セキュリティ アナリスト エージェントMicrosoft Security Copilot

  • 適用対象: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

重要

この記事の一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。

Defender の Security Analyst Agent は、セキュリティ アナリストが次の情報を提供することで、リスクをすばやく特定、評価、優先順位付けするのに役立ちます。

  • 柔軟な分析: セキュリティ データに対してすぐに使用できる分析またはカスタム分析を実行します。 アクション可能で優先順位付けされた分析情報、推奨事項、レポートを取得して、上位の脆弱性とリスクを明らかにします。

  • Data Integration: 手順に基づいて、Microsoft Defender XDR、Sentinel Log Analytics、Sentinel Data Lake からのデータを分析します。 カスタム データセット分析用に CSV ファイルをアップロードすることもできます (現在はスタンドアロン エクスペリエンスで使用できますが、Defender ではまもなく使用できます)

  • 対話型の探索: データを視覚化して、異常とリスクをより迅速に特定します。

  • 会話の支援: エージェントとチャットし、フォローアップの質問をし、関連する分析を実行して理解を深める

Security Analyst Agent を使用します。パターン分析、傾向分析、時系列と視覚化などの基本的な分析タスクと、異常検出、クラスタリング、ランク付け、リスク スコアリングと優先順位付け、予測と予測モデリングなどのより複雑な分析タスクを実行して、隠れたリスクを明らかにします。 エージェントは、防御性に関する完全な証拠を持つ優先順位付けされた分析情報を生成します。 これは、コードやクエリを記述する必要なく、チャットの最初のエクスペリエンスで Python を使用した高度な分析です。

エージェントは、大量のデータに対して単一または複数ステップの分析を実行でき、反復的な理由と隠れたリスクを明らかにし、詳細な証拠証跡と正当な理由でこれらのリスクを優先します。

前提条件とセットアップ要件

エージェントを使用するには、Security CopilotとDefender XDRまたは Sentinel log Analytics または Sentinel Data Lake にアクセスできる必要があります。

アクセスとセットアップの要件

  • アクセス要件

選択したデータ ソースに応じて、Microsoft Defender XDR、Microsoft Sentinel Log Analytics ワークスペース、または data Lake Microsoft Sentinelへの読み取りアクセス権が必要です。

  • RBAC とユーザー固有のセットアップ

エージェントを構成すると、ID に関連付けられ、ユーザー インスタンスにのみ適用されます。

  • マルチ ユーザー サポート

同じテナント内の他のユーザーは、選択したデータ ソースに必要なアクセス権を持っている場合に、独自の ID を使用してエージェントを構成することもできます。

データ ソース

エージェントは現在、次の 3 つのデータ ソースをサポートしています。

データ ソース 説明
Defender XDR (既定値) テレメトリのMicrosoft Defender XDR
Log Analytics のSentinel Microsoft Sentinel Log Analytics ワークスペース
Data Lake のSentinel (Sentinel Data Lake のみの必須の手順) Microsoft Sentinel Data Lake

データ ソースを指定する方法は 2 つあります。

自然言語プロンプト: データ ソースを命令に追加します。 例:

Analyze if there are privilege escalation or role elevation activities that are followed by sensitive data access in my enterprise. Please use Sentinel Log Analytics for this.

命令でデータ ソースを指定すると、エージェントはそのソースからセキュリティ ログを取得して分析します。 複数のワークスペースがある場合、エージェントは使用するワークスペースを指定するように求めます。

プロンプトで構成すると、変更されるまで、データ ソース設定はセッション全体に対して保持されます。 パフォーマンスを向上させるために、特定のセッションのデータ ソースの変更を 3 に制限することをお勧めします。

エージェント設定: エージェント設定を編集して、データ ソースを指定することもできます。

重要

エージェントは常に指示に従います。 エージェント設定とプロンプト命令の間に競合がある場合は、プロンプト命令が優先されます。

いずれかのメソッドを使用してデータ ソースが指定されていない場合、エージェントは最初にDefender XDRからデータを取得しようとします。 データの使用不能またはアクセス許可の問題が原因で失敗した場合、エージェントは log Analytics から再試行Sentinel。

Security Analyst エージェントを構成する (省略可能)

セットアップを完了せずに、Defender で Security Analyst エージェントを直接実行できます。 エージェントのセットアップは、エージェント ID の定義やデータ ソースの事前構成など、オプションの構成シナリオをサポートするために提供されます。 Defender でエージェントを実行する機能には影響しません。

重要

データ ソースの構成は省略可能です。 プロンプトでデータ ソースを直接指定でき、エージェントは分析の実行時にこれらのプロンプトベースの指示に優先順位を付けます。 プロンプトでデータ ソースが指定されていない場合、エージェントはエージェント設定で構成されたデータ ソースを使用します。

