Microsoft DefenderのMicrosoft Copilotを使用して ID 情報を要約する
ユーザーを調査しているセキュリティ運用チームは、Microsoft DefenderのセキュリティのMicrosoft Copilotの ID 概要機能を使用して、ID 情報を簡単に理解できます。 生成型 AI を使用し、Microsoft Defender for Identityの力を活用することで、Copilot はorganization内の ID に関するコンテキスト分析情報を作成し、アナリストが重要なデータをすばやく理解して調査を高速化できるようにします。
ID サマリー機能を使用すると、アナリストは、疑わしい ID または危険な ID 関連の変更と、organizationに悪影響を与える可能性があるアクションをすぐに特定できます。 この概要には、ID に影響を与える可能性のある構成ミスも含まれています。 Copilot は自然言語を使用して、アナリストがインシデント調査アクティビティで使用できる明確で実用的なユーザー情報を提供します。 この機能は現在、ユーザーに焦点を当て、次のイテレーションにサービス アカウントを含めます。
ID の概要には、ID に関する次のような重要な情報が含まれています。
- ユーザー アカウントが作成される日付、およびユーザー アカウントの重要度が高い、中、または低いかどうか
- サインインの場所、サインイン頻度、またはサインイン試行の失敗頻度に関連する異常な動作パターン
- 部署と役職を含むユーザーの現在のロール、およびユーザーの役職や部署と比較して重要なロールの変更があるかどうか、不整合を強調する
- 過去 30 日間にデバイスがユーザーに関連付けられているかどうかにかかわらず、ユーザーのデバイスへの最後のサインインに関するデータ
- 使用される認証方法とアプリケーション
- Microsoft Entra IDに基づくユーザーに関連するリスク
- ユーザーの役職や連絡先情報、部署、マネージャーの連絡先情報などの一般的な情報
ID の概要機能は、Copilot for Security へのアクセスをプロビジョニングした顧客向けのMicrosoft Defender ポータルで使用できます。 Copilot for Security スタンドアロン ポータルにアクセスするユーザーは、Microsoft Defender XDR プラグインを使用してこの機能を使用できます。 Copilot for Security にプレインストールされているプラグインの詳細を確認してください。
このガイドでは、スクリプト分析機能とそのしくみについて説明します。生成された結果に関するフィードバックを提供する方法も含まれます。
ID 情報を要約する
ID の概要機能には、次の方法でアクセスできます。
インシデント ページからインシデント グラフで ID を選択し、(1) [ ユーザーの詳細] を選択します。 ユーザーの詳細ウィンドウで、(2) [集計] を選択 します。 結果は Copilot サイド パネルに表示されます。
![ユーザーの詳細ウィンドウの [集計] オプションを示すスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/identity-summary/identity-summary-incident-small.png)
または、ユーザーの詳細ウィンドウの下部にある [ ユーザー ページに移動 ] を選択して、ユーザー ページを開くことができます。 Copilot によって ID の概要が自動的に生成され、ユーザー ページを開くとサイド パネルが表示されます。
インシデントの [ 資産 ] タブでユーザーを選択して、ID の概要機能にアクセスすることもできます。 [ユーザーの詳細] ウィンドウで [ 集計 ] を選択して、ID の概要を生成します。
![[資産] タブとユーザー アカウントが強調表示されているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/identity-summary/identity-summary-assets-small.png)
アラート ページで、ユーザーを選択し、ユーザーの詳細ウィンドウで [集計 ] を選択して ID の概要を生成します。
高度なハンティング ページでは、結果テーブルでユーザーを選択し、ユーザー ページへのリンクを選択することで、ID の概要機能にアクセスできます。 Copilot によって ID の概要が自動的に生成され、ユーザー ページを開くとサイド パネルが表示されます。
[メイン] メニューの [資産] > [ID] に移動します。 一覧からユーザー名を選択し、[ ユーザー ページの表示 ] を選択してユーザー ページを開きます。 Copilot によって ID の概要が自動的に生成され、ユーザー ページを開くとサイド パネルが表示されます。
![ID 内のユーザー名検索の [ユーザー ページの表示] オプションを強調表示しているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/identity-summary/identity-summary-viewuser-small.png)
Microsoft Defender ポータルの検索ボックスにユーザー名を入力し、検索結果からユーザー名を選択します。 ユーザーの詳細サイド パネルで、[ 集計 ] を選択して ID の概要を生成します。
![ユーザーの詳細ウィンドウの [集計] オプションを示すスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/identity-summary/identity-summary-incident.png#lightbox)
![[資産] タブとユーザー アカウントが強調表示されているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/identity-summary/identity-summary-assets.png#lightbox)
![ID 内のユーザー名検索の [ユーザー ページの表示] オプションを強調表示しているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/identity-summary/identity-summary-viewuser.png#lightbox)
ID の概要の結果を確認します。 ID の概要カードの上にある [その他のアクション] 省略記号 (...) を選択して、結果をクリップボードにコピーしたり、結果を再生成したり、Security Copilotを開いたりすることができます。 セキュリティ ポータルの Copilot で、プロンプトやその他のプラグインを使用して ID の調査を拡張できます。
ヒント
セキュリティ ポータルの Copilot でユーザーを調査する場合、ID の概要機能によって結果が確実に得られるように、プロンプトに Defender という単語を含めることをお勧めします。 たとえば、 プロンプト [最後の {time frame} でこのユーザーの Defender の概要を表示する] を使用して、指定された時間枠内にユーザー アカウントの ID の概要を生成できます。 時間枠には最大 120 日を指定できます。既定値は 30 日で、指定しない場合は 30 日です。
Microsoft では、機能の継続的な改善に不可欠であるため、Copilot にフィードバックを提供することを強くお勧めします。 フィードバックを提供するには、Copilot サイド パネルの下部に移動し、 
] を選択します。
![フィードバックを共有できる [フィードバック] テキスト ボックスを示すスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/identity-summary/feedback-textbox.png)
専用のテキスト ボックスに入力して、自分の考え、経験、要求を共有します。 Microsoft はフィードバックを重視し、Copilot のパフォーマンスとユーザー エクスペリエンスを向上させる取り組みを真剣に受け止めています。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。