Microsoft Copilot からのガイド付き応答を使用してインシデントをトリアージして調査Microsoft Defender
適用対象:
- Microsoft Defender XDR
- 統合セキュリティ オペレーション センター (SOC) プラットフォームのMicrosoft Defender
Microsoft Defender ポータルのMicrosoft Copilot for Securityは、インシデント対応チームが、ガイド付き応答を使用してインシデントを直ちに解決することをサポートします。 Defender の Copilot は、AI と機械学習の機能を使用してインシデントをコンテキスト化し、以前の調査から学習して適切な対応アクションを生成します。
Microsoft Defender ポータルでインシデントに対応するには、多くの場合、攻撃を停止するためのポータルの使用可能なアクションに精通している必要があります。 また、新たなインシデント応答者は、インシデントへの応答を開始する場所と方法について異なる考えを持っている可能性があります。 Defender の Copilot のガイド付き対応機能を使用すると、あらゆるレベルのインシデント対応チームが自信を持って迅速に対応アクションを適用してインシデントを簡単に解決できます。
ガイド付き応答は、Copilot for Security ライセンスを介してMicrosoft Defender ポータルで利用できます。 ガイド付き応答は、Defender XDR プラグインを通じてCopilot for Securityスタンドアロン エクスペリエンスでも使用できます。
このガイドでは、応答に関するフィードバックの提供に関する情報など、ガイド付き応答機能にアクセスする方法について説明します。
ガイド付き応答を適用してインシデントを解決する
ガイド付き応答では、次のカテゴリのアクションが推奨されます。
- トリアージ - インシデントを情報、真陽性、または誤検知として分類するための推奨事項が含まれています
- 封じ込め - インシデントを封じ込めるための推奨アクションが含まれています
- 調査 - 詳細に調査するための推奨アクションが含まれています
- 修復 - インシデントに関係する特定のエンティティに適用するための推奨応答アクションが含まれています
各カードには、アクションを適用する必要があるエンティティや、アクションが推奨される理由など、推奨されるアクションに関する情報が含まれています。 また、カードは、 攻撃の中断 や 自動調査対応などの自動調査によって推奨されるアクションがいつ行われたかも強調します。
ガイド付き応答カードは、各カードで使用可能な状態に基づいて並べ替えることができます。 ガイド付き応答を表示するときに特定の状態を選択するには、[ 状態 ] をクリックし、表示する適切な状態を選択します。 状態に関係なく、すべてのガイド付き応答カードが既定で表示されます。
![[Microsoft Defender インシデント] ページの [Copilot] ウィンドウの応答の状態を強調表示しているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/guided-response/copilot-defender-guided-response-status.png#lightbox)
ガイド付き応答を使用するには、次の手順を実行します。
インシデント ページを開きます。 Copilot は、インシデント ページを開くと、ガイド付き応答を自動的に生成します。 インシデント ページの右側に [Copilot] ウィンドウが表示され、ガイド付き応答カードが表示されます。
![[Microsoft Defender インシデント] ページのガイド付き応答を含む [Copilot] ウィンドウを強調表示しているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/guided-response/copilot-defender-guided-response-small.png)
推奨事項を適用する前に、各カードを確認します。 各推奨事項で使用できるオプションを表示するには、応答カードの上にある [その他のアクション] 省略記号 (...) を選択します。 以下にいくつかの例を示します。
![Microsoft Defender XDRの [Copilot] ペインのオートメーション応答カードでユーザーが使用できるオプションを強調表示しているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/guided-response/copilot-defender-guided-response-more-actions2.png)
アクションを適用するには、各カードで見つかった目的のアクションを選択します。 各カードのガイド付き応答アクションは、インシデントの種類と関連する特定のエンティティに合わせて調整されます。
Copilot からの今後の応答を継続的に強化するために、各応答カードにフィードバックを提供できます。 フィードバックを提供するには、各カードの右下にある
を選択します。
![[Microsoft Defender インシデント] ページのガイド付き応答を含む [Copilot] ウィンドウを強調表示しているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/guided-response/copilot-defender-guided-response.png#lightbox)
注:
灰色表示されたアクション ボタンは、これらのアクションがアクセス許可によって制限されていることを意味します。 詳細については、統合ロールベースのアクセス (RBAC) のアクセス許可に関するページを参照してください。
Defender の Copilot は、アナリストが追加の分析情報を使用して応答アクションに関するより多くのコンテキストを取得できるようにすることで、インシデント対応チームをサポートします。 修復の応答の場合、インシデント応答チームは、[類似したインシデントを表示する] や [類似のメールを表示する] などのオプションを使用して追加情報を表示できます。
[類似したインシデントを表示する] アクションは、組織内に現在のインシデントに類似した他のインシデントがある場合に使用できるようになります。 [類似したインシデント] タブには、確認できる類似のインシデントが一覧表示されます。 Microsoft Defender機械学習を使用して、organization内の同様のインシデントを自動的に識別します。 インシデント応答チームは、これらの類似したインシデントの情報を使用してインシデントを分類し、それらの類似したインシデントで行われたアクションをさらに確認できます。
[類似のメールを表示する] アクション (フィッシング インシデントに固有) を使用すると、高度な追求ページに移動します。このページでは、組織内の類似したメールを一覧表示する KQL クエリが自動的に生成されます。 このインシデントに関連したクエリの自動生成により、インシデント応答チームはインシデントに関連する可能性のある他のメールを詳細に調査しやすくなります。 クエリを確認し、必要に応じて変更できます。
関連項目
- インシデントを要約する
- ファイルを分析する
- スクリプト分析を実行する
- インシデント レポートを作成する
- KQL クエリを生成する
- Microsoft Copilot for Security の使用を開始する
- その他のCopilot for Security埋め込みエクスペリエンスについて学習する
- Copilot for Securityにプレインストールされているプラグインの詳細
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示