Microsoft Security Copilot での Azure Firewall の統合 (プレビュー)
重要
Microsoft Security Copilot での Azure Firewall の統合は、現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Security Copilot は、AI を利用した生成型のセキュリティ ソリューションであり、セキュリティ担当者の効率と機能を向上させ、マシンの速度とスケールでセキュリティの成果を向上させます。 自然言語の支援型コパイロット エクスペリエンスを提供し、セキュリティ プロフェッショナルをインシデント対応、脅威ハンティング、情報収集、態勢管理などのエンド ツー エンドのシナリオでサポートします。 実行できる操作の詳細については、Microsoft Security Copilot とはを参照してください。
はじめに
Security Copilot を初めて使用する場合は、次の記事を読んで理解する必要があります。
- Microsoft Security Copilot とは
- Microsoft Security Copilot エクスペリエンス
- Microsoft Security Copilot の概要
- Microsoft Security Copilot での認証について
- Microsoft Security Copilot でのプロンプト作成
Azure Firewall での Security Copilot の統合
Azure Firewall は、Azure で実行されているクラウド ワークロードに最高レベルの脅威保護を提供する、クラウドネイティブでインテリジェントなネットワーク ファイアウォールのセキュリティ サービスです。 組み込みの高可用性とクラウドの無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。
Security Copilot の Azure Firewall 統合は、アナリストが自然言語の質問を使用して、フリート全体でファイアウォールの IDPS 機能によって傍受された悪意のあるトラフィックの詳細な調査を実行するのに役立ちます。
この統合は、次の 2 つの異なるエクスペリエンスで使用できます。
Security Copilot ポータル (スタンドアロン エクスペリエンス)
Azure portal の Copilot in Azure (埋め込みエクスペリエンス) で、次のことを行います。
詳細については、Microsoft Security Copilot エクスペリエンスおよび Microsoft Copilot in Azure 機能に関するページを参照してください。
主要な機能
Security Copilot には、有効になっているさまざまなプラグインからデータを取得できるシステム機能が組み込まれています。
Azure Firewall の組み込みシステム機能の一覧を表示するには、Security Copilot ポータルで次の手順を実行します。
プロンプト バーで、プロンプト アイコンを選択します。
[すべてのシステム機能を表示] を選択します。
Azure Firewall セクションに、使用できるすべての機能が一覧表示されます。
Security Copilot で Azure Firewall 統合を有効にする
Azure Firewall が以下のように正しく構成されていることを確認します。
Azure Firewall 構造化ログ - Security Copilot で使用する Azure Firewall は IDPS のリソース固有の構造化ログを使用して構成する必要があり、これらのログは Log Analytics ワークスペースに送信する必要があります。
Azure Firewall のロールベースのアクセス制御 – Security Copilot で Azure Firewall プラグインを使用するユーザーは、ファイアウォールと関連する Log Analytics ワークスペースにアクセスするための適切な Azure ロールベースのアクセス制御ロールを持っている必要があります。
Security Copilot に移動し、資格情報でサインインします。
Azure Firewall プラグインが有効になっていることを確認します。 プロンプト バーで、ソース アイコンを選択します。 [ソースの管理] ポップアップ ウィンドウが表示されたら、[Azure Firewall] のトグルがオンになっていることを確認します。 次に、ウィンドウを閉じます。 その他の構成は必要ありません。 構造化されたログが Log Analytics ワークスペースに送信され、適切なロールベースのアクセス制御アクセス許可を持っている限り、Copilot は質問に答えるために必要なデータを見つけます。
Security Copilot ポータル か、Azure portal の Copilot in Azure エクスペリエンスのプロンプト バーにプロンプトを入力します。
重要
Copilot in Azure を使用した Azure Firewall に対するクエリの実行は Security Copilot に含まれており、セキュリティ コンピューティング ユニット (SKU) が必要です。 SCU は、プロビジョニングしていつでも増減できます。 SKU の詳細については、Microsoft Security Copilot の概要を参照してください。 Security Copilot が適切に構成されていないのに Copilot in Azure エクスペリエンスを使用して Azure Firewall の機能に関する質問をする場合は、エラー メッセージが表示されます。
Azure Firewall プロンプトのサンプル
Azure Firewall から情報を得るために使用できるプロンプトはたくさんあります。 このセクションには、現在最適なものが示されています。 これらは、新しい機能のリリースに伴って継続的に更新されます。
Azure Firewall の上位 IDPS 署名ヒットを取得する
KQL クエリを手動で作成するのではなく、IDPS 機能によってインターセプトされたトラフィックに関するログ情報を取得します。
サンプル プロンプト:
ファイアウォール <ファイアウォール名> によってインターセプトされた悪意のあるトラフィックはありますか?
