Microsoft Sentinel を使用した Security Copilot

• 適用対象:

  Microsoft Sentinel, Security Copilot, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

Microsoft Security Copilot は、マシンの速度とスケールで組織を守ることを支援するプラットフォームです。 Microsoft Sentinel の大規模なセキュリティ データには、インシデントの分析とハンティング クエリの生成に役立つ Copilot 用の優れたソースが用意されています。

有効にしたその他の Security Copilot ソースとの組み合わせによって、Microsoft Sentinel のインシデントとデータは、脅威とその組織にとってのコンテキストに対するより広い可視性をもたらします。

はじめに

Security Copilot を初めて使用する場合は、次の記事を読んで理解する必要があります。

• Microsoft Security Copilot とは
• Microsoft Security Copilot エクスペリエンス
• Microsoft Security Copilot の概要
• Microsoft Security Copilot での認証について
• Microsoft Security Copilot でのプロンプト作成

Microsoft Sentinel と Security Copilot の統合

この統合は主に、https://securitycopilot.microsoft.com を介してアクセスされるスタンドアロン エクスペリエンスをサポートします。この場合、チャットのようなエクスペリエンスで操作して、インシデントを要約し、セキュリティ データに関するその他の回答を取得します。 詳細については、Microsoft Security Copilot エクスペリエンスに関する記事を参照してください。

主要な機能

Microsoft Sentinel データは、2 つの方法で Security Copilot と統合されます。

• Microsoft の統合セキュリティ オペレーション プラットフォームでは、Copilot in Microsoft Defender XDR は、Microsoft Sentinel と統合された統合インシデントからメリットが得られます。
• Microsoft Sentinel には、Copilot for Security との統合用として以下の 2 つのプラグインが用意されています。
  Microsoft Sentinel (プレビュー)
  Natural Language to KQL for Microsoft Sentinel (プレビュー)。

重要

"Microsoft Sentinel" プラグインと "Natural Language to KQL for Microsoft Sentinel" プラグインは、現在プレビュー段階です。 Azure プレビューの追加使用条件には、ベータ版、プレビュー版、またはまだ一般提供されていない Azure 機能に適用される追加の法律条項が含まれています。

Microsoft Sentinel と Microsoft Security Copilot との統合を有効にする

Microsoft Sentinel と Microsoft Security Copilot との統合を最大限に活用するには、次の操作を行います。

• Security Copilot の既定の Microsoft Sentinel ワークスペースを構成する
• Microsoft Sentinel ワークスペースを Microsoft Defender XDR に接続する

既定の Microsoft Sentinel ワークスペースを構成する

Microsoft Sentinel ワークスペースを既定として構成することで、プロンプトの精度を高めます。

1. https://securitycopilot.microsoft.com/ にある Security Copilot タブに移動します。

2. プロンプト バーの [ソース] を開きます。

3. [プラグインの管理] ページで、トグルを [オン] に設定します

4. Microsoft Sentinel (プレビュー) プラグインの歯車アイコンを選択します。

   

5. 既定のワークスペース名を構成します。

   

ヒント

ワークスペースが構成された既定値と一致しない場合は、プロンプトでワークスペースを指定します。

例: What are the top 5 high priority Sentinel incidents in workspace "soc-sentinel-workspace"?

Microsoft Sentinel を Copilot in Defender と統合する

埋め込みの Security Copilot エクスペリエンスを実現するには、Microsoft Sentinel データと共に Microsoft Defender ポータルを使用します。 Microsoft Defender XDR 統合インシデントに流れ込む Microsoft Sentinel 固有のデータ ソースを使用すると、Copilot in Defendert がその機能を最大限に活用できます。

次に例を示します。

• SAP (プレビュー) ソリューションは、Microsoft Sentinel 用のワークスペースにインストールされます。
• 凖リアルタイム ルール SAP - (プレビュー) 悪意のある IP アドレスからダウンロードされたファイルはアラートをトリガーし、Microsoft Sentinel インシデントを作成します。
• Microsoft Sentinel は、Defender ポータルにオンボードされました。
• Microsoft Sentinel インシデントは Defender XDR インシデントと統合されました。
• インシデント要約、ガイド付き応答、インシデント レポートについては、Copilot in Microsoft Defender を使用します。

