Microsoft Defender の Microsoft Copilot を使用してインシデント レポートを作成する
Microsoft Defender ポータルのMicrosoft Security Copilotは、セキュリティ運用チームがインシデント レポートを効率的に作成するのを支援します。 Security Copilotの AI を利用したデータ処理を利用して、セキュリティ チームは、Microsoft Defender ポータルでボタンをクリックするだけでインシデント レポートをすぐに作成できます。
このガイドでは、インシデント レポートのデータを一覧表示し、Microsoft Defender ポータル内でインシデント レポート作成機能にアクセスする手順を説明します。 また、生成されたレポートに関するフィードバックを提供する方法についての情報も含まれています。
はじめに
Security Copilotを初めて使用する場合は、次の記事を読んで理解する必要があります。
- Security Copilotとは
- Security Copilotエクスペリエンス
- Security Copilot の使用を開始する
- Security Copilotでの認証について
- Security Copilotでのプロンプト
包括的かつ明確なインシデント レポートは、セキュリティ チームとセキュリティ運用管理にとって不可欠な参考資料です。 ただし、重要な詳細を記載した包括的なレポートを作成することは、セキュリティ運用チームにとって時間のかかる作業になる可能性があります。 複数のソースからインシデント情報を収集、整理、要約するには、情報豊富なレポートを作成するために焦点を絞った詳細な分析が必要です。 Defender の Copilot を使用すると、セキュリティ チームはポータル内で詳細なインシデント レポートを即座に作成できるようになります。
インシデントの要約ではインシデントの概要とその発生状況が提供されますが、インシデント レポートでは Microsoft Sentinel および Defender XDR で利用可能なさまざまなデータ ソースからのインシデント情報が統合されます。 Copilot によって生成されたインシデント レポートには、アナリスト主導のすべての手順と自動化されたアクション、インシデント対応に関与したアナリスト、およびアナリストからのコメントも含まれます。 セキュリティ チームが Microsoft Sentinel、Defender XDR、またはその両方を使用しているかどうかに関係なく、関連するすべてのインシデント データが生成されたインシデント レポートに追加されます。
Copilot は、実装された自動および手動のアクションと、インシデントに投稿されたアナリストのコメントとメモに基づいてインシデント レポートを生成します。 Copilot が包括的なインシデント レポートを作成できるように、推奨事項を確認して従うことができます。
Microsoft DefenderでのSecurity Copilot統合
Microsoft Defenderのインシデント レポート生成機能は、Security Copilotへのアクセスをプロビジョニングした顧客が利用できます。
この機能は、Microsoft Defender XDR プラグインを使用してSecurity Copilotスタンドアロン ポータルでも使用できます。 Security Copilotにプレインストールされているプラグインの詳細を確認してください。
主な機能
Defender の Copilot は、次の情報を含むインシデント レポートを作成します:
- 主なインシデント管理アクションのタイムスタンプには以下が含まれます:
- インシデントの作成と終了
- インシデントで記録された最初と最後のログ (アナリスト主導か自動かに関係ない)
- インシデント対応に関与するアナリスト
- インシデント分類 (Copilotが要約するアナリストの分類理由を含む)
- 調査と修復のアクション
- インシデント ログでアナリストが記録した推奨事項、未解決の問題、次のステップなどのフォローアップ アクション
デバイスの分離、ユーザーの無効化、メールの論理的な削除などのアクションがインシデント レポートに含まれます。 インシデント レポートに含まれるアクションの完全なリストについては、アクション センターを参照してください。 インシデント レポートには、実行された Microsoft Sentinel プレイブックも含まれます。 パブリック API ソースまたはカスタム検出からのライブ応答コマンドと応答アクションはまだサポートされていません。
実行されたすべてのアクションを確認するには、インシデントを解決することをお勧めします。 解決されていないインシデントについては、インシデント レポートのアクションが部分的に反映されます。
インシデント レポートを作成する
Defender の Copilot を使用してインシデント レポートを作成するには、次の手順を実行します:
インシデント ページを開きます。 インシデント ページで、[その他のアクション] 省略記号 (...) に移動し、[インシデント レポートの生成] を選択します。 あるいは、Copilot サイド パネルにあるレポート アイコンを選択することもできます。
Copilot がインシデント レポートを作成します。 [キャンセル] を選択してレポートの作成を停止し、[再生成] を選択してレポートの作成を再開できます。 さらに、エラーが発生した場合はレポートの作成を再開できます。
[Copilot] ウィンドウにインシデント レポート カードが表示されます。 生成されるレポートは、Microsoft Defender XDR および Microsoft Sentinel から入手できるインシデント情報によって異なります。 包括的なインシデント レポートを確実に作成するには、推奨事項を参照してください。
インシデント レポート カードの右上にある [その他のアクション] 省略記号 (...) を選択します。 レポートをコピーするには、[クリップボードにコピー] を選択してレポートを優先システムに貼り付けるか、[アクティビティ ログに投稿] を選択してレポートを Microsoft Defender ポータルのアクティビティ ログに追加するか、[インシデントを PDF としてエクスポート] を選択してインシデント データを PDF にエクスポートします。 レポートの作成を再開するには、[再生成] を選択します。 Security Copilotで開いて結果を表示し、Security Copilotスタンドアロン ポータルで使用できる他のプラグインに引き続きアクセスすることもできます。
生成されたインシデント レポートを確認します。 結果の下部にあるフィードバック アイコンを選択すると、レポートに関するフィードバックを提供できます。。
インシデント データを PDF にエクスポートする
インシデント データを PDF にエクスポートして、関係者と簡単に共有できるレポートを作成できます。 エクスポートされたインシデント データには、攻撃のストーリー、影響を受けた資産、関連アラート、Copilot からの AI 生成コンテンツ (インシデントの要約やインシデント レポートなど) などの関連情報が含まれます。 この機能により、セキュリティ チームは、チーム メンバー内または他の関係者とのインシデント後のディスカッションのために、より多くのインシデント情報を迅速にエクスポートできます。
インシデント データを PDF にエクスポートする手順に従って、PDF を生成できます。
インシデント レポート作成に関する推奨事項
Copilot が包括的かつ完全なインシデント レポートを生成するようにするために考慮すべき推奨事項をいくつか示します:
- インシデント レポートを生成する前に、インシデントを分類して解決します。
- インシデント レポートにコメントを含めるには、Microsoft Sentinel アクティビティ ログまたは Microsoft Defender XDR インシデント アクティビティ ログにコメントを書き込んで保存してください。
- 包括的かつ明確な言語を使用してコメントを記述します。 詳細かつ明確なコメントにより、対応アクションに関するコンテキストがより明確になります。 コメント フィールドにアクセスする方法については、次の手順を参照してください:
- Microsoft Defender ポータルでインシデントにコメントを追加する
- Microsoft Sentinel でインシデントにコメントを追加する
- ServiceNow ユーザーの場合は、Microsoft Sentinel と ServiceNow の双方向同期を有効にして、より堅牢なインシデント データを取得します。
- 生成されたインシデント レポートをコピーし、Microsoft Defender ポータルのアクティビティ ログに投稿して、インシデント レポートがインシデント ページに保存されるようにします。
インシデント レポート作成のサンプル プロンプト
Security Copilot スタンドアロン ポータルでは、次のプロンプトを使用してインシデント レポートを作成できます。
- Defender インシデント {インシデント ID} のインシデント レポートを生成します。
ヒント
Security Copilot ポータルでインシデント レポートを生成する場合、Microsoft では、インシデント レポート作成機能によって結果が確実に提供されるように、プロンプトに Defender という単語を含めることをお勧めします。
フィードバックの提供
Microsoft では、機能の継続的な改善に不可欠であるため、Copilot にフィードバックを提供することを強くお勧めします。 フィードバックを提供するには、Copilot サイド パネルの下部に移動し、 ] を選択します。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。