Security Copilot wybierz menu z trzema kropkami, a następnie przełącz przełącznik agenta wyszukiwania zagrożeń.

Zrzut ekranu przedstawiający Security Copilot w zaawansowanym wyszukiwaniu zagrożeń pokazujący, że tryb agenta wyszukiwania zagrożeń jest aktywny.

Uwaga

Przełączanie między trybami jest dostępne tylko w określonych środowiskach użytkownika.
Przełączanie między trybami powoduje zresetowanie konwersacji za pomocą Security Copilot.

Zakres Security Copilot w zaawansowanym polowaniu

Obsługa przypadków użycia

Agent wyszukiwania zagrożeń i zapytanie asystent w pełni obsługują generowanie prostych i średnich zapytań złożonych, w tym operacji filtrowania i/lub agregacji. Obsługiwane są złożone przypadki użycia (zapytania z sprzężeniami, filtrowaniem i agregacją), ale zalecamy zweryfikowanie ich dokładności. Pomóż nam ulepszyć, przekazując opinię z nieprawidłowymi zapytaniami lub przykładami odpowiedzi.

Najważniejsze wskazówki

Bądź jednoznaczny. Zadaj pytania z jasnym tematem. Na przykład "identyfikatory logowania" mogą oznaczać identyfikatory logowania urządzenia lub logowania w chmurze.
Zadaj jedno pytanie naraz. Poproś o pojedyncze zadanie lub typ informacji jednocześnie. Nie oczekuj, że model sztucznej inteligencji wykona kilka niepowiązanych zadań jednocześnie. Zawsze możesz zadawać kolejne pytania, zamiast łączyć niepowiązane pytania w jeden monit.
Bądź konkretny. Jeśli wiesz coś o danych, których szukasz, podaj te informacje w pytaniu.

Obsługiwane tabele

Agent wyszukiwania zagrożeń i asystent zapytań obsługują następujące tabele w zaawansowanym wyszukiwaniu zagrożeń:

tabele Microsoft Defender	tabele Microsoft Sentinel
AADSignInEventsBeta AADSpnSignInEventsBeta AlertEvidence AlertInfo BehaviorEntities BehaviorInfo CloudAppEvents DeviceAlertEvents DeviceBaselineComplianceAssessment DeviceBaselineComplianceAssessmentKB DeviceBaselineComplianceProfiles DeviceEvents DeviceFileCertificateInfo DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceInternetFacing DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceScriptEvents DeviceTvmInfoGathering DeviceTvmInfoGatheringKB DeviceTvmSecureConfigurationAssessment DeviceTvmSecureConfigurationAssessmentKB DeviceTvmSoftwareEvidenceBeta DeviceTvmSoftwareInventory DeviceTvmSoftwareVulnerabilities DeviceTvmSoftwareVulnerabilitiesKB DynamicEventCollection EmailAttachmentInfo EmailEvents EmailPostDeliveryEvents EmailUrlInfo IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents UrlClickEvents	AADManagedIdentitySignInLogs AADNonInteractiveUserSignInLogs AADProvisioningLogs AADRiskyUsers AADServicePrincipalSignInLogs AADUserRiskEvents ABAPAuditLog_CL AlertEvidence AlertInfo Anomalii AppDependencies Śledzenie aplikacji Dzienniki inspekcji AWSCloudTrail AWSGuardDuty AzureActivity AzureDevOpsAuditing AzureDiagnostics AzureMetrics BehaviorAnalytics CloudAppEvents CommonSecurityLog ContainerInventory ContainerLog DeviceEvents DeviceFileCertificateInfo DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DnsEvents Dynamics365Activity EmailPostDeliveryEvents Zdarzenie Bicie serca IdentityInfo InsightsMetrics IntuneAuditLogs Urządzenia usługi Intune LAQueryLogs MicrosoftAzureBastionAuditLogs MicrosoftPurviewInformationProtection OfficeActivity Perf PowerBIActivity ProtectionStatus SecurityAlert SecurityEvent SecurityIncident SecurityRecommendation SigninLogs SqlAtpStatus StorageBlobLogs StorageFileLogs Syslog ThreatIntelligenceIndicator Aktualizacja UrlClickEvents Zastosowanie UserAccessAnalytics UserPeerAnalytics VMBoundPort VMComputer Połączenie maszyny wirtualnej VMProcess WindowsEvent W3CIISLog WindowsFirewall

tabele Microsoft Defender

tabele Microsoft Sentinel

AADSignInEventsBeta
AADSpnSignInEventsBeta
AlertEvidence
AlertInfo
BehaviorEntities
BehaviorInfo
CloudAppEvents
DeviceAlertEvents
DeviceBaselineComplianceAssessment
DeviceBaselineComplianceAssessmentKB
DeviceBaselineComplianceProfiles
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceInternetFacing
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceScriptEvents
DeviceTvmInfoGathering
DeviceTvmInfoGatheringKB
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareEvidenceBeta
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DynamicEventCollection
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
UrlClickEvents

AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyUsers
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABAPAuditLog_CL
AlertEvidence
AlertInfo
Anomalii
AppDependencies
Śledzenie aplikacji
Dzienniki inspekcji
AWSCloudTrail
AWSGuardDuty
AzureActivity
AzureDevOpsAuditing
AzureDiagnostics
AzureMetrics
BehaviorAnalytics
CloudAppEvents
CommonSecurityLog
ContainerInventory
ContainerLog
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DnsEvents
Dynamics365Activity
EmailPostDeliveryEvents
Zdarzenie
Bicie serca
IdentityInfo
InsightsMetrics
IntuneAuditLogs
Urządzenia usługi Intune
LAQueryLogs
MicrosoftAzureBastionAuditLogs
MicrosoftPurviewInformationProtection
OfficeActivity
Perf
PowerBIActivity
ProtectionStatus
SecurityAlert
SecurityEvent
SecurityIncident
SecurityRecommendation
SigninLogs
SqlAtpStatus
StorageBlobLogs
StorageFileLogs
Syslog
ThreatIntelligenceIndicator
Aktualizacja
UrlClickEvents
Zastosowanie
UserAccessAnalytics
UserPeerAnalytics
VMBoundPort
VMComputer
Połączenie maszyny wirtualnej
VMProcess
WindowsEvent
W3CIISLog
WindowsFirewall

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-12-12