高度な追求における Microsoft Copilot for Security
Microsoft Defender の Microsoft Copilot for Security には、高度な追求のためのクエリ アシスタント機能が付属しています。
KQL にまだ精通していない、またはまだ学習していない脅威ハンターまたはセキュリティ アナリストは、要求を行ったり、自然言語で質問したりできます (たとえば、 ユーザー管理者 123 に関連するすべてのアラートを取得します)。 その後 Copilot for Security は、高度な追求データ スキーマを使用して、要求に対応する KQL クエリを生成します。
この機能により、追求クエリを最初から作成するのにかかる時間が短縮され、脅威の追求担当者やセキュリティ アナリストが脅威の追求と調査に集中できます。
Copilot for Security は、高度な追求でこの機能にアクセスできます。
注:
高度な追求機能は、Microsoft Defender XDR プラグインを通じて Copilot for Security スタンドアロン エクスペリエンスでも使用できます。 Copilot for Security にプレインストールされているプラグインの詳細を確認してください。
最初の要求を試してみる
Microsoft Defender ポータルのナビゲーション バーから高度なハンティング ページを開きます。 高度な追求用の Copilot for Security 作業ウィンドウが右側に表示されます。
クエリ エディターの上部にある [Copilot] を選択して、Copilot を再度開くこともできます。
Copilot プロンプト バーで、実行する脅威ハンティング クエリを確認し、Enter キーを押します。
Copilot が、テキストの指示または質問から KQL クエリを生成します。 Copilot が生成中に、[生成の停止] を選択してクエリの生成をキャンセルできます。
生成されたクエリを確認します。 次に、[追加して実行] を選択してクエリを実行することを選択できます。
その後、生成されたクエリは、クエリ エディターの最後のクエリとして表示され、自動的に実行されます。
さらに調整する必要がある場合は、[エディターに追加] を選択します。
生成されたクエリは最後のクエリとしてクエリ エディターに表示されます。これは、実行する前に、クエリ エディターの上にある通常の [クエリを実行] を使用して編集できます。
生成された応答に関するフィードバックを提供するには、フィードバック アイコン を選択し、[ 確認]、[ ターゲット外]、または [有害になる可能性がある] を選択します。
ヒント
フィードバックを提供することは、クエリ アシスタントが有用な KQL クエリの生成にどの程度役立ったかを Copilot for Security チームに知らせるための重要な方法です。 是非、クエリを改善できる点や生成された KQL クエリを実行する前に行う必要があった調整などについて説明したり、最終的に使用した KQL クエリを共有したりしてください。
Microsoft Defender ポータルでは、Copilot for Security に対して、Defender XDRテーブルとMicrosoft Sentinel テーブルの両方に対して高度なハンティング クエリを生成するように求めることができます。 現在、すべてのMicrosoft Sentinelテーブルがサポートされているわけではありませんが、これらのテーブルのサポートは将来予想されます。
クエリ セッション
高度な追求の Copilot 作業ウィンドウで質問することで、いつでも最初のセッションを開始できます。 セッションには、ユーザー アカウントを使用して行った要求が含まれます。 サイド ウィンドウを閉じたり、高度なハンティング ページを更新したりしても、セッションは破棄されません。 必要に応じて、生成されたクエリに引き続きアクセスできます。
チャット バブル アイコン (新しいチャット) を選択して、現在のセッションを破棄します。
設定の変更
Copilot 作業ウィンドウの省略記号を選択して、高度な追求で生成されたクエリを自動的に追加して実行するかどうかを選択します。
[生成されたクエリを自動的に実行する] 設定の選択を解除すると、生成されたクエリを自動的に実行するか ([追加して実行])、生成されたクエリをクエリ エディターに追加してさらに変更すること ([エディターに追加]) ができます。