Defender EASM での Microsoft Security Copilot の統合
"Microsoft Defender External Attack Surface Management (Defender EASM)" は、オンライン インフラストラクチャの外部への露出を示すために、デジタル攻撃対象領域を継続的に検出してマップします。 このように可視化することで、セキュリティ チームと IT チームは、未知の要素を特定し、リスクの優先順位を付け、脅威を排除し、ファイアウォールを越えて脆弱性と露出の制御を拡張することができます。 Attack Surface Insights は、脆弱性とインフラストラクチャのデータを分析することで生成され、組織にとって重要な関心領域を示します。
Defender EASM での Microsoft Security Copilot (Security Copilot) 統合は、Microsoft によって検出された攻撃面の操作に役立ちます。 攻撃面を特定することで、組織は外部に面しているインフラストラクチャと関連する重大なリスクを迅速に把握できます。 脆弱性、コンプライアンス、セキュリティの衛生状態など、リスクの特定の領域に関する分析情報を提供します。
Security Copilot の詳細については、「Security Copilot とは」を参照してください。 組み込みの Security Copilot エクスペリエンスの詳細については、「Azure で Microsoft Copilot を使用して Defender EASM で攻撃面に対してクエリを実行する」を参照してください。
はじめに
Security Copilot を初めて使用する場合は、次の記事を読んでソリューションについて理解を深めていただくことをお勧めします。
- Microsoft Security Copilot とは
- Security Copilot エクスペリエンス
- Security Copilot の使用を開始する
- Security Copilot での認証について
- Security Copilot でのプロンプト
Defender EASM の Security Copilot
Security Copilot では、Defender EASM から組織の攻撃面に関する分析情報を取得できます。 Security Copilot の組み込み機能を使用できます。 さらに詳細な情報を取得するには、Security Copilot でプロンプトを使用します。 この情報は、セキュリティ態勢を理解し、脆弱性を軽減するのに役立ちます。
この記事では、Defender EASM ユーザーに役立つプロンプトのサンプルを含めた Security Copilot を紹介します。
主要な機能
EASM Security Copilot の統合は、次のことに役立ちます。
外部攻撃面のスナップショットを取得し、潜在的なリスクに関する分析情報を生成します。
インターネット上で入手可能な情報を Defender EASM 独自の検出アルゴリズムと組み合わせることで、外部攻撃面を迅速に確認できます。 ホスト、ドメイン、Web ページ、IP アドレスなど、組織の外部に公開されている資産に関して、わかりやすい自然言語での説明が提供されます。 各資産に関連する重大なリスクが強調表示されます。
資産のリスクと共通脆弱性および露出 (CVE) リスト 項目に基づいて、修復作業に優先順位を付けます。
Defender EASM は、セキュリティ チームが環境内で最も大きなリスクをもたらす資産と CVE を理解できるようにすることで、修復作業の優先順位を付けるのに役立ちます。 脆弱性とインフラストラクチャ データを分析して、懸念される重要な領域を示し、リスクと推奨されるアクションについて自然言語で説明が提供されます。
Security Copilot を使用して分析情報を抽出します。
Security Copilot を使用して自然言語で分析情報について質問し、組織の攻撃面に関する分析情報を Defender EASM から抽出できます。 セキュリティで保護されていない Secure Sockets Layer (SSL) 証明書の数、検出されたポート、攻撃面に影響を与える特定の脆弱性などの詳細をクエリを実行して取得します。
攻撃面のキュレーションを迅速化します。
Security Copilot を使用して、一連の資産のラベル、外部 ID、状態変更を適用して攻撃面をキュレーションします。 このプロセスにより、キュレーションが高速化されるため、インベントリをより速く効率的に整理できます。
Security Copilot 統合を有効にする
Defender EASM で Security Copilot 統合を設定するには、次のセクションで説明されている手順を実行してください。
前提条件
