高度な追求における Microsoft Security Copilot
適用対象:
- Microsoft Defender
- Microsoft Defender XDR
高度な追求における Security Copilot
Microsoft DefenderのMicrosoft Security Copilotには、高度なハンティングのクエリアシスタント機能が付属しています。
Kusto クエリ言語 (KQL) にまだ慣れていない、またはまだ学習していない脅威ハンターまたはセキュリティ アナリストは、要求を行ったり、自然言語で質問をしたりできます (たとえば、 ユーザー管理者 123 に関連するすべてのアラートを取得します)。 その後 Security Copilot は、高度な追求データ スキーマを使用して、要求に対応する KQL クエリを生成します。
この機能により、追求クエリを最初から作成するのにかかる時間が短縮され、脅威の追求担当者やセキュリティ アナリストが脅威の追求と調査に集中できます。
Security Copilot へのアクセス権を持つユーザーは、高度な追求でこの機能にアクセスできます。
注:
高度なハンティング機能は、Microsoft Defender XDRプラグインを介してSecurity Copilotスタンドアロンエクスペリエンスでも利用できます。 Security Copilotにプレインストールされているプラグインの詳細を確認してください。
最初の要求を試してみる
Microsoft Defender XDRのナビゲーション バーから [高度なハンティング] ページを開きます。 高度な追求用の Security Copilot 作業ウィンドウが右側に表示されます。
クエリ エディターの上部にある [Copilot] を選択して、Copilot を再度開くこともできます。
Copilot プロンプト バーで、実行する脅威ハンティング クエリを確認し、
または Enter キーを押 します。
Copilot が、テキストの指示または質問から KQL クエリを生成します。 Copilot が生成中に、[生成の停止] を選択してクエリの生成をキャンセルできます。
生成されたクエリを確認します。 Copilot がクエリを作成した方法をチェックするには、[クエリ テキストの下にあるクエリの背後にあるロジックを確認する] を選択して、クエリの背後にある説明を展開します。 最小化するには、もう一度選択します。
その後、[クエリの実行] を選択してクエリを実行することもできます。
その後、生成されたクエリは、クエリ エディターの最後のクエリとして表示され、自動的に実行されます。
さらに調整する必要がある場合は、[エディターに追加] を選択します。
生成されたクエリは最後のクエリとしてクエリ エディターに表示されます。これは、実行する前に、クエリ エディターの上にある通常の [クエリを実行] を使用して編集できます。
生成された応答に関するフィードバックを提供するには、フィードバック アイコン
を選択し、[ 正しく表示]、[ 改善が必要] 、または [不適切] を選択します。
ヒント
フィードバックを提供することは、Security Copilot チームに、クエリ アシスタントが役立つ KQL クエリの生成にどの程度役立ったかを知らせる重要な方法です。 クエリを改善できる内容、生成された KQL クエリを実行する前に行う必要がある調整、または最終的に使用した KQL クエリを共有する方法を自由に明確にしてください。
注:
統合Microsoft Defender ポータルでは、Defender XDR テーブルとMicrosoft Sentinel テーブルの両方に対して高度なハンティング クエリを生成するようにSecurity Copilotを求めることができます。 現在、すべてのMicrosoft Sentinelテーブルがサポートされているわけではありませんが、これらのテーブルのサポートは将来予想されます。
クエリ セッション
高度な追求の Copilot 作業ウィンドウで質問することで、いつでも最初のセッションを開始できます。 セッションには、ユーザー アカウントを使用して行った要求が含まれます。 サイド ウィンドウを閉じたり、高度なハンティング ページを更新したりしても、セッションは破棄されません。 必要に応じて、生成されたクエリに引き続きアクセスできます。
チャット バブル アイコン (新しいチャット) を選択して、現在のセッションを破棄します。
クエリの説明
設定の変更
Copilot 作業ウィンドウの省略記号を選択して、高度な追求で生成されたクエリを自動的に追加して実行するかどうかを選択します。
[生成されたクエリを自動的に実行する] 設定の選択を解除すると、生成されたクエリを自動的に実行するか ([追加して実行])、生成されたクエリをクエリ エディターに追加してさらに変更すること ([エディターに追加]) ができます。