Microsoft Defender の Microsoft Copilot
適用対象:
- Microsoft Defender XDR
- 統合セキュリティ オペレーション センター (SOC) プラットフォームのMicrosoft Defender
Microsoft Copilot for Securityは、AI と人間の専門知識の力を組み合わせて、セキュリティ チームが攻撃に迅速かつ効果的に対応できるようにします。 Copilot for SecurityはMicrosoft Defender ポータルに埋め込まれており、セキュリティ チームがインシデントの効率的な要約、スクリプトとコードの分析、ファイルの分析、デバイス情報の要約、ガイド付き応答を使用してインシデントを解決し、KQL クエリを生成し、インシデント レポートを作成できるようにします。
この記事では、Defender の Copilot のユーザーの概要について説明します。これには、アクセス手順、主要な機能、およびこれらの機能の詳細へのリンクが含まれます。
Defender で Copilot にアクセスする
Defender で Copilot に確実にアクセスできるようにするには、購入とライセンスに関する情報Copilot for Security参照してください。 Copilot for Securityにアクセスすると、以下で説明する主要な機能にMicrosoft Defender ポータルでアクセスできるようになります。
専門家のようなインシデントを調査して対応する
セキュリティ チームが迅速かつ正確に攻撃調査に対応できるようにします。 Copilot は、チームが攻撃をすぐに理解し、疑わしいファイルとスクリプトを迅速に分析し、攻撃を停止して封じ込めるために適切な軽減策を迅速に評価して適用するのに役立ちます。
インシデントをすばやく要約する
複数のアラートを含むインシデントの調査は、困難な作業になる可能性があります。 インシデントをすぐに理解するには、[Copilot] をタップして インシデントを要約 できます。 Copilot は、攻撃で発生した内容、関係する資産、攻撃のタイムラインを把握するための重要な情報を含む攻撃の概要を作成します。 Copilot は、インシデントのページに移動すると、自動的に概要を作成します。
![[Microsoft Defender インシデント] ページに表示されている Copilot ペインのインシデントの概要カードのスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/incident-summary/copilot-defender-incident-summary.png#lightbox)
ガイド付き対応を通じてインシデントに対するアクションを実行する
インシデントを解決するには、アナリストが攻撃を理解して、適切なソリューションを把握する必要があります。 Copilot は、各インシデントに固有 のガイド付き応答 を通じてソリューションを推奨します。
![[Microsoft Defender インシデント] ページのガイド付き応答を含む [Copilot] ウィンドウを強調表示しているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/guided-response/copilot-defender-guided-response.png#lightbox)
スクリプト分析を簡単に実行する
ほとんどの攻撃者は、検出と分析を回避するために、攻撃を開始するときに高度なマルウェアに依存しています。 これらのマルウェアは通常、難読化され、PowerShell のスクリプトまたはコマンド ラインの形式である可能性があります。 Copilot はスクリプトをすばやく 分析できるため、調査にかかる時間を短縮できます。
![インシデント ページの攻撃ストーリー ビューの [スクリプト分析] ボタンを強調表示しているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/script-analyzer/copilot-defender-script-analysis-incident.png#lightbox)
デバイスの概要を生成する
インシデントに関連するデバイスの調査は、タスクジョブになる可能性があります。 デバイスをすばやく評価するために、Copilot は、デバイスのセキュリティ体制、異常な動作、脆弱なソフトウェアの一覧、関連するMicrosoft Intune情報など、デバイスの情報を要約できます。
ファイルを迅速に分析する
Copilot は、セキュリティ チームが ファイル分析を使用して疑わしいファイルをすばやく評価して理解するのに役立ちます。 Copilot は、検出情報、関連するファイル証明書、API 呼び出しの一覧、ファイル内の文字列など、ファイルの概要を提供します。
![Defender の Copilot のファイル分析結果のスクリーンショット。[詳細を非表示] オプションが強調表示されています。](/ja-jp/defender/media/copilot-in-defender/file-analysis/copilot-defender-file-analysis-hide.png#lightbox)
インシデント レポートを効率的に作成する
セキュリティ運用チームは通常、重要な情報を記録するレポートを作成します。これには、実行された対応アクション、対応する結果、関連するチーム メンバー、および将来のセキュリティの決定と学習に役立つその他の情報が含まれます。 多くの場合、インシデントの文書化には時間がかかる場合があります。 インシデント レポートを有効にするには、誰がいつ実行したかなど、インシデントの概要と実行されたアクションが含まれている必要があります。 Copilot は、 これらの情報をすばやく統合することでインシデント レポートを生成します。
