次の方法で共有


高度な追求における Microsoft Security Copilot

適用対象:

  • Microsoft Defender
  • Microsoft Defender XDR

高度な追求における Security Copilot

Microsoft DefenderのMicrosoft Security Copilotには、高度なハンティングのクエリアシスタント機能が付属しています。

KQL にまだ精通していない、またはまだ学習していない脅威ハンターまたはセキュリティ アナリストは、要求を行ったり、自然言語で質問したりできます (たとえば、 ユーザー管理者 123 に関連するすべてのアラートを取得します)。 その後 Security Copilot は、高度な追求データ スキーマを使用して、要求に対応する KQL クエリを生成します。

この機能により、追求クエリを最初から作成するのにかかる時間が短縮され、脅威の追求担当者やセキュリティ アナリストが脅威の追求と調査に集中できます。

Security Copilot へのアクセス権を持つユーザーは、高度な追求でこの機能にアクセスできます。

注:

高度なハンティング機能は、Microsoft Defender XDRプラグインを介してSecurity Copilotスタンドアロンエクスペリエンスでも利用できます。 Security Copilotにプレインストールされているプラグインの詳細を確認してください。

最初の要求を試してみる

  1. Microsoft Defender XDR のナビゲーション バーから [高度な追求] ページを開きます。 高度な追求用の Security Copilot 作業ウィンドウが右側に表示されます。

    高度な追求における Copilot ウィンドウのスクリーンショット。

    クエリ エディターの上部にある [Copilot] を選択して、Copilot を再度開くこともできます。

  2. Copilot プロンプト バーで、実行する脅威ハンティング クエリを確認し、 または Enter キーを押します。

    高度なハンティング用のSecurity Copilotのプロンプト バーを示すスクリーンショット。

  3. Copilot が、テキストの指示または質問から KQL クエリを生成します。 Copilot が生成中に、[生成の停止] を選択してクエリの生成をキャンセルできます。

    応答を生成する高度なハンティングでのSecurity Copilotのスクリーンショット。

  4. 生成されたクエリを確認します。 次に、[追加して実行] を選択してクエリを実行することを選択できます。

    クエリ エディターにクエリを追加して実行する Copilot ボタンのスクリーンショット。

    その後、生成されたクエリは、クエリ エディターの最後のクエリとして表示され、自動的に実行されます。

    さらに調整する必要がある場合は、[エディターに追加] を選択します。

    [エディターに追加] オプションを示す高度なハンティングのSecurity Copilotのスクリーンショット。

    生成されたクエリは最後のクエリとしてクエリ エディターに表示されます。これは、実行する前に、クエリ エディターの上にある通常の [クエリを実行] を使用して編集できます。

  5. 生成された応答に関するフィードバックを提供するには、フィードバック アイコン [フィードバックのスクリーンショット] アイコン を選択し、[ 確認]、[ ターゲット外]、または [有害になる可能性がある] を選択します。

ヒント

フィードバックを提供することは、Security Copilot チームに、クエリ アシスタントが役立つ KQL クエリの生成にどの程度役立ったかを知らせる重要な方法です。 是非、クエリを改善できる点や生成された KQL クエリを実行する前に行う必要があった調整などについて説明したり、最終的に使用した KQL クエリを共有したりしてください。

注:

統合Microsoft Defender ポータルでは、Defender XDR テーブルとMicrosoft Sentinel テーブルの両方に対して高度なハンティング クエリを生成するようにSecurity Copilotを求めることができます。 現在、すべてのMicrosoft Sentinelテーブルがサポートされているわけではありませんが、これらのテーブルのサポートは将来予想されます。

クエリ セッション

高度な追求の Copilot 作業ウィンドウで質問することで、いつでも最初のセッションを開始できます。 セッションには、ユーザー アカウントを使用して行った要求が含まれます。 サイド ウィンドウを閉じたり、高度なハンティング ページを更新したりしても、セッションは破棄されません。 必要に応じて、生成されたクエリに引き続きアクセスできます。

チャット バブル アイコン (新しいチャット) を選択して、現在のセッションを破棄します。

新しいチャット アイコンを示す高度なハンティングのSecurity Copilotのスクリーンショット。

設定の変更

Copilot 作業ウィンドウの省略記号を選択して、高度な追求で生成されたクエリを自動的に追加して実行するかどうかを選択します。

詳細設定のSecurity Copilotのスクリーンショット。省略記号の設定アイコンが表示されています。

[生成されたクエリを自動的に実行する] 設定の選択を解除すると、生成されたクエリを自動的に実行するか ([追加して実行])、生成されたクエリをクエリ エディターに追加してさらに変更すること ([エディターに追加]) ができます。