Copilot da Segurança da Microsoft na busca avançada de ameaças

Aplica-se a: Microsoft Defender, Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Microsoft Security Copilot no Microsoft Defender fornece duas capacidades poderosas na investigação avançada para melhorar a investigação de ameaças e a análise de segurança.

A tabela seguinte descreve estas capacidades, onde são mais utilizadas e o resultado esperado:

Funcionalidade	Descrição	Saída	Experiência
Agente de Investigação de Ameaças (pré-visualização)	Agente de investigação de ameaças de IA que é mais utilizado para investigações completas, investigação de vários passos, análise exploratória e obter respostas diretas	Respostas de conversação, consultas da linguagem de consulta Kusto (KQL), resultados, informações e recomendações	Foco na investigação
Assistente de consulta	Linguagem natural para a geração de consultas KQL mais utilizada para gerar consultas	Consulta KQL com explicação	Focado na consulta

Estas funcionalidades permitem-lhe investigar ameaças de forma mais rápida, mais precisa e com maior confiança sem ter de escrever consultas KQL.

Obter acesso

Os utilizadores com acesso a Security Copilot podem utilizar estas capacidades na investigação avançada.

Só pode utilizar uma capacidade de cada vez. Por predefinição, o Agente de Investigação de Ameaças é o modo ativo. Para mudar para o modo assistente Consulta, no painel lateral Security Copilot, selecione o menu de três pontos e, em seguida, desative o Agente de Investigação de Ameaças.

Captura de ecrã a mostrar Security Copilot na investigação avançada que mostra que o modo Agente de Investigação de Ameaças está ativo.

Observação

Alternar entre modos só está disponível em ambientes de utilizador específicos.
Alternar entre modos repõe a conversação com Security Copilot.

Âmbito da Security Copilot na investigação avançada

Suporte para casos de utilização

O Agente de Investigação de Ameaças e a Consulta assistente ambos suportam totalmente a geração de consultas de complexidade simples a média, o que inclui a operação de filtro e/ou agregação. São suportados casos de utilização complexos (consultas com associações, filtragem e agregação), mas recomendamos que valide a precisão. Ajude-nos a melhorar ao fornecer feedback com consultas incorretas ou exemplos de resposta.

Práticas recomendadas

Seja inequívoco. Faça perguntas com um assunto claro. Por exemplo, "inícios de sessão" podem significar inícios de sessão no dispositivo ou inícios de sessão na cloud.
Faça uma pergunta de cada vez. Peça uma única tarefa ou tipo de informação de cada vez. Não espere que o modelo de IA execute várias tarefas não relacionadas ao mesmo tempo. Pode sempre fazer perguntas de seguimento em vez de combinar perguntas não relacionadas num único pedido.
Seja específico. Se souber alguma coisa sobre os dados que procura, forneça essas informações na sua pergunta.

Tabelas suportadas

O Agente de Investigação de Ameaças e a Consulta assistente suportam as seguintes tabelas na investigação avançada:

