通过

高级搜寻中的 Microsoft 安全 Copilot

  • 适用于: Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

Microsoft Defender 中的智能 Microsoft Security Copilot 副驾驶®在高级搜寻中提供了两项强大的功能,以增强威胁搜寻和安全分析。

下表描述了这些功能、最常用功能的位置以及预期的输出:

功能 说明 输出 体验
威胁搜寻代理 (预览版) AI 驱动的对话式威胁搜寻代理,最适合用于完整调查、多步骤搜寻、探索分析和获取直接答案 对话答案、Kusto 查询语言 (KQL) 查询、结果、见解和建议 以调查为重点
查询助手 自然语言到 KQL 查询生成,最适合用于生成查询 带说明的 KQL 查询 以查询为重点

这些功能使你能够更快、更准确、更自信地搜寻威胁,而无需编写 KQL 查询。

获取访问权限

有权访问Security Copilot的用户可以在高级搜寻中使用这些功能。

一次只能使用一个功能。 默认情况下,威胁搜寻代理是活动模式。 若要切换到查询助手模式,请在Security Copilot侧窗格中选择三点菜单,然后将威胁搜寻代理开关切换为关闭。

高级搜寻中Security Copilot的屏幕截图,其中显示了威胁搜寻代理模式处于活动状态。

注意

在模式之间切换会重置Security Copilot的对话。

高级搜寻中的Security Copilot范围

用例支持

威胁搜寻代理和查询助手都完全支持生成简单到中等复杂性的查询,其中包括筛选器作和/或聚合。 支持具有联接、筛选和聚合) 的复杂用例 (查询,但我们建议验证其准确性。 通过提供错误查询或响应示例的 反馈 来帮助我们改进。

最佳做法

  • 明确。 提出主题明确的问题。 例如,“登录名”可能表示设备登录名或云登录名。
  • 一次提出一个问题。 一次请求单个任务或信息类型。 不要指望 AI 模型同时执行多个不相关的任务。 始终可以提出后续问题,而不是将不相关的请求合并到单个提示中。
  • 具体说明。 如果你对要查找的数据有任何了解,请在问题中提供该信息。

支持的表

威胁搜寻代理和查询助手支持以下高级搜寻表:

Microsoft Defender表 Microsoft Sentinel表
  • AADSignInEventsBeta
  • AADSpnSignInEventsBeta
  • AlertEvidence
  • AlertInfo
  • BehaviorEntities
  • BehaviorInfo
  • CloudAppEvents
  • DeviceAlertEvents
  • DeviceBaselineComplianceAssessment
  • DeviceBaselineComplianceAssessmentKB
  • DeviceBaselineComplianceProfiles
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceInternetFacing
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DeviceScriptEvents
  • DeviceTvmInfoGathering
  • DeviceTvmInfoGatheringKB
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareEvidenceBeta
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DynamicEventCollection
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • IdentityDirectoryEvents
  • IdentityInfo
  • IdentityLogonEvents
  • IdentityQueryEvents
  • UrlClickEvents
  • AADManagedIdentitySignInLogs
  • AADNonInteractiveUserSignInLogs
  • AADProvisioningLogs
  • AADRiskyUsers
  • AADServicePrincipalSignInLogs
  • AADUserRiskEvents
  • ABAPAuditLog_CL
  • AlertEvidence
  • AlertInfo
  • 异常
  • AppDependencies
  • AppTraces
  • AuditLogs
  • AWSCloudTrail
  • AWSGuardDuty
  • AzureActivity
  • AzureDevOpsAuditing
  • AzureDiagnostics
  • AzureMetrics
  • BehaviorAnalytics
  • CloudAppEvents
  • CommonSecurityLog
  • ContainerInventory
  • ContainerLog
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DnsEvents
  • Dynamics365Activity
  • EmailPostDeliveryEvents
  • 事件
  • 检测信号
  • IdentityInfo
  • InsightsMetrics
  • IntuneAuditLogs
  • IntuneDevices
  • LAQueryLogs
  • MicrosoftAzureBastionAuditLogs
  • MicrosoftPurviewInformationProtection
  • OfficeActivity
  • 性能
  • PowerBIActivity
  • ProtectionStatus
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SecurityRecommendation
  • SigninLogs
  • SqlAtpStatus
  • StorageBlobLogs
  • StorageFileLogs
  • Syslog
  • ThreatIntelligenceIndicator
  • 更新
  • UrlClickEvents
  • 用法
  • UserAccessAnalytics
  • UserPeerAnalytics
  • VMBoundPort
  • VMComputer
  • VMConnection
  • VMProcess
  • WindowsEvent
  • W3CIISLog
  • WindowsFirewall
  • Last updated on