Microsoft Defender ポータルの Security Store には、セキュリティ タスクを効率的に実行するのに役立つさまざまなエージェントが用意されています。 これらのエージェントには、Microsoft およびパートナーによって発行されたMicrosoft Security Copilot エージェントが含まれます。 これらのエージェントはMicrosoft Defenderと統合され、インシデントトリアージ、調査、脅威ハンティング、脅威インテリジェンスなど、さまざまなセキュリティ操作 (SOC) タスクを実行します。
この記事では、Microsoft Defenderで AI エージェントを検出してデプロイする方法について説明します。
注:
Security Store へのエージェントの発行の詳細については、「エージェントを Microsoft Security Store に発行する」を参照してください。
前提条件
Security Store からエージェントを購入、デプロイ、使用するには、次のものが必要です。
- SCU 容量でプロビジョニングされたSecurity Copilot ワークスペースへのアクセス。
- パートナーが発行したエージェントの場合は、Azureサブスクリプションの共同作成者または所有者ロールが必要です。
Microsoft Defender ポータルでエージェントを検出してデプロイする
Microsoft Defender ポータルでエージェントを検出してデプロイするには、
[セキュリティ ストアSecurity Copilot >選択します。
デプロイするエージェントを参照または検索します。
エージェントを選択して、その機能、要件、セットアップ手順など、詳細を表示します。
エージェントを購入してデプロイするには:
十分なアクセス許可がある場合は、[ エージェントの取得 ] を選択してデプロイ プロセスを開始します。 詳細については、前提条件をご覧ください。
[ リンクのコピー ] を選択して、エージェントの詳細ページ URL をコピーし、エージェントを展開するためのアクセス許可がない場合は、セキュリティ管理者と共有します。
![ポータルの [セキュリティ ストア] ページMicrosoft Defender示すスクリーンショット。](media/security-copilot-agents-defender/microsoft-defender-security-store.png)
パートナーが発行したエージェントの場合は、Microsoft Security Store のドキュメントで説明されているように、Security Store Web サイトで購入と展開を完了します。
「 SaaS ソリューションを購入する方法 (プライベート オファー)」で説明されているように、パブリック オファーまたはプライベート オファーを使用して、パートナーが発行したエージェントの一元的な購入を管理できます。
エージェントを購入したら、[エージェントのSecurity Copilot >] を選択し、[セットアップの準備完了] セクションでエージェントを見つけて、[セットアップ] を選択してエージェントのセットアップを開始します。
パートナーが発行したエージェントの設定、管理、実行の詳細については、「Security Copilot エージェントの管理」を参照してください。
Microsoft Security Copilot エージェントの詳細については、「Microsoft DefenderのエージェントMicrosoft Security Copilot」を参照してください。
セットアップ後、エージェントは [使用中の エージェント] セクションに 表示されます。
![ポータルの [セキュリティ ストア] ページMicrosoft Defender示すスクリーンショット。](media/security-copilot-agents-defender/microsoft-defender-security-store.png#lightbox)
Microsoft DefenderでのエージェントのMicrosoft Security Copilot
このセクションでは、Microsoft Defender ポータルで使用できるMicrosoft Security Copilot エージェントについて詳しくは、こちらのセクションをご覧ください。
- セキュリティ アラート トリアージ エージェント (プレビュー)
- 脅威インテリジェンスブリーフィング エージェント
- 脅威ハンティング エージェント
- Security Analyst エージェント
- 動的脅威検出エージェント
セキュリティ アラート トリアージ エージェント (プレビュー)
注:
セキュリティ アラート トリアージ エージェントは、 フィッシングトリアージ エージェント と同じエージェントであり、より広範な種類のアラートをトリアージするための拡張機能を備えたエージェントです。 セキュリティ アラート トリアージ エージェントは、プレビューに参加しているお客様のみが使用できます。 プレビューの一部でない場合、フィッシング トリアージ エージェントは引き続き Security Store で使用できます。
セキュリティ アラートトリアージ エージェントは、セキュリティ チームが複数のワークロードにわたって大規模にアラートをトリアージするのに役立つ自律エージェントです。 エージェントは、サポートされているセキュリティ ワークロードに対して明確な判定を提供するために、AI 主導の動的推論を適用します。 これはフィッシング トリアージエージェントと同じエージェントであり、トリアージの精度と効率の測定可能な改善を示しています。 エージェントは、電子メールとコラボレーションのアラート (一般提供)、クラウドと ID のアラート (プレビュー) など、Microsoft Defenderのアラートのより広範なセットをトリアージできるようになりました。 エージェントは自律的に動作し、自然言語での分類判定の透過的な根拠を提供し、アナリストからのフィードバックに基づいて精度を継続的に学習し、向上させます。
| 属性 | 説明 |
|---|---|
| Identity | 新しいエージェント ID を作成するか、既存のユーザー アカウントに接続する |
| ライセンス | アラートの種類によって異なります。
|
| アクセス許可 | エージェントでは、トリアージするアラートの種類に応じて、次のアクセス許可を操作する必要があります。
|
| プラグイン | エージェントは、次のSecurity Copilotプラグインを自動的にアクティブ化します。 |
| 製品 |