Microsoft Defender tabelas	Microsoft Sentinel tabelas
AADSignInEventsBeta AADSpnSignInEventsBeta AlertEvidence AlertInfo BehaviorEntities BehaviorInfo CloudAppEvents DeviceAlertEvents DeviceBaselineComplianceAssessment DeviceBaselineComplianceAssessmentKB DeviceBaselineComplianceProfiles Eventos do dispositivo DeviceFileCertificateInfo DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceInternetFacing DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceScriptEvents DeviceTvmInfoGathering DeviceTvmInfoGatheringKB DeviceTvmSecureConfigurationAssessment DeviceTvmSecureConfigurationAssessmentKB DeviceTvmSoftwareEvidenceBeta DeviceTvmSoftwareInventory DeviceTvmSoftwareVulnerabilities DeviceTvmSoftwareVulnerabilitiesKB DynamicEventCollection EmailAttachmentInfo EmailEvents EmailPostDeliveryEvents EmailUrlInfo IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents UrlClickEvents	AADManagedIdentitySignInLogs AADNonInteractiveUserSignInLogs AADProvisioningLogs AADRiskyUsers AADServicePrincipalSignInLogs AADUserRiskEvents ABAPAuditLog_CL AlertEvidence AlertInfo Anomalias AppDependencies AppTraces AuditLogs AWSCloudTrail AWSGuardDuty AzureActivity AzureDevOpsAuditing AzureDiagnostics AzureMetrics BehaviorAnalytics CloudAppEvents CommonSecurityLog ContainerInventory ContainerLog Eventos do dispositivo DeviceFileCertificateInfo DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DnsEvents Dynamics365Activity EmailPostDeliveryEvents Evento Pulsação IdentityInfo InsightsMetrics IntuneAuditLogs IntuneDispositivos LAQueryLogs MicrosoftAzureBastionAuditLogs MicrosoftPurviewInformationProtection OfficeActivity Desempenho PowerBIActivity ProtectionStatus SecurityAlert SecurityEvent SecurityIncident Recomendação de Segurança SigninLogs SqlAtpStatus StorageBlobLogs StorageFileLogs Syslog ThreatIntelligenceIndicator Atualizar UrlClickEvents Uso UserAccessAnalytics UserPeerAnalytics VMBoundPort VMComputer VMConnection VMProcess WindowsEvent W3CIISLog WindowsFirewall

Microsoft Defender tabelas

Microsoft Sentinel tabelas

AADSignInEventsBeta
AADSpnSignInEventsBeta
AlertEvidence
AlertInfo
BehaviorEntities
BehaviorInfo
CloudAppEvents
DeviceAlertEvents
DeviceBaselineComplianceAssessment
DeviceBaselineComplianceAssessmentKB
DeviceBaselineComplianceProfiles
Eventos do dispositivo
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceInternetFacing
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DeviceScriptEvents
DeviceTvmInfoGathering
DeviceTvmInfoGatheringKB
DeviceTvmSecureConfigurationAssessment
DeviceTvmSecureConfigurationAssessmentKB
DeviceTvmSoftwareEvidenceBeta
DeviceTvmSoftwareInventory
DeviceTvmSoftwareVulnerabilities
DeviceTvmSoftwareVulnerabilitiesKB
DynamicEventCollection
EmailAttachmentInfo
EmailEvents
EmailPostDeliveryEvents
EmailUrlInfo
IdentityDirectoryEvents
IdentityInfo
IdentityLogonEvents
IdentityQueryEvents
UrlClickEvents

AADManagedIdentitySignInLogs
AADNonInteractiveUserSignInLogs
AADProvisioningLogs
AADRiskyUsers
AADServicePrincipalSignInLogs
AADUserRiskEvents
ABAPAuditLog_CL
AlertEvidence
AlertInfo
Anomalias
AppDependencies
AppTraces
AuditLogs
AWSCloudTrail
AWSGuardDuty
AzureActivity
AzureDevOpsAuditing
AzureDiagnostics
AzureMetrics
BehaviorAnalytics
CloudAppEvents
CommonSecurityLog
ContainerInventory
ContainerLog
Eventos do dispositivo
DeviceFileCertificateInfo
DeviceFileEvents
DeviceImageLoadEvents
DeviceInfo
DeviceLogonEvents
DeviceNetworkEvents
DeviceNetworkInfo
DeviceProcessEvents
DeviceRegistryEvents
DnsEvents
Dynamics365Activity
EmailPostDeliveryEvents
Evento
Pulsação
IdentityInfo
InsightsMetrics
IntuneAuditLogs
IntuneDispositivos
LAQueryLogs
MicrosoftAzureBastionAuditLogs
MicrosoftPurviewInformationProtection
OfficeActivity
Desempenho
PowerBIActivity
ProtectionStatus
SecurityAlert
SecurityEvent
SecurityIncident
Recomendação de Segurança
SigninLogs
SqlAtpStatus
StorageBlobLogs
StorageFileLogs
Syslog
ThreatIntelligenceIndicator
Atualizar
UrlClickEvents
Uso
UserAccessAnalytics
UserPeerAnalytics
VMBoundPort
VMComputer
VMConnection
VMProcess
WindowsEvent
W3CIISLog
WindowsFirewall

Comentários

Esta página foi útil?

Last updated on 2025-12-12