Microsoft Defender の Microsoft Copilot

Microsoft Copilot forSecurity は、AI と人間の専門知識の力を組み合わせて、セキュリティ チームがより迅速かつ効果的に攻撃に対応できるようにするプラットフォームです。 セキュリティのための Copilot は、セキュリティ チームがインシデントを効率的に要約し、スクリプトとコードを分析し、ファイルを分析し、デバイス情報を要約し、ガイド付き応答を使用してインシデントを解決し、KQL クエリを生成し、インシデント レポートを作成できるように、Microsoft Defender ポータルに埋め込まれています。

この記事では、アクセス手順、主要な機能、これらの機能の詳細へのリンクなど、Defender の Copilot のユーザー向けの概要について説明します。

Defender の Copilot にアクセスする

Defender の Copilot にアクセスできることを確認するには、「Copilot for Security の購入とライセンスに関する情報」をご覧ください。 Copilot for Security にアクセスできるようになったら、以下で説明する主要な機能に Microsoft Defender ポータルでアクセスできるようになります。

エキスパートのようにインシデントを調査して対応する

セキュリティ チームが攻撃の調査に適時に簡単かつ正確に取り組むことができるようになります。 Copilot は、チームが攻撃をすぐに理解し、疑わしいファイルやスクリプトをすばやく分析し、適切な軽減策を迅速に評価して適用して攻撃を阻止し、含めるのに役立ちます。

インシデントをすばやく要約する

複数のアラートを含むインシデントの調査は、困難な作業になる可能性があります。 インシデントをすぐに理解するには、Copilot をタップしてインシデントを要約します。 Copilot は、攻撃の概要を作成します。 概要には、攻撃で発生した内容、関与する資産、攻撃のタイムラインを理解するための重要な情報が含まれています。 インシデントのページに移動すると、Copilot によって自動的に概要が作成されます。

ガイド付き対応を通じてインシデントに対するアクションを実行する

インシデントを解決するには、アナリストが攻撃について理解し、適切な解決策を把握する必要があります。 Copilot は、各インシデントに固有のガイド付きの応答を通じたソリューションをおすすめします。

スクリプト分析を簡単に実行する

ほとんどの攻撃者は、検出と分析を回避するために、攻撃を開始するときに高度なマルウェアに依存しています。 通常、これらのマルウェアは難読化され、PowerShell のスクリプトまたはコマンド ライン形式である可能性があります。 Copilot では、すばやくスクリプトを分析し、調査の時間を短縮できます。

デバイスの概要を生成する

インシデントに関連するデバイスの調査は、タスク ジョブになる可能性があります。 デバイスをすばやく評価するために、Copilot は、デバイスのセキュリティ態勢、異常な動作、脆弱なソフトウェアのリスト、関連する Microsoft Intune 情報など、デバイスの情報を要約できます。

ファイルを迅速に分析する

Copilot は、ファイル分析を使用して、セキュリティ チームが疑わしいファイルをすばやく評価して理解する上で役立ちます。 Copilot は、検出情報、関連するファイル証明書、API 呼び出しのリスト、ファイル内の文字列などといった、ファイルの概要を提供します。

ID をすぐに調査する

Copilot で ID の概要 を生成することで、ユーザーのリスクをすばやく評価します。 ユーザーのロールとロールの変更、サインイン動作、サインイン先のデバイス、および関連する連絡先情報に関するコンテキスト化された情報で、ID が危険にさらされているか、疑わしい状況を特定します。

インシデント レポートを効率的に作成する

セキュリティ運用チームは通常、重要な情報を記録するレポートを作成します。これには、実行された対応アクション、対応する結果、関連するチーム メンバー、および将来のセキュリティの決定と学習に役立つその他の情報が含まれます。 多くの場合、インシデントの文書化には時間がかかる場合があります。 インシデント レポートを有効にするには、インシデントの概要と、誰がいつどのようなアクションを実行したかなど、実行されたアクションが含まれている必要があります。 Copilot は、これらの情報をすばやく統合することで、インシデント レポートを生成します。