統合を有効にするには、次の前提条件を満たす必要があります。
- Microsoft Security Copilot へのアクセス
- 新しい接続をアクティブ化するためのアクセス許可
Security Copilot を Defender EASM に接続する
Security Copilot にアクセスし、認証されていることを確認します。
プロンプト入力バーの右上にある Security Copilot プラグイン アイコンを選択します。
[Microsoft] で、[Defender 外部攻撃面管理] を見つけます。 [オン] を選択して接続します。
Security Copilot に Defender EASM リソースからデータをプルさせる場合は、歯車アイコンを選択してプラグインの設定を開きます。 [概要] ペインのリソースの [Essentials] セクションの値を使用して、値を入力または選択します。
Note
Defender EASM を購入していない場合でも、Defender EASM スキルを使用できます。 詳細については、「プラグイン機能のリファレンス」を参照してください。
Defender EASM プロンプトのサンプル
Security Copilot は主に自然言語プロンプトを使用します。 Defender EASM の情報をクエリ実行で取得する際には、Security Copilot が Defender EASM プラグインを選択して関連する機能を呼び出すのをガイドするプロンプトを送信します。
Security Copilot プロンプトで成功するには、次の方法をお勧めします。
最初のプロンプトでは、必ず会社名を参照してください。 特に指定がない限り、今後表示されるプロンプトはすべて、最初に指定された会社に関するデータを提供します。
プロンプトは明確かつ具体的なものを使用します。 プロンプトに特定の資産名やメタデータ値 (CVE ID など) を含めると、より良い結果が得られる場合があります。
また、次の例のように Defender EASM をプロンプトに追加するのも役立つ場合があります。
- Defender EASM によると、期限が切れているドメインはどれですか?
- Defender EASM の攻撃面に関する優先度の高い分析情報について教えてください。
さまざまなプロンプトとバリエーションを試して、ユース ケースに最適なものを確認します。 チャット AI モデルにはさまざまなものがあるため、受け取った結果に基づいてプロンプトを繰り返し調整します。
Security Copilot はプロンプト セッションを保存します。 前のセッションを表示するには、Security Copilot のメニューで [マイ セッション] を選択します。
ピン留めや共有機能など、 Security Copilot のチュートリアルについては、「Security Copilot のナビゲーション」を参照してください。
Security Copilot プロンプトの記述の詳細については、「Security Copilot のプロンプトのヒント」を参照してください。
プラグイン機能リファレンス
| 機能 | 説明 | 入力 | 動作 |
|---|---|---|---|
| 攻撃面の概要を取得する | 顧客の Defender EASM リソース、または指定した会社名の攻撃面の概要を返します。 | 入力例: • LinkedIn の攻撃面を取得します。 • 自分の攻撃面を取得します。 • Microsoft の攻撃面は何ですか? • 自分の攻撃面は何ですか? • Azure の外部に公開されている資産は何ですか? • 自分の外部に公開されている資産は何ですか? 省略可能な入力: • CompanyName |
プラグインがアクティブな Defender EASM リソースに構成されていて、他の会社が指定されていない場合: • 顧客の Defender EASM リソースの攻撃面の概要を返します。 別の会社名が指定されている場合: • 会社名の完全一致がない場合は、一致する可能性のある名前の一覧を返します。 • 完全一致があった場合は、その会社名の攻撃面の概要を返します。 |
| 攻撃面の分析情報を取得する | 顧客の Defender EASM リソース、または指定した会社名の攻撃面の分析情報を返します。 | 入力例: • LinkedIn の優先度の高い攻撃面の分析情報を取得します。 • 自分の優先度の高い攻撃面の分析情報を取得します。 • Microsoft の優先順位の低い攻撃面の分析情報を取得します。 • 優先順位の低い攻撃面の分析情報を取得します。 • Azure の外部攻撃面に優先度の高い脆弱性がありますか? 必須の入力: • PriorityLevel (優先度レベルは 'high'、'medium'、または 'low' である必要があります。指定しない場合は、既定値の 'high' になります)省略可能な入力: • CompanyName (会社名) |
