Microsoft Defender で Microsoft Copilot でインシデント レポートを作成する
適用対象:
- Microsoft Defender XDR
- Microsoft Defender 統合セキュリティ オペレーション センター (SOC) プラットフォーム
Microsoft Defender ポータルの Microsoft Copilot for Security は、セキュリティ運用チームがインシデント レポートを効率的に作成するのを支援します。 セキュリティの AI を利用したデータ処理に Copilot を使用すると、セキュリティ チームは Microsoft Defender ポータルでボタンをクリックするだけでインシデント レポートをすぐに作成できます。
包括的で明確なインシデント レポートは、セキュリティ チームとセキュリティ運用管理に不可欠なリファレンスです。 ただし、重要な詳細を含む包括的なレポートを作成することは、セキュリティ運用チームにとって時間のかかる作業になる可能性があります。 複数のソースからインシデント情報を収集、整理、要約するには、情報豊富なレポートを作成するために焦点と詳細な分析が必要です。 Defender の Copilot を使用すると、セキュリティ チームはポータル内に広範なインシデント レポートをすぐに作成できるようになりました。
インシデントの 概要 とインシデントの発生状況の概要を示しますが、インシデント レポートでは、Microsoft Sentinel と Defender XDR で使用できるさまざまなデータ ソースからのインシデント情報が統合されます。 Copilot によって生成されたインシデント レポートには、アナリスト主導のすべての手順と自動アクション、インシデント対応に関与するアナリスト、アナリストからのコメントも含まれます。 セキュリティ チームが Microsoft Sentinel、Defender XDR、またはその両方を使用しているかどうかに関係なく、関連するすべてのインシデント データが生成されたインシデント レポートに追加されます。
Copilot は、実装された自動アクションと手動アクション、およびインシデントに投稿されたアナリストのコメントとメモに基づいてインシデント レポートを生成します。 推奨事項を確認して従って、Copilot が包括的なインシデント レポートを作成することを確認できます。
Microsoft Defender のインシデント レポート生成機能は、 Copilot for Security ライセンスを通じて利用できます。 この機能は、Microsoft Defender XDR プラグインを使用して、Copilot for Security スタンドアロン ポータルでも使用できます。
このガイドでは、インシデント レポートのデータを一覧表示し、Microsoft Defender ポータル内のインシデント レポート作成機能にアクセスする方法について説明します。 また、生成されたレポートに関するフィードバックを提供する方法に関する情報も含まれています。
インシデント レポートのコンテンツ
Defender の Copilot は、次の情報を含むインシデント レポートを作成します。
- 主なインシデント管理アクションのタイムスタンプ(次を含む):
- インシデントの作成と終了
- ログがアナリスト主導か自動かに関係なく、インシデントでキャプチャされた最初と最後のログ
- インシデント対応に関与するアナリスト
- Copilot が要約した分類のアナリストの理由を含むインシデント分類
- 調査と修復のアクション
- インシデント ログでアナリストがメモした推奨事項、未解決の問題、または次の手順などのアクションをフォローアップする
デバイスの分離、ユーザーの無効化、電子メールの論理的な削除などのアクションは、インシデント レポートに含まれます。 インシデント レポートに含まれるアクションの完全な一覧については、 アクション センターを参照してください。 インシデント レポートには、 実行された Microsoft Sentinel プレイブックも含まれています。 パブリック API ソースまたはカスタム検出からのライブ応答コマンドと応答アクションはまだサポートされていません。
インシデントを解決して、実行されたすべてのアクションを表示することをお勧めします。 解決されないインシデントには、インシデント レポートのアクションが部分的に反映されます。
インシデント レポートを作成する
Defender で Copilot を使用してインシデント レポートを作成するには、次の手順に従います。
インシデント ページを開きます。 インシデント ページで、[ その他のアクション ] 省略記号 (...) に移動し、[ インシデント レポートの生成] を選択します。 または、[Copilot] サイド パネルにあるレポート アイコンを選択することもできます。
Copilot によってインシデント レポートが作成されます。 レポートの作成を停止するには、[レポートの作成の 取り消 しと再起動] を選択し、[ 再生成] を選択します。 また、エラーが発生した場合は、レポートの作成を再開できます。
[Copilot] ウィンドウにインシデント レポート カードが表示されます。 生成されるレポートは、Microsoft Defender XDR と Microsoft Sentinel から入手できるインシデント情報によって異なります。 包括的なインシデント レポートを確保するには 、推奨事項 を参照してください。
インシデント レポート カードの右上にある [その他のアクション] 省略記号 (...) を選択します。 レポートをコピーするには、[ クリップボードにコピーしてレポートを 任意のシステムに貼り付ける]、[ Post to activity log]\(アクティビティ ログに投稿 する\) を選択して Microsoft Defender ポータルのアクティビティ ログにレポートを追加するか、[ インシデントを PDF としてエクスポート ] を選択して インシデント データを PDF にエクスポートします。 [ 再生成] を選択してレポートの作成を再開します。 また、Copilot for Security で開いて結果を表示し、Copilot for Security スタンドアロン ポータルで使用できる他のプラグインに引き続きアクセスすることもできます。
生成されたインシデント レポートを確認します。 結果の下部にあるフィードバック アイコンを選択すると、レポートに関するフィードバックを提供できます
。
インシデントを PDF にエクスポートする
インシデント データを PDF にエクスポートして、関係者と簡単に共有できるレポートを作成できます。 エクスポートされたインシデント データには、攻撃ストーリー、影響を受けた資産、関連するアラート、インシデントの概要やインシデント レポートなど、Copilot から AI によって生成されたコンテンツなどの関連情報が含まれています。 この機能を使用すると、セキュリティ チームは、チーム メンバー内または他の利害関係者とインシデント後のディスカッションのために、より多くのインシデント情報をすばやくエクスポートできます。
「 インシデント データを PDF にエクスポートする 」の手順に従って PDF を生成できます。
インシデント レポートの作成に関する推奨事項
Copilot が包括的かつ完全なインシデント レポートを生成することを確認するために考慮すべき推奨事項を次に示します。
- インシデント レポートを生成する前に、インシデントを分類して解決します。
- コメントを Microsoft Sentinel アクティビティ ログまたは Microsoft Defender XDR インシデント アクティビティ ログ に書き込んで保存し、インシデント レポートにコメントを含めるようにします。
- 包括的で明確な言語を使用してコメントを記述します。 詳細で明確なコメントは、応答アクションに関するより良いコンテキストを提供します。 コメント フィールドにアクセスする方法については、次の手順を参照してください。
- Microsoft Defender ポータルでインシデントにコメントを追加する
- Microsoft Sentinel でインシデントにコメントを追加する
- ServiceNow ユーザーの場合は、 Microsoft Sentinel と ServiceNow の双方向同期を有効に して、より堅牢なインシデント データを取得します。
- 生成されたインシデント レポートをコピーし、Microsoft Defender ポータルのアクティビティ ログに投稿して、インシデント レポートがインシデント ページに確実に保存されるようにします。
関連項目
- Microsoft Copilot for Security の使用を開始する
- セキュリティ埋め込みエクスペリエンスのためのその他の Copilot について学習する
- Copilot for Security でプレインストールされているプラグインの詳細を確認する
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community で Microsoft セキュリティ コミュニティに参加します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示