重要
この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
Microsoft DefenderのMicrosoft Security Copilotは、脅威ハンティングとセキュリティ分析を強化するための高度なハンティングで 2 つの強力な機能を提供します。
次の表では、これらの機能について説明します。この機能が最適に使用され、予想される出力が示されています。
| 機能 | 説明 | 出力 | エクスペリエンス |
|---|---|---|---|
| 脅威ハンティング エージェント (プレビュー) | 完全な調査、マルチステップハンティング、探索的分析、直接回答の取得に最適な、AI を活用した会話型の脅威ハンティング エージェント | 会話型の回答、Kusto クエリ言語 (KQL) クエリ、結果、分析情報、推奨事項 | 調査に重点を置いた |
| クエリ アシスタント | クエリの生成に最適な KQL クエリ生成に対する自然言語 | KQL クエリと説明 | クエリに重点を置いた |
これらの機能を使用すると、KQL クエリを記述する必要なく、より迅速かつ正確に、より確実に脅威を検出できます。
アクセス権を取得する
Security Copilotにアクセスできるユーザーは、高度なハンティングでこれらの機能を使用できます。
一度に使用できる機能は 1 つだけです。 既定では、脅威ハンティング エージェントはアクティブ モードです。 クエリ アシスタント モードに切り替えるには、Security Copilot側ウィンドウで 3 ドット メニューを選択し、[脅威ハンティング エージェント] スイッチをオフに切り替えます。
注:
- モード間の切り替えは、特定のユーザー環境でのみ使用できます。
- モードを切り替えると、Security Copilotとの会話がリセットされます。
高度なハンティングにおけるSecurity Copilotの範囲
ユース ケースのサポート
Threat Hunting Agent と Query アシスタントは、フィルター操作や集計を含む単純から中規模の複雑さのクエリの生成を完全にサポートします。 複雑なユース ケース (結合、フィルター処理、集計を含むクエリ) はサポートされていますが、その精度を検証することをお勧めします。 不適切なクエリや応答の例 を使用してフィードバックを提供 することで、改善に役立ちます。
ベスト プラクティス
- 明確にしてください。 明確な件名で質問します。 たとえば、"logins" は、デバイス ログインやクラウド ログインを意味する可能性があります。
- 一度に 1 つの質問をします。 一度に 1 つのタスクまたは情報の種類を要求します。 AI モデルが一度に関連しないタスクをいくつか実行することを想定しないでください。 関連のない質問を 1 つのプロンプトに組み合わせる代わりに、常にフォローアップの質問を行うことができます。
- 具体的に指定します。 探しているデータについて何か知っている場合は、その情報を質問に入力してください。
サポートされているテーブル
脅威ハンティング エージェントとクエリ アシスタントでは、高度なハンティングで次のテーブルがサポートされます。
| テーブルのMicrosoft Defender | テーブルのMicrosoft Sentinel |
|---|---|
|
|