プロのように狩り
Defender の Copilot は、セキュリティ チームが適切な KQL クエリを迅速に構築することで、ネットワーク内の脅威を事前に検出するのに役立ちます。
自然言語入力から KQL クエリを生成する
高度な捜索を使用してネットワーク内の脅威を積極的に探すセキュリティ チームは、脅威ハンティングのコンテキストで自然言語の質問をすぐに実行できる KQL クエリに変換するクエリ アシスタントを使用できるようになりました。 クエリ アシスタントは、アナリストのニーズに応じて自動的に実行または調整できる KQL クエリを生成することで、セキュリティ チームの時間を節約します。 詳細については、「高度なハンティングのCopilot for Security」のクエリ アシスタントに関するページを参照してください。
![高度なハンティングの [Copilot] ウィンドウのスクリーンショット。](/ja-jp/defender/media/advanced-hunting-security-copilot-pane-big.png#lightbox)
関連する脅威インテリジェンスを使用してorganizationを保護する
最新の脅威インテリジェンスを使用して、セキュリティorganizationを強化し、情報に基づいた意思決定を行うことができます。 Copilot は脅威インテリジェンスを統合して要約し、セキュリティ チームが脅威の優先順位を付け、効果的に対応できるようにします。
脅威インテリジェンスを監視する
Copilot に、環境に影響を与える関連する脅威の概要をまとめるか、露出レベルに基づいて脅威を解決することに優先順位を付けるか、業界をターゲットにしている可能性のある脅威アクターを見つけましょう。 脅威インテリジェンスのCopilot for Securityについて詳しくは、こちらをご覧ください。
![Defender XDRの脅威インテリジェンスの [Copilot] ペインのスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/TI/copilot-defender-threat-intel-full.png#lightbox)
Copilot のデータ セキュリティとフィードバック
Copilot は、管理者によって定義された設定に応じて、保存、処理、共有されるデータを使用して継続的に進化します。 Microsoft では、Copilot を使用する場合、データが常に保護され、セキュリティで保護されます。 Copilot のデータ セキュリティとプライバシーの詳細については、「Copilot のプライバシーとデータ セキュリティ」を参照してください。
その進化が続いているため、Copilotはいくつかのことを見逃す可能性があります。 結果に関 するフィードバックの確認と提供は 、Copilot の今後の対応を改善するのに役立ちます。
Defender の機能のすべての Copilot には、フィードバックを提供するためのオプションがあります。 フィードバックを提供するには、次の手順を実行します。
- フィードバック アイコン [
![Copilot] サイド パネルの](/ja-jp/defender/media/copilot-in-defender/copilot-defender-feedback.png)
結果カードの下部にある Defender カードの Copilot のフィードバック アイコンのスクリーンショットを選択します。 - 評価に基づく結果が正確であれば、[確認済み、正確] を選択します。 詳細については、次のダイアログ ボックスを参照してください。
- 評価に基づいて詳細が正しくないか不完全な場合は、[オフターゲット、不正確 ] を選択します。 次のダイアログ ボックスで評価に関する詳細情報を入力し、この評価を Microsoft に送信できます。
- また、問題のある情報やあいまいな情報が含まれている場合は、[有害で不適切な可能性] を選択して結果を報告することもできます。 次のダイアログ ボックスで結果の詳細を入力し、[送信] を選択します。
Copilot for Securityのプラグイン
Copilot は、Microsoft Defender XDR、Defender Threat Intelligence、自然言語などのプレインストールされた Microsoft プラグインを KQL for Microsoft Sentinel および Defender XDR プラグインに使用して、関連情報の生成、インシデントへのより多くのコンテキストの提供、より正確な結果の生成を行います。 Copilot でプラグインがオンになっていることを確認して、関連するデータへのアクセスを許可し、organization内の他の Microsoft サービスから要求されたコンテンツを生成します。
次の手順
- インシデントを要約する方法
- インシデントへの対応時にガイド付き応答を使用する
- スクリプト分析を実行する
- ファイルを分析する
- デバイスの概要を生成する
- KQL クエリを生成する
- インシデント レポートを作成する
- 脅威インテリジェンスを使用する
関連項目
- Copilot for Security の使用を開始する
- Copilot のプライバシーとデータ セキュリティ
- 責任ある AI に関する FAQ
- その他のCopilot for Security埋め込みエクスペリエンス
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示