Microsoft Copilot for Security での Azure Firewall 統合 (プレビュー)

重要

Microsoft Copilot for Security での Azure Firewall の統合は、現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。

Microsoft Copilot for Security は、生成 AI を利用したセキュリティ ソリューションであり、セキュリティ担当者の効率と能力を向上させ、マシンの速度とスケールでセキュリティの成果を向上させます。 自然言語の支援型コパイロット エクスペリエンスを提供し、セキュリティ プロフェッショナルをインシデント対応、脅威ハンティング、情報収集、態勢管理などのエンド ツー エンドのシナリオでサポートします。 何ができるのかについて詳しくは、「Microsoft Copilot for Security とは」を参照してください。

はじめに

Microsoft Copilot for Security を初めて使用する場合は、次の記事を読んで理解しておく必要があります。

Azure Firewall での Microsoft Copilot for Security 統合

Azure Firewall は、Azure で実行されているクラウド ワークロードに最高レベルの脅威保護を提供する、クラウドネイティブでインテリジェントなネットワーク ファイアウォールのセキュリティ サービスです。 組み込みの高可用性とクラウドの無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。

Azure Firewall の統合により、アナリストは、Microsoft Copilot for Security スタンドアロン エクスペリエンスで自然言語の質問を使用して、ファイアウォールの IDPS や脅威インテリジェンス機能によって傍受された悪意のあるトラフィックの詳細な調査をフリート全体で実行できます。

この記事では、Copilot を紹介し、Azure Firewall ユーザーに役立つプロンプトのサンプルを示します。

Microsoft Copilot for Security ポータルで、Microsoft Copilot for Security の Azure Firewall 統合を使用できます。 詳細については、Microsoft Copilot for Security エクスペリエンスに関する記事を参照してください。

主要な機能

Microsoft Copilot for Security には、有効になっているさまざまなプラグインからデータを取得できるシステム機能が組み込まれています。

Azure Firewall の組み込みシステム機能の一覧を表示するには、以下の手順を使用します。

  1. プロンプト バーで、プロンプト アイコンを選択します。

    プロンプト アイコンが強調表示されている Microsoft Copilot for Security のプロンプト バーのスクリーンショット。

  2. [すべてのシステム機能を表示] を選択します。 Azure Firewall セクションに、使用できるすべての機能が一覧表示されます。

Microsoft Copilot for Security での Azure Firewall 統合を有効にする

  1. Azure Firewall が以下のように正しく構成されていることを確認します。

    • Azure の構造化されたファイアウォール ログ – Microsoft Copilot for Security で使用する Azure Firewall を IDPS 用のリソース固有の構造化されたログで構成する必要があり、これらのログを Log Analytics ワークスペースに送信する必要があります。
    • Azure Firewall のロールベースのアクセス制御 – Microsoft Copilot for Security の Azure Firewall プラグインを使用するユーザーは、Firewall と関連する Log Analytics ワークスペースにアクセスするための適切な Azure RBAC ロールを持っている必要があります。
  2. Microsoft Copilot for Security に移動し、資格情報でサインインします。

  3. Azure Firewall プラグインが有効になっていることを確認します。 プロンプト バーで、ソース アイコンを選択します。

    ソース アイコンが強調表示されている Microsoft Copilot for Security のプロンプト バーのスクリーンショット。

    表示された [ソースの管理] ポップアップ ウィンドウで、Azure Firewall トグルがオンになっていることを確認し、ウィンドウを閉じます。

    Azure Firewall プラグインを示すスクリーンショット。

    Note

    一部のロールでは、Azure Firewall などのプラグインのトグルをオンまたはオフにすることができます。 詳細については、「Microsoft Copilot for Security でプラグインを管理する」を参照してください。

  4. プロンプト バーにプロンプトを入力します。

Azure Firewall プロンプトのサンプル

Azure Firewall から情報を得るために使用できるプロンプトはたくさんあります。 このセクションには、現在最適なものが示されています。 これらは、新しい機能のリリースに伴って継続的に更新されます。

Azure Firewall の上位 IDPS 署名ヒットを取得する

KQL クエリを手動で作成するのではなく、IDPS 機能によってインターセプトされたトラフィックに関するログ情報を取得します。

サンプル プロンプト:

  • ファイアウォール <ファイアウォール名> によってインターセプトされた悪意のあるトラフィックはありますか?
  • リソース グループ <リソース グループ名> の Firewall <Firewall 名> の過去 7 日間の上位 20 件の IDPS ヒットは何ですか?
  • 過去 1 か月間にサブスクリプション <サブスクリプション名> の ファイアウォール <ファイアウォール名> を対象とした上位 50 件の攻撃を表形式で表示してください。

ログ情報を超えて IDPS 署名の脅威プロファイルを強化する

手動でコンパイルする代わりに、IDPS 署名の脅威情報およびプロファイルを強化するために追加の詳細を取得します。

サンプル プロンプト:

  • IDPS が上位のヒットの重大度を高く、5 番目のヒットの重大度を低くフラグを設定した理由を説明してください。
  • この攻撃について何が分かりますか? この攻撃者は他のどのような攻撃で知られていますか?
  • 3 番目の署名 ID は CVE <CVE 番号> に関連付けられているようです。この CVE の詳細を教えてください。

Note

Microsoft 脅威インテリジェンス プラグインは、Microsoft Copilot for Security が IDPS シグネチャの脅威インテリジェンスを提供するために使用できるもう 1 つのソースです。

テナント、サブスクリプション、またはリソース グループ全体で特定の IDPS 署名を探す

手動で脅威を検索する代わりに、すべての Firewall で脅威のフリート全体検索 (任意のスコープ) を実行します。

サンプル プロンプト:

  • 署名 ID <ID 番号> を停止したのはこの 1 つの Firewall のみですか? このテナント全体の他の Firewall ではどうだったでしょうか?
  • サブスクリプション <サブスクリプション名> 内の他の Firewall でこの上位ヒットは検出されましたか?
  • 過去 1 週間に、リソース グループ <リソース グループ名> 内の Firewall で署名 ID <ID 番号> は検出されましたか?

Azure Firewall の IDPS 機能を使用して環境を保護するための推奨事項を生成する

情報を手動で調べるのではなく、Azure Firewall の IDPS 機能を使用して環境を保護する方法についてドキュメントから情報を取得します。

サンプル プロンプト:

  • インフラストラクチャ全体でこの攻撃者からの将来の攻撃から自分自身を保護するにはどうすればよいですか?
  • すべての Firewall が署名 ID <ID 番号> からの攻撃から保護されるようにするには、どうすればよいですか?
  • IDPS のアラートのみモードとアラート アンド ブロック モードのリスクの違いは何ですか?

Note

Microsoft Copilot for Security では、Ask Microsoft Documentation 機能を使用して、Azure Firewall の IDPS 機能を使用して環境をセキュリティで保護する方法に関する情報を提供することもできます。

フィードバックを提供する

お客様のフィードバックは、製品の現在および計画された開発の指針にとって非常に重要です。 このフィードバックを提供する最善の方法は、製品内で直接行う方法です。 完了した各プロンプトの下部にある [How’s this response?] (この回答はいかがでしたか) を選択し、次のいずれかのオプションを選択します。

  • [Looks right] (良好) - ご自身の評価に基づいて、結果が正確な場合に選びます。
  • [要改善] - ご自身の評価に基づいて、結果の詳細が正しくないか不十分な場合に選びます。
  • [不適切] - 結果に疑わしいか、あいまいであるか、または有害な可能性がある情報が含まれている場合に選びます。

フィードバック オプションごとに、表示される次のダイアログ ボックスで追加情報を提供できます。 可能であれば、特に結果が [要改善] のときは、結果を改善するために何ができるかを簡単に説明してください。 Azure Firewall 固有のプロンプトを入力し、その結果に関連性がない場合は、その情報を含めてください。

Microsoft Copilot for Security のプライバシーとデータ セキュリティ

Microsoft Copilot for Security と対話して Azure Firewall のデータを取得すると、Copilot は Azure Firewall からそのデータをプルします。 プロンプト、取得されたデータ、およびプロンプト結果に表示される出力は、Copilot サービス内で処理され、保存されます。 詳細については、「Microsoft Copilot for Security のプライバシーとデータ セキュリティ」をご覧ください。