共用方式為

進階搜捕中的 Microsoft 安全性 Copilot

  • 適用於: Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

Microsoft Defender 中的 Microsoft Security Copilot 提供兩項強大的進階狩獵功能,以強化威脅狩獵與安全分析。

下表說明這些能力、最佳使用地點及預期輸出:

功能 描述 輸出 體驗
威脅獵人特工 (預覽) AI 驅動的對話威脅獵捕代理,最適合用於完整調查、多步驟搜尋、探索性分析及直接解答 會話式回答、Kusto 查詢語言 (KQL) 查詢、結果、見解與推薦 調查導向
查詢助理 自然語言到 KQL 查詢產生,最適合用來產生查詢 KQL 查詢及說明 以查詢為中心

這些功能讓你能更快、更準確且更有信心地追蹤威脅,而無需撰寫 KQL 查詢。

取得存取權

擁有 Security Copilot 權限的使用者可以在進階狩獵中使用這些功能。

你一次只能使用一種能力。 預設情況下,威脅獵殺代理是主動模式。 要切換到查詢助理模式,請在 Security Copilot 側窗格中選擇三點選單,然後切換關閉威脅獵捕代理的開關。

Security Copilot 在進階狩獵模式中顯示威脅狩獵代理模式已啟動的截圖。

注意事項

  • 模式切換僅在特定使用者環境中可用。
  • 切換模式會重置你與 Security Copilot 的對話。

Security Copilot 在進階狩獵中的範圍

使用情境支援

威脅狩獵代理程式與查詢助理皆完全支援產生簡單至中等複雜度的查詢,包括過濾操作及/或聚合。 支援複雜用例 (包含連接、過濾及聚合) 的查詢,但我們建議驗證其準確性。 請透過提供錯誤問題或回應範例的 回饋 ,幫助我們改進。

最佳做法

  • 要明確無誤。 用明確的主題提問。 例如,「登入」可以指裝置登入或雲端登入。
  • 一次問一個問題。 一次只要求一項任務或資訊類型。 不要期待 AI 模型能同時執行多項無關任務。 你也可以隨時問後續問題,而不是把無關的問題合併成一個提示。
  • 請特別說明。 如果你對你想找的資料有任何了解,請在問題中提供這些資訊。

支援的表格

威脅狩獵代理與查詢助理支援以下資料表用於進階狩獵:

Microsoft Defender 表格 Microsoft Sentinel tables
  • AADSignInEventsBeta
  • AADSpnSignInEventsBeta
  • AlertEvidence
  • AlertInfo
  • BehaviorEntities
  • BehaviorInfo
  • CloudAppEvents
  • DeviceAlertEvents
  • 裝置Baseline合規評估
  • DeviceBaselineComplianceAssessmentKB
  • DeviceBaselineComplianceProfiles
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • 裝置網路面向
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • 裝置腳本事件
  • DeviceTvmInfoGathering
  • DeviceTvmInfoGatheringKB
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareEvidenceBeta
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • 動態事件收藏
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • IdentityDirectoryEvents
  • IdentityInfo
  • IdentityLogonEvents
  • IdentityQueryEvents
  • UrlClickEvents
  • AADManagedIdentitySignInLogs
  • AADNonInteractiveUserSignInLogs
  • AADProvisioningLogs
  • AADRiskyUsers
  • AADServicePrincipalSignInLogs
  • AADUser風險事件
  • ABAPAuditLog_CL
  • AlertEvidence
  • AlertInfo
  • 異常現象
  • 應用程式相依
  • AppTraces 應用程式
  • 審計日誌
  • AWSCloudTrail
  • AWSGuardDuty
  • AzureActivity
  • AzureDevOpsAuditing
  • AzureDiagnostics
  • AzureMetrics
  • 行為分析
  • CloudAppEvents
  • CommonSecurityLog
  • 貨櫃庫存
  • 容器日誌
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • Dns事件
  • 動態365活動
  • EmailPostDeliveryEvents
  • 事件
  • 活動訊號
  • IdentityInfo
  • 洞察指標
  • IntuneAuditLogs
  • IntuneDevices
  • 洛杉磯日誌
  • MicrosoftAzureBastionAuditLogs
  • MicrosoftPurviewInformationProtection
  • 辦公室活動
  • 演奏
  • PowerBIActivity
  • 保護狀態
  • 安全警示
  • 安全事件
  • 安全事件
  • 安全性建議
  • 登入日誌
  • SqlAtpStatus
  • StorageBlobLogs 儲存方塊日誌
  • 儲存檔案日誌
  • 系統日誌
  • 威脅情報指標
  • 更新
  • UrlClickEvents
  • 使用情況
  • UserAccessAnalytics
  • UserPeerAnalytics
  • VMBoundPort
  • VMComputer
  • VMConnection
  • VMProcess
  • WindowsEvent
  • W3CIISLog
  • Windows防火牆
  • Last updated on