Поделиться через

Microsoft Security Copilot при расширенной охоте

  • Применяется к: Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Microsoft Security Copilot в Microsoft Defender предоставляет две мощные возможности расширенной охоты для улучшения охоты на угрозы и анализа безопасности.

В следующей таблице описаны эти возможности, где они лучше всего использовать, и ожидаемые выходные данные:

Возможность Описание Выходные данные Интерфейс
Агент охоты на угрозы (предварительная версия) Агент охоты на угрозы на основе ИИ, который лучше всего использовать для полных исследований, многоэтапной охоты, исследовательского анализа и получения прямых ответов Диалоговые ответы, запросы языка запросов Kusto (KQL), результаты, аналитические сведения и рекомендации Ориентированное на исследование
Помощник запросов Создание запросов на естественном языке для KQL, которое лучше всего использовать для создания запросов Запрос KQL с объяснением Ориентированные на запросы

Эти функции позволяют быстрее, точнее и с большей уверенностью охотиться на угрозы без необходимости писать запросы KQL.

Получение доступа

Пользователи с доступом к Security Copilot могут использовать эти возможности при расширенной охоте.

Одновременно можно использовать только одну возможность. По умолчанию агент охоты на угрозы является активным режимом. Чтобы переключиться в режим помощник запросов, в боковой области Security Copilot выберите меню с тремя точками, а затем выключите параметр Агент охоты на угрозы.

Снимок экрана: Security Copilot в расширенной охоте с активным режимом агента охоты на угрозы.

Примечание.

  • Переключение между режимами доступно только в определенных пользовательских средах.
  • Переключение между режимами сбрасывает беседу с Security Copilot.

Область Security Copilot в расширенной охоте

Поддержка вариантов использования

Агент охоты на угрозы и запросы помощник полностью поддерживают создание простых и средних запросов, включая операции фильтрации и (или) агрегирование. Поддерживаются сложные варианты использования (запросы с соединениями, фильтрацией и агрегированием), но мы рекомендуем проверять их точность. Помогите нам улучшить, предоставив отзыв с неправильными запросами или примерами ответов.

Лучшие методики

  • Будьте однозначны. Задавайте вопросы с четкой темой. Например, "имена входа" могут означать имена входа устройств или облачные имена входа.
  • Задавайте один вопрос за раз. Запрашивать одну задачу или тип сведений за раз. Не ожидайте, что модель ИИ будет выполнять несколько несвязанных задач одновременно. Вы всегда можете задавать уточняющие вопросы, а не объединять несвязанные вопросы в один запрос.
  • Будьте точными. Если вы знаете что-нибудь о данных, которые вы ищете, укажите эту информацию в своем вопросе.

Поддерживаемые таблицы

Агент охоты на угрозы и помощник запросов поддерживают следующие таблицы в расширенной охоте:

таблицы Microsoft Defender таблицы Microsoft Sentinel
  • AADSignInEventsBeta
  • AADSpnSignInEventsBeta
  • AlertEvidence
  • AlertInfo
  • BehaviorEntities
  • BehaviorInfo
  • CloudAppEvents
  • DeviceAlertEvents
  • DeviceBaselineComplianceAssessment
  • DeviceBaselineComplianceAssessmentKB
  • DeviceBaselineComplianceProfiles
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceInternetFacing
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • События DeviceScriptEvents
  • DeviceTvmInfoGathering
  • DeviceTvmInfoGatheringKB
  • DeviceTvmSecureConfigurationAssessment
  • DeviceTvmSecureConfigurationAssessmentKB
  • DeviceTvmSoftwareEvidenceBeta
  • DeviceTvmSoftwareInventory
  • DeviceTvmSoftwareVulnerabilities
  • DeviceTvmSoftwareVulnerabilitiesKB
  • DynamicEventCollection
  • EmailAttachmentInfo
  • EmailEvents
  • EmailPostDeliveryEvents
  • EmailUrlInfo
  • IdentityDirectoryEvents
  • IdentityInfo
  • IdentityLogonEvents
  • IdentityQueryEvents
  • UrlClickEvents
  • AADManagedIdentitySignInLogs
  • AADNonInteractiveUserSignInLogs
  • AADProvisioningLogs
  • AADRiskyUsers
  • AADServicePrincipalSignInLogs
  • AADUserRiskEvents
  • ABAPAuditLog_CL
  • AlertEvidence
  • AlertInfo
  • Аномалии
  • AppDependencies
  • AppTraces
  • AuditLogs
  • AWSCloudTrail
  • AWSGuardDuty
  • AzureActivity
  • AzureDevOpsAuditing
  • AzureDiagnostics
  • AzureMetrics
  • BehaviorAnalytics
  • CloudAppEvents
  • CommonSecurityLog
  • ContainerInventory
  • ContainerLog
  • DeviceEvents
  • DeviceFileCertificateInfo
  • DeviceFileEvents
  • DeviceImageLoadEvents
  • DeviceInfo
  • DeviceLogonEvents
  • DeviceNetworkEvents
  • DeviceNetworkInfo
  • DeviceProcessEvents
  • DeviceRegistryEvents
  • DnsEvents
  • Dynamics365Activity
  • EmailPostDeliveryEvents
  • Событие
  • Пульс
  • IdentityInfo
  • InsightsMetrics
  • IntuneAuditLogs
  • IntuneDevices
  • LAQueryLogs
  • MicrosoftAzureBastionAuditLogs
  • MicrosoftPurviewInformationProtection
  • OfficeActivity
  • Перфорация
  • PowerBIActivity
  • ProtectionStatus
  • SecurityAlert
  • SecurityEvent
  • SecurityIncident
  • SecurityRecommendation
  • SigninLogs
  • SqlAtpStatus
  • StorageBlobLogs
  • StorageFileLogs
  • Syslog
  • ThreatIntelligenceIndicator
  • Обновление
  • UrlClickEvents
  • Применение
  • UserAccessAnalytics
  • UserPeerAnalytics
  • VMBoundPort
  • VMComputer
  • VMConnection
  • VMProcess
  • WindowsEvent
  • W3CIISLog
  • WindowsFirewall
  • Last updated on