Microsoft Security Copilot は、マシンの速度とスケールで組織を守ることを支援するプラットフォームです。 Microsoft Sentinel の大規模なセキュリティ データには、インシデントの分析とハンティング クエリの生成に役立つ Copilot 用の優れたソースが用意されています。
有効にしたその他の Security Copilot ソースとの組み合わせによって、Microsoft Sentinel のインシデントとデータは、脅威とその組織にとってのコンテキストに対するより広い可視性をもたらします。
はじめに
Security Copilot を初めて使用する場合は、次の記事を読んで理解する必要があります。
- Microsoft Security Copilot とは
- Microsoft Security Copilot エクスペリエンス
- Microsoft Security Copilot の概要
- Microsoft Security Copilot での認証について
- Microsoft Security Copilot でのプロンプト作成
Microsoft Sentinel と Security Copilot の統合
この統合は主に、https://securitycopilot.microsoft.com を介してアクセスされるスタンドアロン エクスペリエンスをサポートします。この場合、チャットのようなエクスペリエンスで操作して、インシデントを要約し、セキュリティ データに関するその他の回答を取得します。 詳細については、Microsoft Security Copilot エクスペリエンスに関する記事を参照してください。
主要な機能
Microsoft Sentinel データは、次のように Defender ポータルの Security Copilot と統合されます。
- また、Microsoft Defender XDR を使用している場合、Microsoft Defender XDR の Copilot は、Microsoft Sentinel と統合された統合インシデントの恩恵を受けます。
- スタンドアロン エクスペリエンスでは、Microsoft Sentinel は Security Copilot と統合するための次のプラグインを提供します。
Microsoft Sentinel (プレビュー)
Natural Language to KQL for Microsoft Sentinel (プレビュー)。
Microsoft Sentinel と Microsoft Security Copilot との統合を有効にする
Microsoft Sentinel と Microsoft Security Copilot との統合を最大限に活用するには、次の操作を行います。
- Security Copilot の既定の Microsoft Sentinel ワークスペースを構成する
- Microsoft Sentinel ワークスペースを Microsoft Defender XDR に接続する
既定の Microsoft Sentinel ワークスペースを構成する
Microsoft Sentinel ワークスペースを既定として構成することで、プロンプトの精度を高めます。
https://securitycopilot.microsoft.com/ にある Security Copilot タブに移動します。
プロンプト バーの [ソース]
を開きます。[プラグインの管理] ページで、トグルを [オン] に設定します
Microsoft Sentinel (プレビュー) プラグインの歯車アイコンを選択します。
既定のワークスペース名を構成します。
ヒント
ワークスペースが構成された既定値と一致しない場合は、プロンプトでワークスペースを指定します。
例: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?
Microsoft Sentinel を Copilot in Defender と統合する
埋め込みの Security Copilot エクスペリエンスを実現するには、Microsoft Sentinel データと共に Microsoft Defender ポータルを使用します。 Microsoft Defender XDR 統合インシデントに流れ込む Microsoft Sentinel 固有のデータ ソースを使用すると、Copilot in Defendert がその機能を最大限に活用できます。
次に例を示します。
- SAP (プレビュー) ソリューションは、Microsoft Sentinel 用のワークスペースにインストールされます。
- 凖リアルタイム ルール SAP - (プレビュー) 悪意のある IP アドレスからダウンロードされたファイルはアラートをトリガーし、Microsoft Sentinel インシデントを作成します。
- Microsoft Sentinel は、Defender ポータルにオンボードされました。
- Microsoft Sentinel インシデントは Defender XDR インシデントと統合されました。
- インシデント要約、ガイド付き応答、インシデント レポートについては、Copilot in Microsoft Defender を使用します。
詳細については、次のリソースを参照してください。
- Microsoft Defender XDR を統合する
- Microsoft Defender ポータルの Microsoft Sentinel
- Microsoft Defender の Copilot
高度な追求で Microsoft Sentinel を Security Copilot と統合する
Natural Language to KQL for Microsoft Sentinel (プレビュー) プラグインは、Microsoft Sentinel データを使用して KQL ハンティング クエリを生成して実行します。 この機能は、Microsoft Defender ポータルのスタンドアロン エクスペリエンスと高度な追求のセクションで利用できます。
注
統合された Microsoft Defender ポータルでは、Security Copilot に対して、Defender XDR テーブルと Microsoft Sentinel テーブルの両方に対して高度な追求クエリを生成するように指示することができます。 現在、すべての Microsoft Sentinel テーブルがサポートされているわけではありません。
詳細については、「高度な追求における Security Copilot」を参照してください。
Microsoft Sentinel プロンプトの例
Microsoft Sentinel インシデント調査プロンプトブックは、効果的なプロンプトを作成するための開始点とすることができます。 このプロンプトブックは、特定のインシデントと関連アラート、評価スコア、ユーザー、デバイスに関するレポートを提供します。
| ガイダンス | プロンプト |
|---|---|
| オブジェクト ID で応答するのではなく、人間が判読できる情報を提供するように Copilot に促します。 | Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created. |
| Copilot はあなたが誰であるかを知っています。 代名詞 "me" を使用して、自分に関連するインシデントを見つけます。 次のプロンプトは、自分に割り当てられたインシデントを対象とします。 | What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top. |
| プロンプト応答を 1 つのインシデントに絞り込むと、Copilot はコンテキストを認識します。 | Tell me about the entities associated with that incident. |
| Copilot は要約を得意とします。 プロンプトと応答の要約の具体的な対象者を記述します。 | Write an executive report summarizing this investigation. It should be suited for a nontechnical audience. |
プロンプトに関するガイダンスとサンプルがさらに必要な場合は、以下のリソースを参照してください。
フィードバックを提供する
お客様のフィードバックは、製品の現在および計画された開発の指針にとって非常に重要です。 このフィードバックを提供する最善の方法は、製品内で直接行う方法です。 完了した各プロンプトの下部にある [How’s this response?] (この回答はいかがでしたか) を選択し、次のいずれかのオプションを選択します。
- [Looks right] (良好) - ご自身の評価に基づいて、結果が正確な場合に選びます。
- [要改善] - ご自身の評価に基づいて、結果の詳細が正しくないか不十分な場合に選びます。
- [不適切] - 結果に疑わしいか、あいまいであるか、または有害な可能性がある情報が含まれている場合に選びます。
フィードバック オプションごとに、表示される次のダイアログ ボックスで追加情報を提供できます。 可能であれば、特に結果が [要改善] のときは、結果を改善するために何ができるかを簡単に説明してください。 Azure Firewall 固有のプロンプトを入力し、その結果に関連性がない場合は、その情報を含めてください。
Security Copilot のプライバシーとデータのセキュリティ
Security Copilot がサービスから取得したプロンプトとデータ (プロンプト出力) を処理する方法については、「Microsoft Security Copilot のプライバシーとデータ セキュリティ」を参照してください。