プロのように追求する

Defender の Copilot は、セキュリティ チームが適切な KQL クエリを迅速に構築することで、ネットワーク内の脅威を積極的に探す上で役立ちます。

自然言語入力から KQL クエリを生成する

高度なハンティングを使用してネットワーク内の脅威を事前に検出するセキュリティ チームは、脅威ハンティングのコンテキストで自然言語の質問をすぐに実行できる KQL クエリに変換するクエリ アシスタントを使用できるようになりました。 クエリ アシスタントは、アナリストのニーズに応じて自動的に実行または調整できる KQL クエリを生成することで、セキュリティ チームの時間を節約します。 「高度な追求における Copilot for Security」 でクエリ アシスタントの詳細をご覧ください。

関連する脅威インテリジェンスで組織を保護する

セキュリティ組織が最新の脅威インテリジェンスを使用して、情報に基づいた意思決定を行えるようにします。 Copilot は脅威インテリジェンスを統合して要約し、セキュリティ チームが脅威に優先順位を付けて効果的に対応できるようにします。

脅威インテリジェンスの監視

Copilot に、環境に影響を与える関連する脅威の要約、露出レベルに基づく脅威の解決の優先順位付け、または業界を対象にしている可能性のある脅威アクターの検索を依頼します。 脅威インテリジェンスの Copilot for Security の詳細情報。

Copilot のデータのセキュリティとフィードバック

Copilot は、管理者が定義した設定に応じて、格納、処理、そして共有 されたデータを使用して、継続的に進化します。 Microsoft は、Copilot を使用する際に、お客様のデータが常に保護され、安全であることを保証します。 Copilot のプライバシーとデータのセキュリティとの詳細については、「Copilot におけるプライバシーとデータのセキュリティ」をご覧ください。

進化が止まらないゆえに、Copilot は何かを見逃してしまうこともありえます。 結果に対するレビューとフィードバックの提供は、Copilot の将来の対応を改善する上で役立ちます。

Defender の Copilot のすべての機能には、フィードバックを提供するためのオプションが設けられています。 フィードバックを提供するには、次の手順を実行します。

1. フィードバック アイコンを選択 側パネルの結果カードの下部にあります。
2. 結果 が 正確であると判断した場合は、[右に表示] を選択します。 次のダイアログ ボックスに詳細情報を入力することができます。
3. 結果が不足しているか不完全と評価した場合は、[ 改善が必要 ] を選択します。 次のダイアログ ボックスで評価に関する詳細情報を入力し、この評価を Microsoft に送信できます。
4. [ 不適切] を選択して、疑わしい情報やあいまいな情報が含まれている場合は、結果を報告することもできます。 次のダイアログ ボックスで結果の詳細を入力し、[送信] を選択します。

Copilot for Security のプラグイン

Copilot では、Microsoft Defender XDR、Defender 脅威インテリジェンス、Microsoft Sentinel 用の KQL への自然言語、Defender XDR プラグインといったプレインストールされた Microsoft プラグインを使用して、関連情報を生成し、インシデントに対してより多くのコンテキストを提供し、より正確な結果を生成します。 Copilot でプラグインが有効になっていることを確認して、関連するデータへのアクセスを許可し、組織内の他の Microsoft サービスから要求されたコンテンツを生成します。

次の手順

• インシデントを要約する方法
• インシデントへの対応時にガイド付き応答を使用する
• スクリプト分析を実行する
• ファイルを分析する
• デバイスの概要を生成する
• KQL クエリを生成する
• インシデント レポートを作成する
• 脅威インテリジェンスを使用する

関連項目

• Copilot for Security の使用を開始する
• Copilot のプライバシーとデータのセキュリティ
• 責任ある AI に関する FAQ
• その他の Copilot for Security に組み込まれたエクスペリエンス