次の方法で共有

Microsoft Defender の Microsoft Copilot

  • [アーティクル]
  • 適用対象:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

注:

Microsoft Defender XDRは、Microsoft Defender for Endpoint、Microsoft Defender for Identity、および脆弱性管理のMicrosoft Defender for Office 365、Microsoft Defender for Cloud Apps、およびMicrosoft Defender。 この侵害前および侵害後の防御スイートの詳細については、「Microsoft Defender XDRとは」を参照してください。

この記事では、Microsoft DefenderのMicrosoft Copilotのユーザーの概要について説明します。これには、アクセス手順、主要な機能、これらの機能の詳細へのリンクが含まれます。

はじめに

Security Copilotを初めて使用する場合は、次の記事を読んで理解する必要があります。

Microsoft DefenderでのMicrosoft Copilot統合

Microsoft Security Copilotは、AI と人間の専門知識の力を組み合わせて、セキュリティ チームが攻撃に迅速かつ効果的に対応できるようにします。 Security Copilotは、Microsoft Defender ポータルに埋め込まれており、セキュリティ チームにインシデントの調査と対応、脅威の捜索、関連する脅威インテリジェンスによるorganizationの保護のための強化された機能を提供します。 Defender の Copilot は、Security Copilotへのアクセスをプロビジョニングしたユーザーが利用できます。

主な機能

エキスパートのようにインシデントを調査して対応する

セキュリティ チームが攻撃の調査に適時に簡単かつ正確に取り組むことができるようになります。 Copilot は、チームが攻撃をすぐに理解し、疑わしいファイルやスクリプトをすばやく分析し、適切な軽減策を迅速に評価して適用して攻撃を阻止し、含めるのに役立ちます。

インシデントをすばやく要約する

複数のアラートを含むインシデントの調査は、困難な作業になる可能性があります。 インシデントをすぐに理解するには、Copilot をタップしてインシデントを要約します。 Copilot は、攻撃の概要を作成します。 概要には、攻撃で発生した内容、関与する資産、攻撃のタイムラインを理解するための重要な情報が含まれています。 インシデントのページに移動すると、Copilot によって自動的に概要が作成されます。

Microsoft Defender インシデント ページに表示されている Copilot ウィンドウのインシデントの概要カードのスクリーンショット。

ガイド付き対応を通じてインシデントに対するアクションを実行する

インシデントを解決するには、アナリストが攻撃について理解し、適切な解決策を把握する必要があります。 Copilot は、各インシデントに固有のガイド付きの応答を通じたソリューションをおすすめします。

Microsoft Defender インシデント ページのガイド付き応答を含む Copilot ウィンドウを強調表示するスクリーンショット。

スクリプト分析を簡単に実行する

ほとんどの攻撃者は、検出と分析を回避するために、攻撃を開始するときに高度なマルウェアに依存しています。 通常、これらのマルウェアは難読化され、PowerShell のスクリプトまたはコマンド ライン形式である可能性があります。 Copilot では、すばやくスクリプトを分析し、調査の時間を短縮できます。

インシデント ページの攻撃ストーリー ビューのスクリプト分析ボタンを強調表示するスクリーンショット。

デバイスの概要を生成する

インシデントに関連するデバイスの調査は、タスク ジョブになる可能性があります。 デバイスをすばやく評価するために、Copilot は、デバイスのセキュリティ態勢、異常な動作、脆弱なソフトウェアのリスト、関連する Microsoft Intune 情報など、デバイスの情報を要約できます。

Defender の Copilot でのデバイス概要の結果のスクリーンショット。

ファイルを迅速に分析する

Copilot は、ファイル分析を使用して、セキュリティ チームが疑わしいファイルをすばやく評価して理解する上で役立ちます。 Copilot は、検出情報、関連するファイル証明書、API 呼び出しのリスト、ファイル内の文字列などといった、ファイルの概要を提供します。

[詳細の非表示] オプションが強調表示された Defender の Copilot のファイル分析結果のスクリーンショット。

ID をすぐに調査する

Copilot で ID の概要 を生成することで、ユーザーのリスクをすばやく評価します。 ユーザーのロールとロールの変更、サインイン動作、サインイン先のデバイス、および関連する連絡先情報に関するコンテキスト化された情報で、ID が危険にさらされているか、疑わしい状況を特定します。

ユーザーの詳細ウィンドウの [集計] オプションを示すスクリーンショット。

インシデント レポートを効率的に作成する

セキュリティ運用チームは通常、重要な情報を記録するレポートを作成します。これには、実行された対応アクション、対応する結果、関連するチーム メンバー、および将来のセキュリティの決定と学習に役立つその他の情報が含まれます。 多くの場合、インシデントの文書化には時間がかかる場合があります。 インシデント レポートを有効にするには、インシデントの概要と、誰がいつどのようなアクションを実行したかなど、実行されたアクションが含まれている必要があります。 Copilot は、これらの情報をすばやく統合することで、インシデント レポートを生成します。

