Microsoft Defender の Microsoft Copilot でインシデントを要約する

Microsoft Defender XDR は、Copilot for Security の機能を適用してインシデントを要約し、調査タスクを簡素化する効果的な情報と分析情報を提供します。 攻撃調査は、インシデント対応チームがサイバー脅威によるさらなる損害に対して組織を正常に防御するための重要なステップです。 調査には多くの手順が含まれるため、多くの場合、時間がかかる場合があります。 インシデント対応チームは、攻撃がどのように発生したかを理解する必要があります。多数のアラートを並べ替え、関連する資産とエンティティを特定し、攻撃の範囲と影響を評価します。

インシデント レスポンダーは、Defender XDR の相関関係機能と Copilot for Security の AI を利用したデータ処理とコンテキスト化を通じて、インシデントを調査および修復するための適切なコンテキストを簡単に取得できます。 インシデントの概要により、レスポンダーは調査に役立つ重要な情報をすばやく取得できます。

インシデント概要機能は、Copilot for Security ライセンスを通じて Microsoft Defender ポータルで利用できます。 この機能は、Microsoft Defender XDR プラグインを通じて Copilot for Security スタンドアロン エクスペリエンスでも使用できます。

このガイドでは、フィードバックの提供に関する情報など、Defender の Copilot の概要機能にアクセスする方法について説明します。

インシデントを要約する

最大 100 件のアラートを含むインシデントは、1 つのインシデントの概要にまとめることができます。 データの可用性に応じて、インシデントの概要には次のものが含まれます。

• 攻撃が開始された日時。
• 攻撃が開始されたエンティティまたは資産。
• 攻撃がどのように展開されたかについてのタイムラインの概要。
• 攻撃に関係する資産。
• 侵害の指標 (IoCs)。
• 関連する 脅威アクターの 名前。

インシデントを要約するには、次の手順を実行します。

1. インシデント ページを開きます。 Copilot では、ページを開くとインシデントの概要が自動的に作成されます。 概要の作成を停止するには、[キャンセル] を選択します。または、[再生成] を選択して作成を再開します。

2. インシデントの概要カードが Copilot ウィンドウに読み込まれます。 カードで生成された概要を確認します。

   

   ヒント

   結果の証拠をクリックすると、Copilot の結果ウィンドウからファイル、IP、または URL ページに移動できます。

3. インシデント概要カードの上部にあるその他のアクションの省略記号 (...) を選択して概要をコピーまたは再生成するか、Copilot for Security ポータルで概要を表示します。 [Copilot for Security で開く] を選択すると、Copilot for Security スタンドアロン ポータルの新しいタブが開き、プロンプトを入力したり、他のプラグインにアクセスしたりできるようになります。

   

4. 概要を確認し、その情報を使用してインシデントの調査と対応を行います。 Copilot ウィンドウの下部にあるフィードバック アイコン を選択すると、概要に関するフィードバックを提供できます。

関連項目

• スクリプト分析を実行する
• ファイルを分析する
• デバイスの概要を生成する
• 脅威への対応時にガイド付き応答を使用する
• KQL クエリを生成する
• インシデント レポートを作成する
• Microsoft Copilot for Security の使用を開始する
• Copilot for Security のその他の組み込みエクスペリエンスの詳細
• Copilot for Security にプレインストールされているプラ​​グインの詳細
• Microsoft Defender XDR でインシデントを調査する