Microsoft Defender 中的智能 Microsoft Security Copilot 副驾驶®包括用于高级搜寻的查询助手功能。
不熟悉或尚未学习 Kusto 查询语言 (KQL) 的威胁猎手或安全分析师可以使用自然语言发出请求或提问, (例如 获取涉及用户 admin123 的所有警报) 。 然后,Security Copilot使用高级搜寻数据架构生成与请求匹配的 KQL 查询。
此功能减少了从头开始编写搜寻查询所需的时间,因此威胁搜寻人员和安全分析师可以专注于搜寻和调查威胁。
有权访问Security Copilot的用户可在高级搜寻中使用此功能。
注意
高级搜寻功能也可通过 Microsoft Defender XDR 插件在Security Copilot独立体验中使用。 详细了解 Security Copilot 中的预安装插件。
尝试第一个请求
若要开始使用查询助手,请执行以下步骤:
注意
确保查询助手模式处于活动状态。 了解更多
从Microsoft Defender门户中的导航栏打开“高级搜寻”页。 高级搜寻的安全 Copilot 侧窗格显示在右侧。
还可以在查询编辑器的顶部选择“Copilot”以重新打开 Copilot。
在Copilot 提示栏中,询问要运行的任何威胁搜寻查询,然后按
或 Enter。
Copilot 根据文本指令或问题生成 KQL 查询。 在生成 Copilot 时,可以选择“停止生成”以取消查询生成。
查看生成的查询。 若要检查 Copilot 如何生成查询,可以选择查询文本下方的“查看查询背后的逻辑”,以展开查询背后的说明。 再次选择它以最小化。
然后,可以选择通过选择“运行查询”来运行查询。
然后,生成的查询在查询编辑器中显示为最后一个查询,并自动运行。
如果需要进一步调整,请选择“添加到编辑器”。
生成的查询将作为最后一个查询显示在查询编辑器中,可以在使用查询编辑器上方的常规 运行查询 之前对其进行编辑。
可以通过选择反馈图标“
,然后选择“ 正确查找”、“ 需要改进”或“ 不当”来提供有关生成的响应的反馈。
提示
提供反馈是让Security Copilot团队了解查询助手帮助生成有用的 KQL 查询的重要方法。 请随意阐明哪些内容可以改进查询,在运行生成的 KQL 查询之前必须做出哪些调整,或者共享最终使用的 KQL 查询。
修改设置
选择 Copilot 侧窗格中的三点菜单,以选择是否在高级搜寻中自动添加和运行生成的查询。
如果取消选择 “自动运行生成的查询 ”设置,则可以选择自动运行生成的查询 (添加并运行) 或将生成的查询添加到查询编辑器中,以便进一步修改 (添加到编辑器) 。