プラグインがアクティブな Defender EASM リソースに構成されていて、他の会社が指定されていない場合: • 顧客の Defender EASM リソースの攻撃面の分析情報を返します。 別の会社名が指定されている場合: • 会社名の完全一致がない場合は、一致する可能性のある名前の一覧を返します。 • 完全一致があった場合は、その会社名の攻撃面の分析情報を返します。 |
| CVE の影響を受ける資産を取得する | 顧客の Defender EASM リソース、または指定した会社名の CVE の影響を受ける資産を返します。 | 入力例: • LinkedIn の CVE-2023-0012 の影響を受ける資産を取得します。 • Microsoft の CVE-2023-0012 の影響を受ける資産はどれですか? • Azure の外部攻撃面は CVE-2023-0012 の影響を受けますか? • 自分の攻撃面の CVE-2023-0012 の影響を受ける資産を取得します。 • 自分の資産のうち、CVE-2023-0012 の影響を受けるものはどれですか? • 外部攻撃面は CVE-2023-0012 の影響を受けていますか? 必須の入力: • CveId 省略可能な入力: • CompanyName |
プラグインがアクティブな Defender EASM リソースに構成されていて、他の会社が指定されていない場合: • プラグインの設定が入力されていない場合は、エラーで顧客に通知します。 • プラグインの設定が入力されている場合は、顧客の Defender EASM リソースの CVE の影響を受ける資産を返します。 別の会社名が指定されている場合: • 会社名の完全一致がない場合は、一致する可能性のある名前の一覧を返します。 • 完全一致があった場合は、指定した会社名の CVE の影響を受ける資産を返します。 |
| CVSS の影響を受ける資産を取得する | 顧客の Defender EASM リソース、または指定した会社名の共通脆弱性評価システム (CVSS) スコアの影響を受ける資産を返します。 | 入力例: • LinkedIn の攻撃面で優先度の高い CVSS スコアの影響を受ける資産を取得します。 • Microsoft のクリティカル CVSS スコアを持つ資産の数はいくつですか? • Azure のクリティカル CVSS スコアを持つ資産はどれですか? • 自分の攻撃面で優先度の高い CVSS スコアの影響を受ける資産を取得します。 • クリティカル CVSS スコアを持っている自分の資産の数はいくつですか? • クリティカル CVSS スコアを持っている自分の資産はどれですか? 必須の入力: • CvssPriority (CVSS 優先度はクリティカル、高、中、低である必要があります)省略可能な入力: • CompanyName |
プラグインがアクティブな Defender EASM リソースに構成されていて、他の会社が指定されていない場合: • プラグインの設定が入力されていない場合は、エラーで顧客に通知します。 • プラグインの設定が入力されている場合は、顧客の Defender EASM リソースの CVSS スコアの影響を受ける資産を返します。 別の会社名が指定されている場合: • 会社名の完全一致がない場合は、一致する可能性のある名前の一覧を返します。 • 完全一致があった場合は、指定した会社名の CVSS スコアの影響を受ける資産を返します。 |
| 期限切れのドメインを取得する | 顧客の Defender EASM リソース、または指定した会社名の期限切れのドメインの数を返します。 | 入力例: • LinkedIn の攻撃面で有効期限が切れているドメインはいくつですか? • Microsoft の期限切れのドメインを使用している資産はいくつですか? • 自分の攻撃面で有効期限が切れているドメインはいくつですか? • 自分の資産のうち、Microsoft の期限切れのドメインを使用している資産はいくつですか? 省略可能な入力: • CompanyName |
プラグインがアクティブな Defender EASM リソースに構成されていて、他の会社が指定されていない場合: • 顧客の Defender EASM リソースの期限切れのドメインの数を返します。 別の会社名が指定されている場合: • 会社名の完全一致がない場合は、一致する可能性のある名前の一覧を返します。 • 完全一致があった場合は、指定した会社名の期限切れのドメインの数を返します。 |
| 期限切れの証明書を取得する | 顧客の Defender EASM リソース、または指定した会社名の期限切れの SSL 証明書の数を返します。 | 入力例: • LinkedIn で有効期限が切れている SSL 証明書はいくつですか? • Microsoft の有効期限が切れている SSL 証明書を使用している資産はいくつですか? • 自分の攻撃面で有効期限が切れている SSL 証明書はいくつですか? • 有効期限が切れた SSL 証明書は何ですか? 省略可能な入力: • CompanyName |
