Security Copilot プラグインについて説明する

  • 10 分

Microsoft Security Copilotは、Microsoft独自のセキュリティ製品、Microsoft以外のベンダー、オープンソース インテリジェンス フィード、Web サイト、ナレッジ ベースなど、さまざまなソースと統合され、組織に固有のガイダンスを生成します。

Copilotがこれらのさまざまなソースと統合するメカニズムの 1 つは、プラグインを使用することです。 プラグインはCopilotの機能を拡張します。 このユニットでは、Security Copilotで使用できるプラグインのさまざまなカテゴリについて説明します。

プラグインのカテゴリ

Security Copilotのプラグインは、次のカテゴリに分類されます。

  • Microsoft – Microsoftセキュリティ製品およびサービスからのプラグイン。
  • その他 – Microsoft以外のセキュリティ サービスからのプラグイン。
  • Web サイト – パブリック Web 情報へのアクセスを提供するプラグイン。
  • カスタム – ユーザーまたは組織が開発するプラグイン。

Microsoft プラグイン

Microsoft プラグインを使うと、組織の Microsoft 製品内から情報や機能にアクセスする権限が Copilot に付与されます。 Security Copilotには、プレインストールされたMicrosoftプラグインが多数含まれています。 次の画像は、使用可能な Microsoft プラグインのサブセットのみを示しており、プラグインがリストされている順序は、製品に表示される順序とは異なる場合があります。

Copilot所有者がプラグインのアクセスを制限している場合、制限付きに設定されているプラグインは灰色表示され、制限されます。

使用可能なすべてのMicrosoftプラグインの完全な一覧については、Microsoft Security Copilot ドキュメントの Plugins の概要を参照してください。

Note

プラグインとしてSecurity Copilotと統合する製品は、別途購入する必要があります。

プラグインの主な概念

Security Copilot内での動作を理解するために重要なプラグインに関連するいくつかの重要な概念があります。

Authentication

CopilotのMicrosoftプラグインでは、通常、代理 (OBO) 認証モデルが使用されます。 つまり、Copilotは、顧客が特定の製品のライセンスを持っており、それらの製品に自動的にサインインされることを認識しています。 プラグインが有効になっている場合、Copilotはそれらの製品にアクセスできます。 設定アイコンまたは設定ボタンで示されているように、セットアップを必要とするプラグインには、OBO モデルの代わりに認証に使用される構成可能なパラメーターが含まれている場合があります。

Microsoft以外のプラグインはそれぞれ独自の認証要件を定義します。これには、API キー、OAuth 資格情報、またはその他のサービス固有の資格情報が含まれる場合があります。

プラグインの管理

所有者は、組織全体でプラグインの可用性を制御します。 既定では、すべての所有者と共同作成者は、プレインストールされている Microsoft プラグインと Microsoft 以外のプラグインにアクセスできます。 所有者がプラグインのアクセスを制限すると、利用可能性を次のように設定できます。

  • すべてのユーザー
  • 所有者のみ

アクセスが制限されると、新しいプレインストールされたプラグインは、それ以外の場合に構成されるまで所有者のみが使用できるようになります。 アクセスの制限は、埋め込みエクスペリエンスを含め、Security Copilotのすべてのユーザーに影響を与える即時の変更です。

Microsoft SentinelやAzure AI 検索などの一部のプラグインでは、追加のセットアップが必要です。 歯車アイコンまたは [セットアップ ] ボタンを含むプラグインは、ユーザーごとに構成されます。

システム機能

有効になっている各プラグインは、Copilotで使用できる特定の 1 つのプロンプトというシステム機能を公開します。 有効なプラグインでサポートされているシステム機能を表示するには、プロンプト バーでプロンプト アイコンを選択し、[すべてのシステム機能を表示] を選択します。システム機能を選択するには、通常、有用な応答を得るためにより多くの入力が必要ですが、Copilotガイダンスが提供されます。

選択されるとシステム機能を選択するウィンドウが開くプロンプト アイコンの画面キャプチャ。

Microsoft プラグインの例

以下のセクションでは、プラグインが提供する機能の種類を示すために、2 つのMicrosoft プラグインについて説明します。 Microsoft Security CopilotはMicrosoft製品のサポートを継続的に追加しており、プラグインごとに機能の一覧も増えています。

Microsoft Defender XDR

Microsoft Defender XDR は、侵害前と侵害後のための統合されたエンタープライズ防御スイートであり、エンドポイント、ID、メール、アプリケーション全体にわたって検出、防御、調査、応答をネイティブに調整し、高度な攻撃に対する統合された保護を提供します。

Microsoft Defender XDRに関連するCopilotには、次の 2 つの個別のプラグインがあります。

  • Microsoft Defender XDR – インシデントの要約、ガイド付き対応によるインシデントへの対応、インシデント レポートの作成、デバイスの概要の取得、ファイルとスクリプトの分析などの機能を提供します。
  • Microsoft Defender XDR の KQL に対する自然言語 - 脅威ハンティングのコンテキストでの自然言語の質問を、すぐに実行できる KQL クエリに変換します。 これにより、アナリストのニーズに応じて自動的に実行または調整できる KQL クエリを生成することで、セキュリティ チームの時間を節約できます。

ユーザーに Copilot へのアクセスを許可するロールのアクセス許可によって、Microsoft Defender XDR データへのアクセス レベルが決まります。 Microsoft Defender XDR プラグインつまり Natural language to Defender XDR KQL プラグインを使用するために必要なロールのアクセス許可は、これ以外にはありません。

Copilot での Microsoft Defender XDR の機能はユーザーが使用できる組み込みのプロンプトですが、ユーザーはサポートされている機能に基づいて独自のプロンプトを入力することもできます。

スタンドアロン エクスペリエンスで実行できる Defender XDR の機能の画面キャプチャ。

サンプル プロンプトをいくつか次に示します。

  • インシデント {インシデント番号} を要約します。
  • インシデント {インシデント番号} のガイド付き応答を提供してください。
  • インシデント {インシデント番号} に関係するデバイスは何ですか?