  1. Security Copilot (https://securitycopilot.microsoft.com) にサインインします。

  2. [ホーム] メニュー アイコンを選択します。

  3. [エージェント] に移動します。

  4. [ セットアップの準備完了 ] セクションで、[ Security Analyst Agent] を選択します。

  5. 初回セットアップの場合は、[ セットアップの準備完了 ] セクションでエージェントを見つけて、[ セットアップ] を選択します。 エージェントが少なくとも 1 人のユーザーに対して既に構成されている場合は、[使用しているエージェント] セクションで [Security Analyst Agent] を検索し、[エージェントに移動] をクリックします。

    Security Analyst エージェントの画像 - エージェントに移動

  6. エージェントを構成するために、お好みのデータ ソースの詳細を指定します。

    • Defender XDR: すべてのフィールドを空白のままにし、命令の最後にUse Defender XDRを指定します。

    • Sentinel Data Lake (必須):

      1. [データソース] フィールドに「SentinelDataLake」と入力します。
      2. [Sentinel Data Lake ワークスペース名] フィールドにワークスペース名を入力します。
      3. 残りのフィールドは空のままにします。

    • Sentinel Log Analytics ワークスペース:

      1. [データソース] フィールドに「SentinelLogAnalyticsWorkspace」と入力します。
      2. 次のフィールドに 「Log Analytics ワークスペース名」を入力します
      3. [Sentinel Data Lake ワークスペース名] フィールドは空白のままにし、設定を保存します。

      Security Analyst エージェントの画像 - エージェント チャットを設定する

  7. 上部にある [ エージェントとチャット ] を選択して、エージェントと対話します。

    Security Analyst エージェントの画像 - エージェントとのチャット ボタン

    新しい分析のために新しいチャットを開始し、履歴チャットを表示およびアクセスし、エージェント セッションからエージェント設定の詳細を表示できます。

    Security Analyst エージェントの画像 - 新しいチャット セッション

Security Analyst エージェントを使用する

  1. [https://defender.microsoft.comでMicrosoft Defender] に移動し、[調査と対応] で [高度なハンティング] を選択します。

  2. Copilot を開き、[ Security Analyst Agent] を選択します。

    高度なハンティングで Security Analyst Agent を選択Microsoft Defenderスクリーンショット。

  3. 自然言語でセキュリティ分析プロンプトを入力するか、推奨されるプロンプトのいずれかを選択します。

  4. タスクが広範な場合は、エージェントの明確な質問に応答して、エージェントが分析の範囲を狭めることができます。

  5. 必要に応じて、プロンプトでデータ ソースを指定します。 データ ソースが指定されていない場合、エージェントは最初にDefender XDRを試み、次に Log Analytics をSentinelして分析に必要なデータを特定して取得します。

  6. 優先順位付けされた結果、支持証拠、推奨事項など、応答を確認します。

    次の例では、エージェントはその結果を証拠と共に要約し、さらに深い調査または封じ込めのいずれかの次の手順に関するコンテキストに基づく推奨事項も提供します。 応答には、ユーザーが操作を続行するように求められる可能性がある、推奨される次のプロンプトの一覧も含まれています。

    Security Analyst エージェントからのサンプル応答のスクリーンショット。

  7. 同じセッションでフォローアップ プロンプトを続行するか、別の調査のために新しいセッションを開始します。

    注:

    エージェントは複雑な分析を完了するのに数分かかることがあります。

  8. KQL クエリを実行し、セキュリティ リスクを理解するために結果を分析する場合は、クエリの [結果] タブの下にある [ copilot で分析 ] を選択します。 生成された結果に関するエージェントの理由と、緊急の注意が必要な優先順位付けされた分析情報の概要が示されます。

    高度なハンティング クエリ結果の [Copilot で分析] アクションを示すスクリーンショット。

  9. 応答のフィードバック ボタンを使用して、出力が役立ったかどうかを共有します。

レポートの解釈

エグゼクティブ サマリー

このセクションでは、分析がどのように実行されたかを明確に説明し、実行された手順と考慮されたデータについて説明します。 フィルター条件、時間範囲、適用されるランク付けをすべて簡単な言語で説明するため、読者はプロセスに簡単に従うことができます。

主要な分析情報

ここでは、分析から最も重要な結果を見つけ、簡潔で意味のある方法で示します。 各分析情報には、それが重要な理由と、関連する場合は、支持証拠への参照についての簡単な説明が含まれています。

視覚 エフェクト

このセクションには、レポートに奥行きと明瞭性を追加するグラフまたはグラフが含まれており、閲覧者がデータ内のパターンやリレーションシップをすばやく解釈するのに役立ちます。 ビジュアルは、分析に一意の値を提供する場合にのみ含まれます。

アーティファクト

成果物は、分析されたすべてのエンティティの包括的な CSV や、該当する場合は詳細な証拠ファイルなど、レポートに付随するサポート ファイルです。 これらのリソースを使用すると、読者は結果の背後にある完全なデータセットを探索できます。 成果物には、エージェントがデータを取得するために使用した KQL クエリが含まれます (エージェントはデータ取得にのみ KQL を使用し、Python で分析が行われます)。タスクを実行するために策定された包括的なプランです。

  • Last updated on