Microsoft Security Copilot агент охоты на угрозы в расширенной охоте (предварительная версия)

  • Применяется к: Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Агент охоты на угрозы Microsoft Security Copilot — это агент на основе ИИ, который революционизирует охоту на угрозы, позволяя исследовать угрозы с помощью естественного языка от начала до конца. В отличие от традиционных методов охоты, в значительной степени основанных на знаниях языка запросов Kusto (KQL), агент охоты на угрозы быстро и интуитивно преобразует сложные данные в полезные сведения, помогая вам провести исследование действий.

Агент охоты на угрозы выходит за рамки создания запросов, предоставляя полный диалоговый опыт охоты на угрозы. Он не только создает запросы, но и интерпретирует результаты, предоставляет аналитические сведения и предоставляет полные сеансы охоты. Эти возможности позволяют аналитикам всех уровней охотиться на угрозы быстрее, точнее и с большей уверенностью.

Просмотрите это видео, чтобы получить общие сведения об агенте по охоте на угрозы:

Ключевые возможности

  • Ответ на вопрос естественного языка на естественном языке. Задайте любой вопрос, связанный с данными, на естественном языке (например, какие устройства взаимодействовали с IP-адресами во Франции за последние 24 часа?) и получите прямые ответы на беседы на основе запросов KQL и табличных результатов.

  • Поток беседы. Агент отслеживает контекст на протяжении всего сеанса охоты, позволяя задавать дополнительные вопросы, которые опирались на предыдущие и обеспечивая непрерывность в течение всего сеанса.

  • Наблюдения. Агент предоставляет наблюдения и диаграммы естественного языка (круговая, временная шкала или вертикальная линейчатая полоса), чтобы упростить анализ результатов. Он автоматически выбирает соответствующие поля диаграммы, но вы можете изменить тип диаграммы или группирование после этого.

  • Создание аналитических сведений. Агент предоставляет дополнительные контекстные аналитические сведения из связанных источников данных для обогащения исследования, помогая обнаруживать подключения и шаблоны, которые в противном случае могут быть пропущены.

  • Интеллектуальные предложения. Агент предоставляет динамические вопросы о дальнейших действиях и рекомендации по исправлению в контексте исследования, чтобы направить ваш сеанс охоты вперед. Эти предложения доступны для выбора только после создания ответа. Они недоступны для выбора, когда вы задаете новый вопрос.

  • Интегрированный интерфейс. Выходные данные агента добавляются непосредственно в компоненты расширенной охоты, при этом созданный KQL помещается в редактор, а результаты отображаются как обычно. Это дает пользователям полный доступ ко всем расширенным функциям охоты во время исследований, обеспечивая максимальную гибкость.

Попробуйте создать и запустить свой первый запрос

Чтобы приступить к использованию агента охоты на угрозы, выполните следующие действия.

Примечание.

Убедитесь, что режим агента охоты на угрозы активен. Подробнее

  1. Откройте страницу Расширенный поиск на панели навигации на портале Microsoft Defender. Справа появится боковая панель навигации Security Copilot для расширенной охоты.

    Снимок экрана панели Copilot в режиме расширенной охоты.

    Вы также можете повторно открыть Copilot, выбрав Copilot в верхней части редактора запросов.

  2. Начните сеанс охоты, выбрав предложенный запрос или введя вопрос на естественном языке в строке запроса и нажав клавишу ВВОД.

Примеры вопросов, которые можно задать агенту:

  • Дайте мне список пользователей, которые отправили более 100 писем за последние 30 дней.
  • Показать все неудачные попытки входа для учетных записей администраторов на этой неделе.
  • Какие устройства взаимодействовали с подозрительными доменами сегодня?

Агент поддерживает все типы сценариев охоты, в том числе:

  • Исследование оповещений или инцидентов
  • Исследование подозрительного индикатора компрометации (МОК)
  • Изучение последствий атаки, рассмотренной в отчете об аналитике угроз
  • Упреждающая проверка гипотезы безопасности

Общие сведения об ответе

Когда агент по охоте на угрозы ответит на ваш вопрос, вы получите исчерпывающий ответ, который включает в себя:

  • Прямой ответ в беседе: Ответ на вопрос на естественном языке отображается в боковой области Copilot.

    Снимок экрана: панель Copilot в расширенной охоте с выделенным ответом.

  • Запрос и результаты KQL: Базовый запрос KQL создается и выполняется автоматически, результаты отображаются в области результатов расширенной охоты и легко интегрируются в интерфейс.

    Снимок экрана: страница расширенной охоты с выделенным запросом и результатами.

  • Объяснение того, как был создан запрос: Чтобы проверка, как Copilot придумал запрос, выберите Просмотреть логику запроса под запросом.

    Снимок экрана: панель Copilot в расширенной охоте с выделенной логикой запроса.

  • Наблюдения: Выделение данных и диаграмма отображаются над результатами, что упрощает анализ результатов. Вы можете изменить тип диаграммы или группирование полей.

    Снимок экрана: страница расширенной охоты с выделенной диаграммой, созданной Copilot.

  • Контекстная аналитика: Дополнительные аналитические сведения, полученные из различных соответствующих ресурсов, отображаются в боковой области Copilot как часть ответа естественного языка.

    Снимок экрана: панель Copilot в расширенной охоте с выделенной аналитикой.

  • Интеллектуальные рекомендации по дальнейшим действиям: Рекомендуемые следующие вопросы или действия отображаются в нижней части боковой панели Copilot, чтобы помочь вам вести охоту в правильном направлении:

    • Предложения по дальнейшим вопросам отображаются в нижней части боковой области над запросом. Выберите один из вопросов, чтобы запустить его автоматически.

      Снимок экрана: панель Copilot в расширенной охоте с выделенными предложениями по дальнейшим действиям.

    • Вы также можете получить предложения действий в случае, если действие по исправлению рекомендуется и необходимо в контексте исследования. При выборе предложения откроется мастер выполнения действий с типом действия и уже заполненными целевыми сущностями. Завершите работу мастера, чтобы применить предлагаемое действие.

      Снимок экрана: панель Copilot в расширенной охоте с выделенным предложением действий.

      Примечание.

      Вы можете выбрать только предложения действий для последнего ответа в беседе. При отправке другого вопроса предыдущие предложения действий отключаются.

Продолжение исследования

После получения ответа вы можете продолжить сеанс охоты несколькими способами:

  • Задайте дополнительные вопросы: Агент сохраняет контекст из журнала сеансов.
  • Запрос изменений запроса: Попросите агента изменить созданный запрос.
  • Выберите рекомендуемые действия: Выберите один из последующих вопросов или действий, предлагаемых агентом.
  • Используйте расширенные функции охоты: Сохраните запрос, экспортируйте результаты, создайте правило обнаружения или используйте другие расширенные функции охоты для запроса KQL, отображаемого в редакторе и созданных результатах.

Запуск нового сеанса

Чтобы начать новый сеанс охоты, щелкните значок Новый чат (+) в верхней части боковой панели Copilot.

Примечание.

При запуске нового сеанса удаляется весь журнал чата, который не сохраняется.

Предоставление отзывов

Вы можете отправить отзыв непосредственно на портале, щелкнув значок обратной связи и выбрав свой ответ. Ваши отзывы помогают улучшить возможности и точность агента по охоте на угрозы.

Снимок экрана: страница расширенной охоты с выделенными кнопками обратной связи Copilot.

Совет

Предоставление подробных отзывов о том, что хорошо работает или что можно улучшить, помогает нам постоянно улучшать работу агента по охоте на угрозы.

  • Last updated on