Microsoft Defender XDR の Copilot について説明する

Microsoft Security CopilotはMicrosoft Defender ポータルに埋め込まれており、セキュリティ チームはインシデントを迅速かつ効率的に調査して対応し、脅威を探し、関連する脅威インテリジェンスを使用して組織を保護できます。

次の簡単なビデオでは、Microsoft Defender に埋め込まれている Copilot 機能の一部と、セキュリティ アナリストの生産性を向上させる方法を示します。

プロンプト応答に関するフィードバックの提供や、スタンドアロン エクスペリエンスへのシームレスな移行を含む、これらすべての機能に共通するオプションもあります。

導入ユニットで説明したように、埋め込みエクスペリエンスでは、Copilot は製品固有の機能を直接呼び出すことができ、処理が効率的になります。 これらのMicrosoft Security Copilot機能に確実にアクセスするには、Microsoft Defender XDR プラグインを有効にする必要があります。これはスタンドアロン エクスペリエンスを通じて行われます。 詳細については、スタンドアロンの Microsoft Security Copilot エクスペリエンスで使用できる機能の説明に関する記事を参照してください。

インシデントを要約する

Copilot、インシデントのページに移動すると、概要が自動的に作成されます。この概要には、発生した内容、関連する資産、攻撃のタイムライン、侵害のインジケーター (IOC)、関連する脅威アクターの名前などの重要な情報が含まれます。 最大 100 件のアラートを含むインシデントは、1 つのインシデントの概要にまとめることができます。

Copilotでは、関連する ID、デバイス、IP アドレスに関するフォローアップ プロンプトも提案され、関連する資産と動作方法を理解するのに役立ちます。

ガイド付き応答

Copilotは、AI と機械学習を使用してインシデントをコンテキスト化し、以前の調査から学習して適切な対応アクションを生成します。 ガイド付き応答では、次のカテゴリのアクションが推奨されます。

• トリアージ - インシデントを情報、真陽性、または誤検知として分類するための推奨事項が含まれています。
• 封じ込め - インシデントを封じ込めるための推奨されるアクションを含む。
• 調査 - さらに調査するための推奨されるアクションが含まれます。
• 修復 - インシデントに関係する特定のエンティティに適用する推奨される応答アクションが含まれます。

各カードには、アクションが推奨される理由など、推奨されるアクションに関する情報が含まれています。 管理者は、organization固有の応答ガイドラインをアップロードして、環境に合わせて推奨事項を調整することもできます。 ガイド付き応答は、フィッシング、ビジネス メールの侵害、ランサムウェアなどのインシデントの種類で使用できます。

スクリプトとコマンド ライン分析

高度な攻撃は、一般的に難読化されたスクリプトとコマンド ラインを使用して検出を回避します。 スクリプト分析機能を使用すると、セキュリティ チームは外部ツールを使用せずにスクリプトとコードを検査し、スクリプトが悪意があるか無害であるかを迅速に評価できます。

Copilotはスクリプトを分析し、スクリプト分析カードに結果を表示します。このカードには、スクリプトが何をするのかを平易な言葉で説明し、それが悪意あるものかどうか、そしてどのMITRE ATT&CK技術を使用しているかが含まれています。 ユーザーは、[コードの表示] を選択して、分析に関連する特定のコード行を表示できます。 スクリプトまたはコードで構成されるタイムライン エントリについては、インシデント内のアラート タイムラインでスクリプト分析にアクセスできます。

KQL クエリを生成する

Microsoft DefenderのCopilotには、自然言語の質問をすぐに実行できる KQL クエリに変換する高度なハンティングのクエリ アシスタント機能が含まれています。 この機能により、ハンティング クエリをゼロから作成する時間が短縮され、脅威ハンターやセキュリティ アナリストが脅威の検出と調査に集中できるようになります。

プロンプト バーを使用すると、アナリストは自然言語を使用して脅威ハンティング クエリを要求できます 。たとえば、"過去 10 分以内にサインインしたすべてのデバイスを提供してください" などです。生成されたクエリは、自動的に実行したり、クエリ エディターに追加してさらに微調整したり、別の場所で使用するためにコピーしたりできます。

インシデント レポートを作成する

Copilotを使用すると、セキュリティ チームはポータル内に広範なインシデント レポートをすぐに作成できます。 インシデントの概要には、発生した内容の概要が示されますが、インシデント レポートには、Microsoft SentinelおよびMicrosoft Defender XDRで使用できるさまざまなデータ ソースからのインシデント情報が統合されています。

インシデント レポートには、主要な管理アクションのタイムスタンプ、関連するアナリスト、アナリストコメントを含むインシデント分類、調査と修復アクション (Microsoft Sentinel プレイブックを含む手動と自動化の両方)、アナリストが記録したフォローアップ アクションが含まれます。

ファイルの分析

Copilotを使用すると、セキュリティ チームは、AI を利用したファイル分析機能を使用して、悪意のある疑わしいファイルをすばやく特定できます。 アナリストがファイル ページを開くと、Copilotは、検出情報、関連するファイル証明書、API 呼び出しの一覧、ファイル内の文字列を含む概要を生成できます。 ファイルには、インシデントの証拠と応答タブ、インシデント グラフ、または検索機能からアクセスできます。

デバイスと ID を要約する

DefenderのCopilotでは、デバイスと ID の概要を生成して、セキュリティ チームが調査中にセキュリティ体制をすばやく評価するのに役立ちます。

Device の概要には、攻撃表面の縮小や改ざん防止などの保護機能の状態、異常なユーザー アクティビティ、脆弱なソフトウェアの一覧、ファイアウォール設定、関連するMicrosoft Intune情報に関する情報を含むデバイスのセキュリティ体制が含まれます。

Identity の概要は、アカウントの作成日、重要度レベル、ロールとロールの変更、サインインの動作とパターン、認証方法、Microsoft Entra IDからのリスク、連絡先情報など、ユーザー ID のコンテキスト概要を提供します。

脅威情報

Copilotは、Microsoft Defender ポータルの脅威インテリジェンス セクションに埋め込まれており、セキュリティ チームが脅威インテリジェンス データを統合して要約することで、情報に基づいた意思決定を行うのに役立ちます。 Copilotに、環境に影響を与える関連する脅威を要約したり、組織の露出レベルに基づいて脅威に優先順位を付けたり、業界をターゲットにしている可能性のある脅威アクターを見つけたりすることができます。 Copilotは、Microsoft Defender 脅威インテリジェンス プラグインを使用して、脅威分析レポート、Intel プロファイル、脆弱性漏えいの概要をすべて自然言語で表示します。

主要な機能全体に共通の機能

Microsoft DefenderのCopilotの機能全体で共通するオプションがいくつかあります。

フィードバックの提供

スタンドアロン エクスペリエンスと同様に、埋め込みエクスペリエンスは、AI によって生成された応答の精度に関するフィードバックを提供するメカニズムをユーザーに提供します。 AI によって生成されたコンテンツの場合は、コンテンツ ウィンドウの右下にあるフィードバック プロンプトを選択し、使用可能なオプションから選択できます。

スタンドアロン エクスペリエンスに移行する

Defender ポータルで開始する調査担当者は、スタンドアロン エクスペリエンスに簡単に移行して、より詳細な製品間調査を行うことができます。これにより、ロールに対して有効になっているすべてのCopilot機能を利用できます。 スタンドアロン エクスペリエンスに移行するには、生成されたコンテンツ ウィンドウ内の省略記号を選択し、[Security Copilot で開く] を選びます。