高度なハンティングのMicrosoft Copilot for Security

適用対象:

• Microsoft Defender
• Microsoft Defender XDR

高度なハンティングのCopilot for Security

Microsoft DefenderのMicrosoft Copilot for Securityには、高度なハンティングのクエリアシスタント機能が付属しています。

KQL をまだよく知らない、またはまだ学んでいない脅威の追求担当者やセキュリティ アナリストは、自然言語で要求を行ったり質問したりできます (例: "管理者 123 というユーザーに関連するすべてのアラートを取得する")。 Copilot for Security、高度なハンティング データ スキーマを使用して要求に対応する KQL クエリを生成します。

この機能により、追求クエリを最初から作成するのにかかる時間が短縮され、脅威の追求担当者やセキュリティ アナリストが脅威の追求と調査に集中できます。

Copilot for Securityにアクセスできるユーザーは、高度なハンティングでこの機能にアクセスできます。

注:

高度なハンティング機能は、Microsoft Defender XDRプラグインを介してCopilot for Securityスタンドアロンエクスペリエンスでも利用できます。 Copilot for Securityにプレインストールされているプラグインの詳細を確認してください。

最初の要求を試してみる

1. Microsoft Defender XDRのナビゲーション バーから高度なハンティング ページを開きます。 高度なハンティング用のCopilot for Security側ウィンドウが右側に表示されます。

   

   クエリ エディターの上部にある [Copilot] を選択して 、Copilot を再度開くこともできます。

2. Copilot プロンプト バーで、実行する脅威ハンティング クエリを確認し、Enter キーを押します。

   

3. Copilot は、テキスト命令または質問から KQL クエリを生成します。 Copilot の生成中は、[生成の停止] を選択してクエリの 生成を取り消すことができます。

   

4. 生成されたクエリを確認します。 その後、[追加して実行] を選択してクエリを 実行できます。

   

   その後、生成されたクエリは、クエリ エディターの最後のクエリとして表示され、自動的に実行されます。

   さらに調整する必要がある場合は、[エディターに追加] を選択します。

   

   生成されたクエリは最後のクエリとしてクエリ エディターに表示されます。これは、実行する前に、クエリ エディターの上にある通常の [クエリを実行] を使用して編集できます。

5. 生成された応答に関するフィードバックを提供するには、フィードバック アイコン を選択し、[ 確認]、[ ターゲット外]、または [有害になる可能性がある] を選択します。

ヒント

フィードバックを提供することは、Copilot for Security チームに、クエリ アシスタントが役立つ KQL クエリの生成にどの程度役立ったかを知らせる重要な方法です。 是非、クエリを改善できる点や生成された KQL クエリを実行する前に行う必要があった調整などについて説明したり、最終的に使用した KQL クエリを共有したりしてください。

クエリ セッション

高度なハンティングで Copilot 側のウィンドウで質問をすることで、いつでも最初のセッションを開始できます。 セッションには、ユーザー アカウントを使用して行った要求が含まれます。 作業ウィンドウを閉じたり、高度な追求ページを更新したりしても、セッションは破棄されません。 必要に応じて、生成されたクエリに引き続きアクセスできます。

チャット バブル アイコン (新しいチャット) を選択して、現在のセッションを破棄します。

設定の変更

Copilot 側ウィンドウで省略記号を選択して、高度なハンティングで生成されたクエリを自動的に追加して実行するかどうかを選択します。

[ 生成されたクエリを自動的に実行 する] 設定をオフにすると、生成されたクエリを自動的に実行 (追加および実行) するか、生成されたクエリをクエリ エディターに追加してさらに変更 (エディターに追加) することができます。