カードの上半分を示すインシデント ページのインシデント レポート カードのスクリーンショット。

プロのように追求する

Defender の Copilot は、セキュリティ チームが適切な KQL クエリを迅速に構築することで、ネットワーク内の脅威を積極的に探す上で役立ちます。

自然言語入力から KQL クエリを生成する

高度なハンティングを使用してネットワーク内の脅威を事前に検出するセキュリティ チームは、脅威ハンティングのコンテキストで自然言語の質問をすぐに実行できる KQL クエリに変換するクエリ アシスタントを使用できるようになりました。 クエリ アシスタントは、アナリストのニーズに応じて自動的に実行または調整できる KQL クエリを生成することで、セキュリティ チームの時間を節約します。 「高度な追求における Security Copilot のクエリ アシスタントの詳細」 をご覧ください。

高度な追求の [Copilot] ウィンドウのスクリーンショット。

関連する脅威インテリジェンスで組織を保護する

セキュリティ組織が最新の脅威インテリジェンスを使用して、情報に基づいた意思決定を行えるようにします。 Copilot は脅威インテリジェンスを統合して要約し、セキュリティ チームが脅威に優先順位を付けて効果的に対応できるようにします。

脅威インテリジェンスの監視

Copilot に、環境に影響を与える関連する脅威の要約、露出レベルに基づく脅威の解決の優先順位付け、または業界を対象にしている可能性のある脅威アクターの検索を依頼します。 脅威インテリジェンスのSecurity Copilotの詳細をご覧ください。

Defender XDR の脅威インテリジェンスの [Copilot] ウィンドウのスクリーンショット。

Defender の Copilot にアクセスする

Defender で Copilot に確実にアクセスできるようにするには、Security Copilot購入とライセンスに関する情報を参照してください。 Security Copilotにアクセスすると、主要な機能がMicrosoft Defender ポータルで使用できるようになります。

Copilot のサンプル プロンプト

Microsoft Defender ポータルには、いくつかの Copilot 機能を移動して使用するのに役立つサンプル プロンプトがあります。 プロンプトは、これらの機能とそれらを効果的に使用する方法を理解するのに役立つよう設計されています。 ポータルに表示されるプロンプトの例を次に示します。

高度なハンティング プロンプト:

高度なハンティング ページで Copilot プロンプトが強調表示されているスクリーンショット。

脅威インテリジェンスのプロンプト:

脅威インテリジェンス ページの Copilot プロンプトを強調表示しているスクリーンショット。

自然言語プロンプトを使用して、Security Copilotスタンドアロン ポータルで調査を拡張できます。 次に示すのは、推奨事項を含むインシデントを要約するのに役立つプロンプト バーに入力できるサンプル プロンプトです。

  • Summarize incident {incident number}」と入力し、インシデントの概要と推奨事項を生成するための一連の推奨事項で終了 します。
  • 「スクリプト 内のインジケーターの評判について何を教えてください」と入力します。悪意がありますか?もしそうなら、なぜ? スクリプトを分析し、スクリプトに関する詳細を生成します。

Copilot でプロンプトを表示すると、機能を効果的に移動して使用できます。 プロンプト バーを使用して、KQL クエリの生成、インシデントの要約、ファイルの分析を行うこともできます。 有効なプロンプトで有効なプロンプトを作成するためのヒント 参照してください。 また、事前構築済みのプロンプトブックを使用して、Copilot の使用を開始することもできます。 プロンプトブックの詳細については、「 Copilot のプロンプトブック」を参照してください。

フィードバックの提供

Defender の Copilot のすべての機能には、フィードバックを提供するためのオプションが設けられています。 フィードバックを提供するには、次の手順を実行します。

  1. フィードバック アイコンを選択します。Defender カードの Copilot のフィードバック アイコンのスクリーンショット。Copilot 側パネルの結果カードの下部にあります。
  2. 結果 正確であると判断した場合は、[右に表示] を選択します。 次のダイアログ ボックスに詳細情報を入力することができます。
  3. 結果が不足しているか不完全と評価した場合は、[ 改善が必要 ] を選択します。 次のダイアログ ボックスで評価に関する詳細情報を入力し、この評価を Microsoft に送信できます。
  4. [ 不適切] を選択して、疑わしい情報やあいまいな情報が含まれている場合は、結果を報告することもできます。 次のダイアログ ボックスで結果の詳細を入力し、[送信] を選択します。

プライバシーとデータ セキュリティ

Copilot は、管理者が定義した設定に応じて、格納処理、そして共有 されたデータを使用して、継続的に進化します。 Microsoft は、Copilot を使用する際に、お客様のデータが常に保護され、安全であることを保証します。 Copilot のプライバシーとデータのセキュリティとの詳細については、「Copilot におけるプライバシーとデータのセキュリティ」をご覧ください。

進化が止まらないゆえに、Copilot は何かを見逃してしまうこともありえます。 結果に対するレビューとフィードバックの提供は、Copilot の将来の対応を改善する上で役立ちます。

Security Copilotのプラグイン

Copilot では、Microsoft Defender XDR、Defender 脅威インテリジェンス、Microsoft Sentinel 用の KQL への自然言語、Defender XDR プラグインといったプレインストールされた Microsoft プラグインを使用して、関連情報を生成し、インシデントに対してより多くのコンテキストを提供し、より正確な結果を生成します。 Copilot でプラグインが有効になっていることを確認して、関連するデータへのアクセスを許可し、組織内の他の Microsoft サービスから要求されたコンテンツを生成します。

次の手順

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。