|
| ロールベースのアクセス | エージェントを設定および管理するには、セキュリティ管理者のMicrosoft Entraロールが必要です セキュリティ アラート トリアージ エージェントと同じアクセス許可を持つユーザーは、エージェントのアクティビティと結果を表示し、エージェントの分類の判定に関するフィードバックを提供できます。 |
| トリガー | ユーザーが報告した電子メール (電子メールとコラボレーション アラートの場合)、クラウド セキュリティ アラート (クラウド アラートの場合)、ID アラートなど、構成されたアラートの種類に対して新しいアラートが検出されると、自動的に実行されます。 |
脅威インテリジェンスブリーフィング エージェント
脅威インテリジェンスブリーフィング エージェントは、セキュリティ運用チームに、カスタマイズされた定期的な脅威インテリジェンスブリーフィングを提供します。 エージェントは、さまざまなソースから関連する脅威インテリジェンス データを自律的に収集して合成し、アナリストが新たな脅威や傾向について情報を得るのに役立つ簡潔で実用的な分析情報を提供します。
| 属性 | 説明 |
|---|---|
| Identity | 新しいエージェント ID を作成するか、既存のユーザー アカウントに接続する |
| ライセンス | 適用されない |
| アクセス許可 |
必要なアクセス許可:
|
| 製品 | Security Copilot |
| プラグイン | このエージェントを実行するには、次のプラグインが必要です。
|
| ロールベースのアクセス | エージェントを設定および管理するには、 セキュリティ管理者 ロールが必要です。 脅威インテリジェンス ブリーフィング エージェントと同じアクセス許可を持つユーザーは、エージェントのアクティビティと結果を表示できます。 |
| トリガー | セットアップ中に構成した設定された時間間隔で実行するか、手動で実行する場合は手動で実行します |
エージェント ID の Defender for Endpoint アクセス許可を構成する
エージェント ID を使用して脅威インテリジェンス ブリーフィング エージェントを実行する場合は、次の Defender for Endpoint ロールのアクセス許可とデバイス グループ アクセスも構成する必要があります。 これらのアクセス許可がないと、環境に脆弱性が存在する場合でも、露出レポートに "使用できない" と表示されたり、CVEs が 0 個返されたりすることがあります。
手順 1 – エージェント ロールのアクセス許可を更新する
- Microsoft Defender ポータルにサインインします。
- [設定>Endpoints>Permissions>Roles] に移動します。
- 脅威インテリジェンスブリーフィング エージェントに割り当てられているカスタム ロールを見つけます。
- ロールを編集し、次のアクセス許可が有効になっていることを確認します。
- 高度なハンティング – 読み取り
- 脆弱性管理 – 読み取り
- マシン構成 – 読み取り
- デバイス インベントリ – 読み取り
- 更新が行われた場合は、変更を保存します。
手順 2 – デバイス グループにエージェントへのアクセス権を付与する
- Microsoft Defender ポータルで、設定>Endpoints>Device Groups に移動します。
- 運用エンドポイントを含むデバイス グループごとに、次の手順を実行します。
- デバイス グループを開きます。
- [ ユーザー アクセス ] セクションを選択します。
- 脅威インテリジェンスブリーフィング エージェント ID を追加します。
- 読み取りアクセス権を割り当てます。
- 変更を保存します。
重要
エージェントを実行する前に、アクセス許可の更新がMicrosoft Defenderサービス間で同期されるまでの時間を許可します。
脅威ハンティング エージェント
脅威ハンティング エージェントは、最初から最後まで自然言語を使用して脅威を調査できるようにすることで、脅威ハンティングに革命を起こす。 KQL クエリを生成するだけでなく、結果を解釈し、分析情報を表示し、完全なハンティング セッションをガイドします。 これらの機能を使用すると、脅威をより迅速かつ正確に、より自信を持って捜索することができます。
Security Analyst エージェント
Security Analyst エージェントは、セキュリティ データに対してすぐに使用できる分析またはカスタム分析を実行することで、セキュリティ アナリストがリスクをすばやく特定、評価、優先順位付けするのに役立ちます。 エージェントは、アクション可能で優先順位付けされた分析情報、推奨事項、レポートを提供して、上位の脆弱性とリスクを明らかにします。 Microsoft Defender XDR、Sentinel Log Analytics、Sentinel Data Lake からのデータをサポートし、コードやクエリを必要とせずに、異常検出、クラスタリング、リスク スコアリング、予測などの複雑な分析タスクを実行できます。
| 属性 | 説明 |
|---|---|
| Identity | ユーザー ID に関連付けられています。各ユーザーがエージェントを個別に構成する |
| ライセンス | 適用されない |
| アクセス許可 | 選択したデータ ソースに応じて、Microsoft Defender XDR、Microsoft Sentinel Log Analytics ワークスペース、Microsoft Sentinel Data Lake への読み取りアクセス |
| 製品 |
|
| ロールベースのアクセス | 選択したデータ ソースへの読み取りアクセス権を持つユーザーは、エージェントを構成して使用できます。 |
| トリガー | エージェント チャットでセキュリティ分析プロンプトを入力するか、高度なハンティング クエリ結果から [ copilot で分析 ] を選択すると、オンデマンドで実行されます |
動的脅威検出エージェント
Defender ポータルの動的脅威検出エージェントは、Defender およびMicrosoft Sentinel環境全体で隠された脅威を検出する、常時オンのアダプティブ バックエンド サービスです。 AI を使用して、アラート、イベント、異常、脅威インテリジェンスを関連付けることで、ギャップを特定し、偽陰性を明らかにします。 エージェントがギャップを識別すると、自然言語の説明、 マップされた MITRE ATT&CK 手法、調整された修復手順など、アラートの詳細に完全なコンテキストを含む動的アラートが生成されます。