Microsoft Security Copilot in der erweiterten Bedrohungssuche

Gilt für:: Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Microsoft Security Copilot in Microsoft Defender bietet zwei leistungsstarke Funktionen für die erweiterte Suche, um die Bedrohungssuche und Sicherheitsanalyse zu verbessern.

Die folgende Tabelle beschreibt diese Funktionen, wo sie am besten verwendet werden, und die erwartete Ausgabe:

Funktion	Beschreibung	Ausgabe	Umgebung
Bedrohungssuche-Agent (Vorschau)	KI-gestützter Agent für die Bedrohungssuche für Unterhaltungen, der am besten für vollständige Untersuchungen, mehrstufige Suche, explorative Analyse und das Abrufen direkter Antworten verwendet wird	Konversationsantworten, KQL-Abfragen (Kusto Query Language), Ergebnisse, Erkenntnisse und Empfehlungen	Untersuchungsschwerpunkt
Assistent abfragen	Generierung von KQL-Abfragen in natürlicher Sprache, die am besten zum Generieren von Abfragen verwendet wird	KQL-Abfrage mit Erklärung	Abfrageorientiert

Diese Features ermöglichen es Ihnen, Bedrohungen schneller, genauer und mit größerer Zuverlässigkeit zu suchen, ohne KQL-Abfragen schreiben zu müssen.

Zugriff erhalten

Benutzer mit Zugriff auf Security Copilot können diese Funktionen bei der erweiterten Suche verwenden.

Sie können jeweils nur eine Funktion verwenden. Standardmäßig ist der Bedrohungssuche-Agent der aktive Modus. Um in den Abfragemodus Assistent zu wechseln, wählen Sie im Security Copilot Seitenbereich das Menü mit drei Punkten aus, und schalten Sie dann die Option Threat Hunting Agent aus.

Screenshot: Security Copilot in der erweiterten Suche, der zeigt, dass der Bedrohungssuche-Agent-Modus aktiv ist.

Hinweis

Der Wechsel zwischen Modi ist nur in bestimmten Benutzerumgebungen verfügbar.
Wenn Sie zwischen den Modi wechseln, wird Ihre Unterhaltung mit Security Copilot zurückgesetzt.

Umfang der Security Copilot bei der erweiterten Suche

Unterstützung von Anwendungsfällen

Der Bedrohungssuche-Agent und der Abfrage-Assistent beide die Generierung von Abfragen mit einfacher bis mittlerer Komplexität vollständig unterstützen, einschließlich Filtervorgängen und/oder Aggregationen. Komplexe Anwendungsfälle (Abfragen mit Joins, Filtern und Aggregation) werden unterstützt, es wird jedoch empfohlen, deren Genauigkeit zu überprüfen. Helfen Sie uns bei der Verbesserung, indem Sie Feedback mit falschen Abfragen oder Antwortbeispielen bereitstellen.

Bewährte Methoden

Eindeutig sein. Stellen Sie Fragen mit einem klaren Thema. Beispielsweise können "Anmeldungen" Geräteanmeldungen oder Cloudanmeldungen bedeuten.
Stellen Sie jeweils eine Frage. Fordern Sie jeweils eine einzelne Aufgabe oder einen Informationstyp an. Erwarten Sie nicht, dass das KI-Modell mehrere nicht zusammenhängende Aufgaben gleichzeitig ausführt. Sie können immer Folgefragen stellen, anstatt nicht verwandte Fragen in einer einzigen Eingabeaufforderung zu kombinieren.
Machen Sie präzise Angaben. Wenn Sie etwas über die gesuchten Daten wissen, geben Sie diese Informationen in Ihrer Frage an.

