次の方法で共有

高度なハンティングにおけるセキュリティのための Microsoft Copilot

  • [アーティクル]

適用対象:

  • Microsoft Defender
  • Microsoft Defender XDR

高度なハンティングにおけるセキュリティのための Copilot

Microsoft Defender の Microsoft Copilot for Security には、高度なハンティングのクエリ アシスタント機能が付属しています。

KQL にまだ精通していない、またはまだ学習していない脅威ハンターまたはセキュリティ アナリストは、要求を行ったり、自然言語で質問したりできます (たとえば、 ユーザー管理者 123 に関連するすべてのアラートを取得します)。 その後、Copilot for Security は、高度なハンティング データ スキーマを使用して要求に対応する KQL クエリを生成します。

この機能により、追求クエリを最初から作成するのにかかる時間が短縮され、脅威の追求担当者やセキュリティ アナリストが脅威の追求と調査に集中できます。

Copilot for Security にアクセスできるユーザーは、高度なハンティングでこの機能にアクセスできます。

注:

高度なハンティング機能は、Microsoft Defender XDR プラグインを通じて Copilot for Security スタンドアロン エクスペリエンスでも利用できます。 Copilot for Security にプレインストールされているプラグインの詳細を確認してください。

最初の要求を試してみる

  1. Microsoft Defender XDR のナビゲーション バーから 高度なハンティング ページを開きます。 高度なハンティング用の [Copilot for Security] サイド ウィンドウが右側に表示されます。

    高度なハンティングの [Copilot] ウィンドウのスクリーンショット。

    クエリ エディターの上部にある [Copilot] を選択して 、Copilot を再度開くこともできます。

  2. Copilot プロンプト バーで、実行する脅威ハンティング クエリを確認し、Enter キーを押します。

    高度なハンティングのための Copilot for Security のプロンプト バーを示すスクリーンショット。

  3. Copilot は、テキスト命令または質問から KQL クエリを生成します。 Copilot の生成中は、[生成の停止] を選択してクエリの 生成を取り消すことができます。

    応答を生成する高度なハンティングでの Copilot for Security のスクリーンショット。

  4. 生成されたクエリを確認します。 その後、[追加して実行] を選択してクエリを 実行できます。

    クエリ エディターにクエリを追加して実行するを示す Copilot ボタンのスクリーンショット。

    その後、生成されたクエリは、クエリ エディターの最後のクエリとして表示され、自動的に実行されます。

    さらに調整する必要がある場合は、[エディターに追加] を選択します。

    [エディターに追加] オプションを示す高度なハンティングでの Copilot for Security のスクリーンショット。

    生成されたクエリは最後のクエリとしてクエリ エディターに表示されます。これは、実行する前に、クエリ エディターの上にある通常の [クエリを実行] を使用して編集できます。

  5. 生成された応答に関するフィードバックを提供するには、フィードバック アイコン [フィードバックのスクリーンショット] アイコン を選択し、[ 確認]、[ ターゲット外]、または [有害になる可能性がある] を選択します。

ヒント

フィードバックの提供は、クエリ アシスタントが役立つ KQL クエリの生成にどの程度役立ったかを Copilot for Security チームに知らせる重要な方法です。 是非、クエリを改善できる点や生成された KQL クエリを実行する前に行う必要があった調整などについて説明したり、最終的に使用した KQL クエリを共有したりしてください。

注:

統合された Microsoft Defender ポータルでは、Copilot for Security に対して、Defender XDR テーブルと Microsoft Sentinel テーブルの両方に対して高度なハンティング クエリを生成するように求めることができます。 現在、すべての Microsoft Sentinel テーブルがサポートされているわけではありませんが、これらのテーブルのサポートは将来予想されます。

クエリ セッション

高度なハンティングで Copilot 側のウィンドウで質問をすることで、いつでも最初のセッションを開始できます。 セッションには、ユーザー アカウントを使用して行った要求が含まれます。 サイド ウィンドウを閉じたり、高度なハンティング ページを更新したりしても、セッションは破棄されません。 必要に応じて、生成されたクエリに引き続きアクセスできます。

チャット バブル アイコン (新しいチャット) を選択して、現在のセッションを破棄します。

新しいチャット アイコンを示す高度なハンティングでの Copilot for Security のスクリーンショット。

設定の変更

Copilot 側ウィンドウで省略記号を選択して、高度なハンティングで生成されたクエリを自動的に追加して実行するかどうかを選択します。

設定の省略記号アイコンを示す高度なハンティングの Copilot for Security のスクリーンショット。

[ 生成されたクエリを自動的に実行 する] 設定をオフにすると、生成されたクエリを自動的に実行 (追加および実行) するか、生成されたクエリをクエリ エディターに追加してさらに変更 (エディターに追加) することができます