Microsoft Defender の Microsoft Copilot

適用対象:

• Microsoft Defender XDR
• Microsoft Defender 統合セキュリティ オペレーション センター (SOC) プラットフォーム

Microsoft Copilot for Security は、AI の力と人間の専門知識を組み合わせて、セキュリティ チームが攻撃に迅速かつ効果的に対応できるようにします。 セキュリティ用の Copilot は Microsoft Defender ポータルに埋め込まれており、セキュリティ チームがインシデントの効率的な要約、スクリプトとコードの分析、ファイルの分析、デバイス情報の要約、ガイド付き応答を使用してインシデントを解決し、KQL クエリを生成し、インシデント レポートを作成できるようにします。

この記事では、Defender の Copilot のユーザーの概要について説明します。これには、アクセス手順、主要な機能、およびこれらの機能の詳細へのリンクが含まれます。

Defender で Copilot にアクセスする

Defender で Copilot にアクセスできるようにするには、 セキュリティの購入とライセンスに関する情報を参照してください。 セキュリティのために Copilot にアクセスすると、以下で説明する主要な機能に Microsoft Defender ポータルでアクセスできるようになります。

専門家のようなインシデントを調査して対応する

セキュリティ チームが迅速かつ正確に攻撃調査に対応できるようにします。 Copilot は、チームが攻撃をすぐに理解し、疑わしいファイルとスクリプトを迅速に分析し、攻撃を停止して封じ込めるために適切な軽減策を迅速に評価して適用するのに役立ちます。

インシデントをすばやく要約する

複数のアラートを含むインシデントの調査は、困難な作業になる可能性があります。 インシデントをすぐに理解するには、[Copilot] をタップして インシデントを要約 できます。 Copilot は、攻撃の概要を作成します。 概要には、攻撃で発生した内容、関与する資産、攻撃のタイムラインを理解するための重要な情報が含まれています。 Copilot は、インシデントのページに移動すると、自動的に概要を作成します。

ガイド付き対応を通じてインシデントに対するアクションを実行する

インシデントを解決するには、アナリストが攻撃を理解して、適切なソリューションを把握する必要があります。 Copilot は、各インシデントに固有 のガイド付き応答 を通じてソリューションを推奨します。

スクリプト分析を簡単に実行する

ほとんどの攻撃者は、検出と分析を回避するために、攻撃を開始するときに高度なマルウェアに依存しています。 これらのマルウェアは通常、難読化され、PowerShell のスクリプトまたはコマンド ラインの形式である可能性があります。 Copilot はスクリプトをすばやく 分析できるため、調査にかかる時間を短縮できます。

デバイスの概要を生成する

インシデントに関連するデバイスの調査は、タスクジョブになる可能性があります。 デバイスをすばやく評価するために、Copilot は デバイスのセキュリティ体制、異常な動作、脆弱なソフトウェアの一覧、関連する Microsoft Intune 情報など、デバイスの情報を要約できます。

ファイルを迅速に分析する

Copilot は、セキュリティ チームが ファイル分析を使用して疑わしいファイルをすばやく評価して理解するのに役立ちます。 Copilot は、検出情報、関連するファイル証明書、API 呼び出しの一覧、ファイル内の文字列など、ファイルの概要を提供します。

インシデント レポートを効率的に作成する

セキュリティ運用チームは通常、重要な情報を記録するレポートを作成します。これには、実行された対応アクション、対応する結果、関連するチーム メンバー、および将来のセキュリティの決定と学習に役立つその他の情報が含まれます。 多くの場合、インシデントの文書化には時間がかかる場合があります。 インシデント レポートを有効にするには、インシデントの概要と、誰がいつどのようなアクションを実行したかなど、実行されたアクションが含まれている必要があります。 Copilot は、 これらの情報をすばやく統合することでインシデント レポートを生成します。

プロのように狩り

Defender の Copilot は、セキュリティ チームが適切な KQL クエリを迅速に構築することで、ネットワーク内の脅威を事前に検出するのに役立ちます。

自然言語入力から KQL クエリを生成する

高度なハンティングを使用してネットワーク内の脅威を事前に検出するセキュリティ チームは、脅威ハンティングのコンテキストで自然言語の質問をすぐに実行できる KQL クエリに変換するクエリ アシスタントを使用できるようになりました。 クエリ アシスタントは、アナリストのニーズに応じて自動的に実行または調整できる KQL クエリを生成することで、セキュリティ チームの時間を節約します。 詳細については、 高度なハンティングの Copilot for Security のクエリ アシスタントに関する記事を参照してください。

関連する脅威インテリジェンスを使用して組織を保護する

最新の脅威インテリジェンスを使用して、セキュリティ組織が情報に基づいた意思決定を行えるようにします。 Copilot は脅威インテリジェンスを統合して要約し、セキュリティ チームが脅威の優先順位を付け、効果的に対応できるようにします。

脅威インテリジェンスを監視する

Copilot に、環境に影響を与える関連する脅威の概要をまとめるか、露出レベルに基づいて脅威を解決することに優先順位を付けるか、業界をターゲットにしている可能性のある脅威アクターを見つけましょう。 脅威インテリジェンスのセキュリティに関する Copilot の詳細を参照してください。

Copilot のデータ セキュリティとフィードバック

Copilot は、管理者によって定義された設定に応じて、保存、処理、共有されるデータを使用して継続的に進化します。 Microsoft では、Copilot を使用する場合、データが常に保護され、セキュリティで保護されます。 Copilot のデータ セキュリティとプライバシーの詳細については、「Copilot のプライバシーとデータ セキュリティ」を参照してください。

その進化が続いているため、Copilotはいくつかのことを見逃す可能性があります。 結果に関 するフィードバックの確認と提供は 、Copilot の今後の対応を改善するのに役立ちます。

Defender の機能のすべての Copilot には、フィードバックを提供するためのオプションがあります。 フィードバックを提供するには、次の手順を実行します。

1. フィードバック アイコン ] を選択します。Copilot 側パネルの結果カードの下部にあります。
2. 評価に基づく結果が正確であれば、[確認済み、正確] を選択します。 詳細については、次のダイアログ ボックスを参照してください。
3. 評価に基づいて詳細が正しくないか不完全な場合は、[オフターゲット、不正確 ] を選択します。 次のダイアログ ボックスで評価に関する詳細情報を入力し、この評価を Microsoft に送信できます。
4. また、問題のある情報やあいまいな情報が含まれている場合は、［有害で不適切な可能性］ を選択して結果を報告することもできます。 次のダイアログ ボックスで結果の詳細を入力し、[送信] を選択します。

セキュリティのための Copilot のプラグイン

Copilot は、Microsoft Sentinel および Defender XDR プラグイン用の KQL に、Microsoft Defender XDR、Defender 脅威インテリジェンス、自然言語などの プレインストールされた Microsoft プラグインを使用して、関連情報を生成し、インシデントにより多くのコンテキストを提供し、より正確な結果を生成します。 Copilot でプラグインがオンになっていることを確認して、関連するデータへのアクセスを許可し、組織内の他の Microsoft サービスから要求されたコンテンツを生成します。

次の手順

• インシデントを要約する方法
• インシデントへの対応時にガイド付き応答を使用する
• スクリプト分析を実行する
• ファイルを分析する
• デバイスの概要を生成する
• KQL クエリを生成する
• インシデント レポートを作成する
• 脅威インテリジェンスを使用する

関連項目

• Copilot for Security の使用を開始する
• Copilot のプライバシーとデータ セキュリティ
• 責任ある AI に関する FAQ
• セキュリティ埋め込みエクスペリエンスのためのその他の Copilot