次の方法で共有

セキュリティ エージェント (プレビュー)

[この記事はプレリリース ドキュメントであり、変更されることがあります]

Power Pagesのセキュリティ エージェントは、Power Pages デザイン スタジオに組み込まれている AI を利用した機能です。 セキュリティ エージェントは、一般的な脆弱性を特定し、異常のサイト トラフィックを監視し、ガイド付き修復ワークフローを提供することで、作成者が事前に Web サイトをセキュリティで保護するのに役立ちます。

セキュリティ エージェントには、作成者が自然言語を使用して対話できるようにする、コンテキスト対応のマルチステップ チャット エクスペリエンスが含まれています。 チャット インターフェイスを通じて、作成者はセキュリティの結果を確認し、質問を行い、サイトの構成とセキュリティ体制に基づいてガイド付きアクションを実行できます。

チャット エクスペリエンスはセキュリティ ワークスペース内で直接利用でき、作成者がサイトを設計、構成、保守する場合でもアクセスできます。

重要

  • これはプレビュー機能です。
  • プレビュー機能は運用環境での使用を想定しておらず、機能が制限されている可能性があります。 これらの機能は、追加の使用条件の対象となり、正式リリース前に利用可能です。お客様は早期にアクセスし、フィードバックを提供することができます。

機能

パブリック プレビューの一環として、セキュリティ エージェントは、作成者が Power Pages サイトをセキュリティで保護するのに役立つ次の主要な機能を提供します。

  • コンテキスト対応のセキュリティ チャット
    セキュリティ エージェントには、セキュリティ ワークスペースに直接組み込まれた複数ステップの会話型チャット パネルが含まれています。 チャットを通じて、作成者は次のことができます。

    • サイトのセキュリティ体制について自然言語の質問をします。
    • セキュリティの問題がプレーン言語で重要な理由を理解します。
    • スキャン結果と構成リスクを確認します。
    • セキュリティ ヘッダー、コンテンツ セキュリティ ポリシー、Cookie 構成、サイト レベルの保護設定など、アプリケーション レベルの保護に関するセキュリティ ガイダンスとアクションを要求します。

    チャット エクスペリエンスは、サイトの構成、スキャン結果、およびセキュリティ メタデータに根ざしており、応答が一般的なガイダンスではなく、メーカーのサイトに固有であることを確認します。

  • 自動セキュリティ スキャン
    エージェントは、2 週間ごとに、OWASP ZAP エンジンを使用してスケジュールされたスキャンを実行し、37 個の定義済みのセキュリティ規則にわたる一般的な脆弱性を検出します。 これらの規則には、誤って構成されたヘッダー、XSS リスク、および公開されたサーバー情報が含まれます。 エージェントは、問題を検出するとアラートを生成し、作成者が問題を解決するのに役立つガイド付き軽減ワークフローを提示します。

  • サイト トラフィックの監視
    エージェントは、Microsoft Sentinel信号と履歴トラフィック データを使用してライブ トラフィックを監視します。 疑わしい急上昇やクラスター化したアクティビティを検出すると、アラートを生成し、緩和ワークフローを提示します。

どのように機能しますか?

セキュリティ エージェントは、作成者が完全にコントロールを維持したまま、裏側で動作するように設計されています。 エンドツーエンドのフローの仕組みは次のとおりです。

1. セキュリティ エージェントを構成する

Power Pages design Studio からセキュリティ ワークスペースに移動し、Security Agent タブを選択します。

  • 自動スキャンやトラフィック監視など、有効にする機能を選択してください。 Power Pages design studio のセキュリティ エージェント構成タブのスクリーンショット

  • 製品内通知、電子メール、またはMicrosoft Teamsを使用して、アラートを受信する方法を選択します。 サイト トラフィックの詳細を示すPower Pagesのセキュリティ エージェント構成オプションのスクリーンショット。

このセットアップにより、エージェントは必要なものだけが実行され、優先チャネルを通じて作成者に通知されます。

2. 脆弱性や異常を検出する

有効にすると、セキュリティ エージェントは次のアクションを実行します。

  • 自動スキャンは 、ZAP エンジンを使用して 2 週間ごとに実行され、37 の OWASP ベースのルールに対してチェックされます。

  • Traffic 監視は、Microsoft Sentinel信号と履歴トラフィック パターンを使用して継続的に実行されます。

エージェントが問題を検出すると、アラートが自動的にトリガーされます。

3. アラートの表示と対応

[概要] 画面ですべてのアラートを表示できます。 各アラートごとに:

  • ガイド付き修正プロセスが提供されています。

  • 作成者には、課題の種類に応じて 1 つ以上の推奨アクションが表示されます。

    セキュリティエージェントのアラート概要と、Power Pages でのガイド付き修正フローのスクリーンショット。

4. スタジオで直接修正を適用する

結果に基づいて、次のアクションを実行できます。

  • 各レコメンデーションのわかりやすい説明を確認する。

  • 提案された値を受け入れるか編集してください。

  • ワンクリック設定、埋め込み VS Code、または外部ドキュメント リンクを利用して、直接アクションを実行できます。

適用する各修正プログラムは、アラートの状態を更新し、サイトのセキュリティを維持するのに役立ちます。

5. チャットを使用して問題を理解し、修正する

アラートやセキュリティ関連の質問については、作成者はセキュリティ エージェントのチャット パネルを開くことができます。

Power Pages デザイン スタジオのセキュリティ エージェント チャットのスクリーンショット

チャットを通じて、エージェントは次の操作を行います。

  • 問題とは何か、なぜ問題が重要なのかを説明します。

  • 推奨されるアクションについて、簡単で非技術的な用語で説明します。

  • 構成の変更とその予想される影響を示します。

アクションを実行する前に、エージェントは常に明示的なユーザー承認を要求します。 アクションが完了すると、エージェントは更新プログラムを確認し、変更された内容を明確に把握できます。

関連するコンテンツ

  • セキュリティ スキャンを実行する (プレビュー)
  • 高度なセキュリティ設定 (プレビュー)
  • Last updated on