プラグインがアクティブな Defender EASM リソースに構成されていて、他の会社が指定されていない場合: • 顧客の Defender EASM リソースの SSL 証明書の数を返します。 別の会社名が指定されている場合: • 会社名の完全一致がない場合は、一致する可能性のある名前の一覧を返します。 • 完全一致があった場合は、指定した会社名の SSL 証明書の数を返します。 |
| SHA1 証明書を取得する | 顧客の Defender EASM リソース、または指定した会社名の SHA1 SSL 証明書の数を返します。 | 入力例: • LinkedIn 用に、いくつの SSL SHA1 証明書が存在しますか? • Microsoft の SSL SHA1 を使用している資産はいくつですか? • 自分の攻撃面に SSL SHA1 証明書はいくつ存在しますか? • SSL SHA1 を使用している自分の資産はいくつですか? 省略可能な入力: • CompanyName |
プラグインがアクティブな Defender EASM リソースに構成されていて、他の会社が指定されていない場合: • 顧客の Defender EASM リソースの SHA1 SSL 証明書の数を返します。 別の会社名が指定されている場合: • 会社名の完全一致がない場合は、一致する可能性のある名前の一覧を返します。 • 完全一致があった場合は、指定した会社名の SHA1 SSL 証明書の数を返します。 |
| 自然言語を Defender EASM クエリに変換する | 自然言語の質問を Defender EASM クエリに変換し、クエリに一致する資産を返します。 | 入力例: • jQuery バージョン 3.1.0 を使用している資産はどれですか? • 攻撃面でポート 80 が開いているホストを取得してください。 • IP X、IP Y、または IP Z の IP アドレスを持つインベントリ内のすべてのページ、ホスト、ASN 資産を検索します。 • 登録用の電子メール <name@example.com> を持つ資産はどれですか? |
プラグインがアクティブな Defender EASM リソースに構成されている場合: • 翻訳されたクエリと一致する資産を返します。 |
リソース データと会社データを切り替える
スキルのリソース統合が追加されましたが、特定の企業向けに事前に構築された攻撃面からのデータのプルは引き続きサポートされています。 顧客が攻撃面から、または事前構築済みの会社の攻撃面からいつプルするかを判断する際の Security Copilot の正確性を向上させるには自分のや自分の攻撃面などを使用して、、リソースを使用することを伝えることをお勧めします。 事前構築済みの攻撃面を使用することを伝えるために、彼らのや特定の会社名などを使用します。 この方法では、1 つのセッションでのエクスペリエンスが向上しますが、混乱を避けるために、2 つのセッションに分けて使用することを強くお勧めします。
フィードバックを提供する
全般的な Security Copilot に関するフィードバック、そして Defender EASM プラグインに関するフィードバックは特に、製品の現在および今後の開発の指針として非常に重要です。 このフィードバックを提供する最適な方法は、完了した各プロンプトの下部にあるフィードバック ボタンを使用して、製品内で直接行います。 [正しく見える]、[要改善] または [不適切] を選択します。 結果が期待した内容と一致する場合は [正しく見える]、そうでない場合は [要改善]、結果がなんらかの形で有害な場合は [不適切] を選択することをお勧めします。
可能な限り、特に選択した結果が [要改善] の場合は、結果を改善するために何ができるかを説明するいくつかの単語を入力してください。 この要求は、Security Copilot が Defender EASM プラグインを起動するはずが、代わりに別のプラグインが起動した場合にも適用されます。
Security Copilot のプライバシーとデータのセキュリティ
Security Copilot と対話して Defender EASM のデータを取得すると、Copilot は Defender EASM からそのデータをプルします。 プロンプト、取得されたデータ、およびプロンプト結果に表示される出力は、Security Copilot サービス内で処理され、格納されます。
Security Copilot でのデータのプライバシーの詳細については、「Security Copilot のプライバシーとデータ セキュリティ」を参照してください。