Copilotには、関連するアラート、評判スコア、ユーザー、デバイスを含む、特定のインシデントに関するレポートを取得するために使用できる、Microsoft Defender XDRインシデント調査用の組み込みのプロンプトブックも含まれています。

このプラグインを有効にすると、埋め込みエクスペリエンスを通じて Copilot と Defender XDR の統合を利用することもできます。 埋め込みエクスペリエンスを通じてサポートされるシナリオについては、「Microsoft Security Copilot の埋め込みエクスペリエンスについて説明する」というタイトルのモジュールで詳しく説明します。

Microsoft Sentinel

Microsoft Sentinel は、インテリジェントなセキュリティ分析と脅威インテリジェンスを企業全体に提供します。 Microsoft Sentinel を使用すると、攻撃の検出、脅威の可視化、予防的ハンティング、脅威への対応のための単一ソリューションが得られます。

Microsoft Sentinelに関連するCopilotには、次の 2 つの個別のプラグインがあります。

  • Microsoft Sentinel – インシデントとワークスペースに重点を置いた機能を提供します。 これにより、アナリストはインシデント、関連するアラート、ワークスペース データに関する情報を取得できます。
  • 自然言語からMicrosoft Sentinel KQLへ - 脅威ハンティングのコンテキストで自然言語の質問を即実行可能なKQLクエリに変換します。これにより、セキュリティチームが時間を節約でき、自動実行や調整も可能なクエリを生成します。

Microsoft Sentinelプラグイン内のMicrosoft SentinelとNL2KQLの画面キャプチャ

Microsoft Sentinel プラグインを使用するには、ユーザーには、Copilotへのアクセスを許可するロールアクセス許可と、ワークスペース内のインシデントにアクセスするためのMicrosoft Sentinel閲覧者などのMicrosoft Sentinel固有のロールが必要です。 Microsoft Sentinel プラグインでは、ユーザーが Microsoft Sentinel ワークスペース、サブスクリプション名、リソース グループ名を構成する必要もあります。

Microsoft Sentinel プラグイン設定ページの画面キャプチャ.

サンプル プロンプトをいくつか次に示します。

  • 重大度の高いMicrosoft Sentinelのインシデントから上位5件を取得してください。
  • Microsoft Sentinelからの最新のインシデントを表示します。
  • 私に割り当てられたMicrosoft Sentinelのインシデントを取得します。

Copilotには、Microsoft Sentinelでのインシデント調査を支援するプロンプトブックも含まれています。 このプロンプトブックには、特定のインシデントに関するレポートを取得するためのプロンプトと、関連するアラート、評価スコア、ユーザー、デバイスが含まれています。

Microsoft 以外のプラグイン

Microsoft製品以外にも、Security CopilotはMicrosoft以外のプラグインもサポートしています。

その他のプラグイン

他のプラグインを使用すると、組織が使用するMicrosoft以外のセキュリティ サービスの情報と機能にCopilotアクセスできます。 サポートされているプラグインの一覧は継続的に増加しており、ServiceNow、Splunk、CrowdSec、GrayNoise などのサービスとの統合が含まれています。

Microsoft以外のプラグインのスクリーン キャプチャ。

これらのプラグインへのアクセスには、特定のサービスに対するアカウントとライセンスが必要です。 各プラグインには、API キーやその他の資格情報を含む独自の認証設定が必要です。

Web サイト プラグイン

Web サイト プラグインを使用すると、パブリック Web から業界情報にCopilotアクセスできます。 これらのプラグインは匿名認証を使用するため、追加の構成は必要ありません。

Web サイト プラグインの画面キャプチャ。

カスタム プラグイン

Security Copilot プラットフォームを使用すると、開発者とユーザーは独自のプラグインを作成して特殊なタスクを実行できます。 カスタム プラグインには、次の 2 種類があります。

  • 開発するカスタム Copilot プラグイン。
  • OpenAI の API を使用して開発されたカスタム プラグイン。

すべてのカスタム プラグインには、スキル セットに関するメタデータとスキルを呼び出す方法を記述する YAML または JSON 形式のマニフェスト ファイルが必要です。 所有者の設定によって、カスタム プラグインを追加および管理できるユーザーが決まります。また、組織内の他のユーザーに対してカスタム プラグインを追加および管理することもできます。

2 種類のカスタム プラグインを示す画面キャプチャ。

カスタム プラグインの詳細については、「 独自のカスタム プラグインを作成する」を参照してください。

この短いビデオでは、Microsoft以外のプラグインの設定とカスタム プラグインの追加に関する概要をご覧ください。