リソース グループ <リソース グループ名> の Firewall <Firewall 名> の過去 7 日間の上位 20 件の IDPS ヒットは何ですか?
過去 1 か月間にサブスクリプション <サブスクリプション名> の ファイアウォール <ファイアウォール名> を対象とした上位 50 件の攻撃を表形式で表示してください。
ログ情報を超えて IDPS 署名の脅威プロファイルを強化する
手動でコンパイルする代わりに、IDPS 署名の脅威情報およびプロファイルを強化するために追加の詳細を取得します。
サンプル プロンプト:
IDPS が上位のヒットの重大度を高く、5 番目のヒットの重大度を低くフラグを設定した理由を説明してください。
この攻撃について何が分かりますか? この攻撃者は他のどのような攻撃で知られていますか?
3 番目の署名 ID は CVE <CVE 番号> に関連付けられているようです。この CVE の詳細を教えてください。
Note
Microsoft 脅威インテリジェンス プラグインは、Security Copilot が IDPS 署名の脅威インテリジェンスを提供するために使用できるもう 1 つのソースです。
テナント、サブスクリプション、またはリソース グループ全体で特定の IDPS 署名を探す
手動で脅威を検索する代わりに、すべての Firewall で脅威のフリート全体検索 (任意のスコープ) を実行します。
サンプル プロンプト:
署名 ID <ID 番号> を停止したのはこの 1 つの Firewall のみですか? このテナント全体の他の Firewall ではどうだったでしょうか?
サブスクリプション <サブスクリプション名> 内の他の Firewall でこの上位ヒットは検出されましたか?
過去 1 週間に、リソース グループ <リソース グループ名> 内の Firewall で署名 ID <ID 番号> は検出されましたか?
Azure Firewall の IDPS 機能を使用して環境を保護するための推奨事項を生成する
情報を手動で調べるのではなく、Azure Firewall の IDPS 機能を使用して環境を保護する方法についてドキュメントから情報を取得します。
サンプル プロンプト:
インフラストラクチャ全体でこの攻撃者からの将来の攻撃から自分自身を保護するにはどうすればよいですか?
すべての Azure Firewall が署名 ID の <ID 番号>からの攻撃から保護されるようにするには、どうすればよいですか?
IDPS のアラートのみモードとアラート アンド ブロック モードのリスクの違いは何ですか?
Note
Security Copilot では、この情報を提供するために Microsoft ドキュメントについて質問する機能を使用することもできます。また、Copilot in Azure エクスペリエンスでこの機能を使用する場合は、情報の取得機能を使用して、この情報を提供できます。
フィードバックを提供する
お客様のフィードバックは、製品の現在および計画された開発の指針にとって非常に重要です。 このフィードバックを提供する最善の方法は、製品内で直接行う方法です。
Security Copilot を使用する
完了した各プロンプトの下部にある [How’s this response?] (この回答はいかがでしたか) を選択し、次のいずれかのオプションを選択します。
- [Looks right] (良好) - ご自身の評価に基づいて、結果が正確な場合に選びます。
- [要改善] - ご自身の評価に基づいて、結果の詳細が正しくないか不十分な場合に選びます。
- [不適切] - 結果に疑わしいか、あいまいであるか、または有害な可能性がある情報が含まれている場合に選びます。
フィードバック オプションごとに、後続のダイアログ ボックスで追加情報を指定できます。 可能であれば、特に結果が [要改善] のときは、結果を改善するために何ができるかを簡単に説明してください。 Azure Firewall 固有のプロンプトを入力し、その結果に関連性がない場合は、その情報を含めてください。
AzurCopilot in Azure を使用する
完了した各プロンプトの下部にある[いいね!] や [興味なし] ボタンなどを使用します。 どちらのフィードバック オプションでも、後続のダイアログ ボックスで追加情報を指定できます。 可能であれば、特に回答が [興味なし] のときは、結果を改善するために何ができるかを簡単に説明してください。 Azure Firewall 固有のプロンプトを入力し、その結果に関連性がない場合は、その情報を含めてください。
Security Copilot のプライバシーとデータのセキュリティ
(Security Copilot ポータルまたは Copilot in Azure エクスペリエンスを介して) Security Copilot と対話して Azure Firewall データを取得すると、Copilot は Azure Firewall からそのデータをプルします。 プロンプト、取得されたデータ、およびプロンプト結果に表示される出力は、Copilot サービス内で処理され、保存されます。 詳細については、Microsoft Security Copilot のプライバシーとデータ セキュリティを参照してください。