Copilot for Security における Microsoft Sentinel のインシデントについて
Microsoft Copilot for Security は、マシンの速度とスケールで組織を守ることを支援するプラットフォームです。 Microsoft Sentinel には、インシデントの分析とハンティング クエリの生成に役立つ Copilot 用のプラグインが用意されています。
有効にしたその他の高度な Copilot for Security ソースを使用する反復プロンプトとの組み合わせによって、Microsoft Sentinel のインシデントとデータは、脅威とその組織にとってのコンテキストに対するより広い可視性をもたらします。
Copilot for Security の詳細については、以下の記事を参照してください。
- Microsoft Copilot for Security の概要
- Microsoft Copilot for Security でプラグインを管理する
- Microsoft Copilot for Security での認証について
Microsoft Sentinel を Copilot for Security と統合する
Microsoft Sentinel には、Copilot for Security との統合用の以下の 2 つのプラグインが用意されています。
- Microsoft Sentinel (プレビュー)
- Natural Language to KQL for Microsoft Sentinel (プレビュー)。
重要
"Microsoft Sentinel" プラグインと "Natural Language to KQL for Microsoft Sentinel" プラグインは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。
既定の Microsoft Sentinel ワークスペースを構成する
Microsoft Sentinel ワークスペースを既定として構成することで、プロンプトの精度を高めます。
Copilot for Security (https://securitycopilot.microsoft.com/) に移動します。
プロンプト バーの [ソース] を開きます。
[プラグインの管理] ページで、トグルを [オン] に設定します
Microsoft Sentinel (プレビュー) プラグインの歯車アイコンを選択します。
既定のワークスペース名を構成します。
ヒント
ワークスペースが構成された既定値と一致しない場合は、プロンプトでワークスペースを指定します。
例: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Microsoft Sentinel を Copilot in Defender と統合する
埋め込まれた Copilot for Security エクスペリエンスのために、統合セキュリティ オペレーション プラットフォームと Microsoft Sentinel データを使用します。 Defender ポータル内の Microsoft Sentinel の統合インシデントにより、Copilot in Defender は Microsoft Sentinel データに関して自身の機能を使用できます。
次に例を示します。
- SAP (プレビュー) ソリューションは、Microsoft Sentinel 用のワークスペースにインストールされます。
- 凖リアルタイム ルール SAP - (プレビュー) 悪意のある IP アドレスからダウンロードされたファイルはアラートをトリガーし、Microsoft Sentinel インシデントを作成します。
- Microsoft Sentinel は統合セキュリティ オペレーション プラットフォームに追加されました。
- Microsoft Sentinel インシデントは Defender XDR インシデントと統合されました。
- インシデント要約、ガイド付き応答、インシデント レポートについては、Copilot in Microsoft Defender を使用します。
詳細については、次のリソースを参照してください。
高度な追求で Microsoft Sentinel を Copilot for Security と統合する
Natural Language to KQL for Microsoft Sentinel (プレビュー) プラグインは、Microsoft Sentinel データを使用して KQL ハンティング クエリを生成して実行します。 この機能は、Microsoft Defender ポータルのスタンドアロン エクスペリエンスと高度な追求のセクションで利用できます。
Note
統合された Microsoft Defender ポータルでは、Copilot for Security に対して、Defender XDR テーブルと Microsoft Sentinel テーブルの両方に対して高度な追求クエリを生成するように指示することができます。 現在、すべての Microsoft Sentinel テーブルがサポートされているわけではありませんが、これらのテーブルは今後サポートされる予定です。
詳細については、「高度な追求における Copilot for Security」を参照してください。
Microsoft Sentinel プロンプトを改善する
Microsoft Sentinel インシデント調査プロンプトブックは、効果的なプロンプトを作成するための開始点とすることができます。 このプロンプトブックは、特定のインシデントと関連アラート、評価スコア、ユーザー、デバイスに関するレポートを提供します。
ガイダンス | プロンプト |
---|---|
オブジェクト ID で応答するのではなく、人間が判読できる情報を提供するように Copilot に促します。 | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
Copilot はあなたが誰であるかを知っています。 代名詞 "me" を使用して、自分に関連するインシデントを見つけます。 次のプロンプトは、自分に割り当てられたインシデントを対象とします。 | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
プロンプト応答を 1 つのインシデントに絞り込むと、Copilot はコンテキストを認識します。 | Tell me about the entities associated with that incident. |
Copilot は要約を得意とします。 プロンプトと応答の要約の具体的な対象者を記述します。 | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
プロンプトに関するガイダンスとサンプルがさらに必要な場合は、以下のリソースを参照してください。