Microsoft Defenderでの Microsoft Copilot でのインシデントの要約

適用対象:

• Microsoft Defender XDR
• 統合セキュリティ オペレーション センター (SOC) プラットフォームのMicrosoft Defender

Microsoft Defender XDRは、インシデントを要約するためにCopilot for Securityの機能を適用し、インパクトのある情報と分析情報を提供して調査タスクを簡略化します。 攻撃調査は、インシデント対応チームがサイバー脅威によるさらなる損害に対して組織を正常に防御するための重要なステップです。 調査には多くの手順が含まれるため、多くの場合、時間がかかる場合があります。 インシデント対応チームは、攻撃がどのように発生したかを理解する必要があります。多数のアラートを並べ替え、関連する資産とエンティティを特定し、攻撃の範囲と影響を評価します。

インシデント対応者は、Defender XDRの相関機能とCopilot for Securityの AI を利用したデータ処理とコンテキスト化を通じて、インシデントを調査および修復するための適切なコンテキストを簡単に得ることができます。 インシデントの概要により、レスポンダーは調査に役立つ重要な情報をすばやく取得できます。

インシデントの概要機能は、Copilot for Security ライセンスを使用してMicrosoft Defender ポータルで使用できます。 この機能は、Microsoft Defender XDR プラグインを通じてCopilot for Securityスタンドアロン エクスペリエンスでも使用できます。

このガイドでは、フィードバックの提供に関する情報など、Defender の Copilot の概要機能に期待する内容とアクセス方法について説明します。

インシデントを要約する

最大 100 件のアラートを含むインシデントは、1 つのインシデントの概要にまとめることができます。 データの可用性に応じて、インシデントの概要には次のものが含まれます。

• 攻撃が開始された日時。
• 攻撃が開始されたエンティティまたは資産。
• 攻撃がどのように展開されたかについてのタイムラインの概要。
• 攻撃に関係する資産。
• 侵害のインジケーター (IoC)。
• 関連する 脅威アクターの 名前。

インシデントを要約するには、次の手順を実行します。

1. インシデント ページを開きます。 ページを開くと、Copilot によってインシデントの概要が自動的に作成されます。 概要の作成を停止するには、[キャンセル] を選択します。または、[再生成] を選択して作成を再開します。

2. インシデントの概要カード Copilot ウィンドウに読み込まれます。 カードで生成された概要を確認します。

   ヒント

   結果の証拠をクリックすると、Copilot の結果ウィンドウからファイル、IP、または URL ページに移動できます。

3. インシデントの概要カードの上部にある [その他のアクション] 省略記号 (...) を選択して、概要をコピーまたは再生成するか、Copilot for Security ポータルで概要を表示します。 [Copilot for Securityで開く] を選択すると、Copilot for Securityスタンドアロン ポータルに新しいタブが開き、プロンプトを入力したり、他のプラグインにアクセスしたりできます。

4. 概要を確認し、情報を使用して、インシデントに対する調査と対応をガイドします。 概要に関するフィードバックを提供するには、フィードバック アイコン [ を選択します。

関連項目

• スクリプト分析を実行する
• ファイルを分析する
• デバイスの概要を生成する
• 脅威への対応時にガイド付き応答を使用する
• KQL クエリを生成する
• インシデント レポートを作成する
• Microsoft Copilot for Security の使用を開始する
• その他のCopilot for Security埋め込みエクスペリエンスについて学習する
• Copilot for Securityにプレインストールされているプラグインの詳細
• Microsoft Defender XDRのインシデントを調査する

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。