高度なハンティング クエリ アシスタントのMicrosoft Security Copilot

Microsoft DefenderのMicrosoft Security Copilotには、高度なハンティング用のクエリアシスタント機能が含まれています。

Kusto クエリ言語 (KQL) に精通していない、または学習していない脅威ハンターまたはセキュリティ アナリストは、要求を行ったり、自然言語で質問したりできます (たとえば、 ユーザー管理者 123 に関連するすべてのアラートを取得する)。 Security Copilot高度なハンティング データ スキーマを使用して、要求に一致する KQL クエリを生成します。

この機能により、ハンティング クエリをゼロから作成するのにかかる時間が短縮されるため、脅威ハンターやセキュリティ アナリストは脅威のハンティングと調査に集中できます。

Security Copilotにアクセスできるユーザーは、高度なハンティングでこの機能を使用できます。

最初の要求を試してみる

クエリ アシスタントの使用を開始するには、次の手順に従います。

1. ポータルのナビゲーション バーから [高度なハンティング] ページMicrosoft Defender開きます。 高度な追求用の Security Copilot 作業ウィンドウが右側に表示されます。

   

   クエリ エディターの上部にある [Copilot] を選択して、Copilot を再度開くこともできます。

2. Copilot プロンプト バーで、実行する脅威ハンティング クエリを確認し、または Enter キーを押します。

   

3. Copilot が、テキストの指示または質問から KQL クエリを生成します。 Copilot が生成中に、[生成の停止] を選択してクエリの生成をキャンセルできます。

   

4. 生成されたクエリを確認します。 Copilot がクエリを作成した方法をチェックするには、[クエリ テキストの下にあるクエリの背後にあるロジックを確認する] を選択して、クエリの背後にある説明を展開します。 最小化するには、もう一度選択します。

   

   その後、[クエリの実行] を選択してクエリを実行することもできます。

   

   その後、生成されたクエリは、クエリ エディターの最後のクエリとして表示され、自動的に実行されます。

   さらに調整する必要がある場合は、[エディターに追加] を選択します。

   

   生成されたクエリは最後のクエリとしてクエリ エディターに表示されます。これは、実行する前に、クエリ エディターの上にある通常の [クエリを実行] を使用して編集できます。

5. 生成された応答に関するフィードバックを提供するには、フィードバック アイコン を選択し、[ 正しく表示]、[ 改善が必要] 、または [不適切] を選択します。

設定の変更

Copilot 側ウィンドウの 3 つのドット メニューを選択して、高度なハンティングで生成されたクエリを自動的に追加して実行するかどうかを選択します。

[ 生成されたクエリを自動的に実行 する] 設定の選択を解除した場合は、生成されたクエリを自動的に実行 (追加して実行) するか、生成されたクエリをクエリ エディターに追加してさらに変更 (エディターに追加) することができます。