詳細については、次のリソースを参照してください。

• Microsoft Defender XDR を統合する
• Microsoft Defender ポータルの Microsoft Sentinel
• Copilot in Microsoft Defender

高度な追求で Microsoft Sentinel を Security Copilot と統合する

Natural Language to KQL for Microsoft Sentinel (プレビュー) プラグインは、Microsoft Sentinel データを使用して KQL ハンティング クエリを生成して実行します。 この機能は、Microsoft Defender ポータルのスタンドアロン エクスペリエンスと高度な追求のセクションで利用できます。

Note

統合された Microsoft Defender ポータルでは、Security Copilot に対して、Defender XDR テーブルと Microsoft Sentinel テーブルの両方に対して高度な追求クエリを生成するように指示することができます。 現在、すべての Microsoft Sentinel テーブルがサポートされているわけではありません。

詳細については、「高度な追求における Security Copilot」を参照してください。

Microsoft Sentinel プロンプトの例

Microsoft Sentinel インシデント調査プロンプトブックは、効果的なプロンプトを作成するための開始点とすることができます。 このプロンプトブックは、特定のインシデントと関連アラート、評価スコア、ユーザー、デバイスに関するレポートを提供します。

ガイダンス	プロンプト
オブジェクト ID で応答するのではなく、人間が判読できる情報を提供するように Copilot に促します。	Show me Sentinel incidents that were closed as a false positive. Supply the Incident number, Incident Title, and the time they were created.
Copilot はあなたが誰であるかを知っています。 代名詞 "me" を使用して、自分に関連するインシデントを見つけます。 次のプロンプトは、自分に割り当てられたインシデントを対象とします。	What Sentinel incidents created in the last 24 hours are assigned to me? List them with highest priority incidents at the top.
プロンプト応答を 1 つのインシデントに絞り込むと、Copilot はコンテキストを認識します。	Tell me about the entities associated with that incident.
Copilot は要約を得意とします。 プロンプトと応答の要約の具体的な対象者を記述します。	Write an executive report summarizing this investigation. It should be suited for a nontechnical audience.

プロンプトに関するガイダンスとサンプルがさらに必要な場合は、以下のリソースを参照してください。

• プロンプトブックの使用
• Microsoft Security Copilot でのプロンプト作成
• Rod Trent による Security Copilot プロンプト ライブラリ

フィードバックを提供する

お客様のフィードバックは、製品の現在および計画された開発の指針にとって非常に重要です。 このフィードバックを提供する最善の方法は、製品内で直接行う方法です。 完了した各プロンプトの下部にある [How’s this response?］ (この回答はいかがでしたか) を選択し、次のいずれかのオプションを選択します。

• [Looks right] (良好) - ご自身の評価に基づいて、結果が正確な場合に選びます。
• [要改善] - ご自身の評価に基づいて、結果の詳細が正しくないか不十分な場合に選びます。
• [不適切] - 結果に疑わしいか、あいまいであるか、または有害な可能性がある情報が含まれている場合に選びます。

フィードバック オプションごとに、表示される次のダイアログ ボックスで追加情報を提供できます。 可能であれば、特に結果が [要改善] のときは、結果を改善するために何ができるかを簡単に説明してください。 Azure Firewall 固有のプロンプトを入力し、その結果に関連性がない場合は、その情報を含めてください。

Security Copilot のプライバシーとデータのセキュリティ

Security Copilot がサービスから取得したプロンプトとデータ (プロンプト出力) を処理する方法については、「Microsoft Security Copilot のプライバシーとデータ セキュリティ」を参照してください。

関連記事

• Microsoft Copilot in Microsoft Defender
• Microsoft Defender XDR と Microsoft Sentinel の統合