Unterstützte Tabellen

Der Bedrohungssuche-Agent und die Abfrage-Assistent die folgenden Tabellen bei der erweiterten Suche unterstützen:

Microsoft Defender Tabellen	Microsoft Sentinel Tabellen
AADSignInEventsBeta AADSpnSignInEventsBeta AlertEvidence AlertInfo BehaviorEntities BehaviorInfo CloudAppEvents DeviceAlertEvents DeviceBaselineComplianceAssessment DeviceBaselineComplianceAssessmentKB DeviceBaselineComplianceProfiles DeviceEvents DeviceFileCertificateInfo DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceInternetFacing DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceScriptEvents DeviceTvmInfoGathering DeviceTvmInfoGatheringKB DeviceTvmSecureConfigurationAssessment DeviceTvmSecureConfigurationAssessmentKB DeviceTvmSoftwareEvidenceBeta DeviceTvmSoftwareInventory DeviceTvmSoftwareVulnerabilities DeviceTvmSoftwareVulnerabilitiesKB DynamicEventCollection EmailAttachmentInfo EmailEvents EmailPostDeliveryEvents EmailUrlInfo IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents UrlClickEvents	AADManagedIdentitySignInLogs AADNonInteractiveUserSignInLogs AADProvisioningLogs AADRiskyUsers AADServicePrincipalSignInLogs AADUserRiskEvents ABAPAuditLog_CL AlertEvidence AlertInfo Anomalien AppDependencies AppTraces AuditLogs AWSCloudTrail AWSGuardDuty AzureActivity AzureDevOpsAuditing AzureDiagnostics AzureMetrics BehaviorAnalytics CloudAppEvents CommonSecurityLog ContainerInventory ContainerLog DeviceEvents DeviceFileCertificateInfo DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DnsEvents Dynamics365Activity EmailPostDeliveryEvents Ereignis Taktsignal IdentityInfo InsightsMetrics IntuneAuditLogs IntuneGeräte LAQueryLogs MicrosoftAzureBastionAuditLogs MicrosoftPurviewInformationProtection OfficeActivity Perf PowerBIActivity ProtectionStatus SecurityAlert SecurityEvent SecurityIncident SecurityRecommendation SigninLogs SqlAtpStatus StorageBlobLogs StorageFileLogs Syslog ThreatIntelligenceIndicator Aktualisieren UrlClickEvents Verwendung UserAccessAnalytics UserPeerAnalytics VMBoundPort VMComputer VMConnection VMProcess WindowsEvent W3CIISLog WindowsFirewall

Microsoft Defender Tabellen

Microsoft Sentinel Tabellen

AADSignInEventsBeta
AADSpnSignInEventsBeta
AlertEvidence
AlertInfo
BehaviorEntities
BehaviorInfo
CloudAppEvents
DeviceAlertEvents
DeviceBaselineComplianceAssessment
DeviceBaselineComplianceAssessmentKB
DeviceBaselineComplianceProfiles
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceInternetFacing
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceScriptEvents
DeviceTvmInfoGathering
DeviceTvmInfoGatheringKB
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareEvidenceBeta
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DynamicEventCollection
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
UrlClickEvents

AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyUsers
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABAPAuditLog_CL
AlertEvidence
AlertInfo
Anomalien
AppDependencies
AppTraces
AuditLogs
AWSCloudTrail
AWSGuardDuty
AzureActivity
AzureDevOpsAuditing
AzureDiagnostics
AzureMetrics
BehaviorAnalytics
CloudAppEvents
CommonSecurityLog
ContainerInventory
ContainerLog
DeviceEvents
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DnsEvents
Dynamics365Activity
EmailPostDeliveryEvents
Ereignis
Taktsignal
IdentityInfo
InsightsMetrics
IntuneAuditLogs
IntuneGeräte
LAQueryLogs
MicrosoftAzureBastionAuditLogs
MicrosoftPurviewInformationProtection
OfficeActivity
Perf
PowerBIActivity
ProtectionStatus
SecurityAlert
SecurityEvent
SecurityIncident
SecurityRecommendation
SigninLogs
SqlAtpStatus
StorageBlobLogs
StorageFileLogs
Syslog
ThreatIntelligenceIndicator
Aktualisieren
UrlClickEvents
Verwendung
UserAccessAnalytics
UserPeerAnalytics
VMBoundPort
VMComputer
VMConnection
VMProcess
WindowsEvent
W3CIISLog
WindowsFirewall

Feedback

War diese Seite hilfreich?

Last updated on 2025-12-12