次の方法で共有

Microsoft DefenderのMicrosoft Copilotを使用して ID 情報を要約する

  • [アーティクル]
  • 適用対象:
    Microsoft Defender XDR, Microsoft Sentinel with Defender XDR in the Microsoft Defender portal

ユーザーを調査しているセキュリティ運用チームは、Microsoft DefenderのMicrosoft Security Copilotの ID 概要機能を使用して、ID 情報を簡単に理解できます。 生成型 AI を使用し、Microsoft Defender for Identityの力を活用することで、Copilot はorganization内の ID に関するコンテキスト分析情報を作成し、アナリストが重要なデータをすばやく理解して調査を高速化できるようにします。

ID サマリー機能を使用すると、アナリストは、疑わしい ID または危険な ID 関連の変更と、organizationに悪影響を与える可能性があるアクションをすぐに特定できます。 この概要には、ID に影響を与える可能性のある構成ミスも含まれています。 Copilot は自然言語を使用して、アナリストがインシデント調査アクティビティで使用できる明確で実用的なユーザー情報を提供します。 この機能は現在、ユーザーに焦点を当て、次のイテレーションにサービス アカウントを含めます。

このガイドでは、生成された結果に関するフィードバックを提供する方法など、ID の概要機能とそのしくみについて説明します。

はじめに

Security Copilotを初めて使用する場合は、次の記事を読んで理解する必要があります。

ID サマリー機能を使用すると、アナリストは、疑わしい ID または危険な ID 関連の変更と、organizationに悪影響を与える可能性があるアクションをすぐに特定できます。 この概要には、ID に影響を与える可能性のある構成ミスも含まれています。 Copilot は自然言語を使用して、アナリストがインシデント調査アクティビティで使用できる明確で実用的なユーザー情報を提供します。 この機能は現在、ユーザーに焦点を当て、次のイテレーションにサービス アカウントを含めます。

Microsoft DefenderでのSecurity Copilot統合

ID の概要機能は、Security Copilotへのアクセスをプロビジョニングした顧客向けのMicrosoft Defender ポータルで使用できます。

Security Copilotスタンドアロン ポータルにアクセスするユーザーは、Microsoft Defender XDR プラグインを使用してこの機能を使用できます。 Security Copilotにプレインストールされているプラグインの詳細を確認してください。

主な機能

ID の概要には、ID に関する次のような重要な情報が含まれています。

  • ユーザー アカウントが作成される日付、およびユーザー アカウントの重要度が高い、中、または低いかどうか
  • サインインの場所、サインイン頻度、またはサインイン試行の失敗頻度に関連する異常な動作パターン
  • 部署と役職を含むユーザーの現在のロール、およびユーザーの役職や部署と比較して重要なロールの変更があるかどうか、不整合を強調する
  • 過去 30 日間にデバイスがユーザーに関連付けられているかどうかにかかわらず、ユーザーのデバイスへの最後のサインインに関するデータ
  • 使用される認証方法とアプリケーション
  • Microsoft Entra IDに基づくユーザーに関連するリスク
  • ユーザーの役職や連絡先情報、部署、マネージャーの連絡先情報などの一般的な情報

ID の概要機能には、次の方法でアクセスできます。

  • インシデント ページからインシデント グラフで ID を選択し、(1) [ ユーザーの詳細] を選択します。 ユーザーの詳細ウィンドウで、(2) [集計] を選択 します。 結果は Copilot サイド パネルに表示されます。

    ユーザーの詳細ウィンドウの [集計] オプションを示すスクリーンショット。

  • または、ユーザーの詳細ウィンドウの下部にある [ ユーザー ページに移動 ] を選択して、ユーザー ページを開くことができます。 Copilot によって ID の概要が自動的に生成され、ユーザー ページを開くとサイド パネルが表示されます。

  • インシデントの [ 資産 ] タブでユーザーを選択して、ID の概要機能にアクセスすることもできます。 [ユーザーの詳細] ウィンドウで [ 集計 ] を選択して、ID の概要を生成します。

    [資産] タブとユーザー アカウントが強調表示されているスクリーンショット。

  • アラート ページで、ユーザーを選択し、ユーザーの詳細ウィンドウで [集計 ] を選択して ID の概要を生成します。

  • 高度なハンティング ページでは、結果テーブルでユーザーを選択し、ユーザー ページへのリンクを選択することで、ID の概要機能にアクセスできます。 Copilot によって ID の概要が自動的に生成され、ユーザー ページを開くとサイド パネルが表示されます。

  • [メイン] メニューの [資産] > [ID] に移動します。 一覧からユーザー名を選択し、[ ユーザー ページの表示 ] を選択してユーザー ページを開きます。 Copilot によって ID の概要が自動的に生成され、ユーザー ページを開くとサイド パネルが表示されます。

    ID 内のユーザー名検索で [ユーザー ページの表示] オプションを強調表示しているスクリーンショット。

  • Microsoft Defender ポータルの検索ボックスにユーザー名を入力し、検索結果からユーザー名を選択します。 ユーザーの詳細サイド パネルで、[ 集計 ] を選択して ID の概要を生成します。

ID の概要の結果を確認します。 ID の概要カードの上にある [その他のアクション] 省略記号 (...) を選択して、結果をクリップボードにコピーしたり、結果を再生成したり、Security Copilotを開いたりすることができます。 Security Copilot ポータルでプロンプトやその他のプラグインを使用して、ID の調査を拡張できます。

サンプル ID の概要プロンプト

Security Copilot スタンドアロン ポータルでは、次のプロンプトを使用して ID の概要を生成できます。

  • 最後の {time frame} で、このユーザーの Defender の概要を表示します。

ヒント

Security Copilot ポータルでユーザーを調査する場合、ID の概要機能によって結果が確実に得られるように、プロンプトに Defender という単語を含めることをお勧めします。 調査期間には最大 120 日を指定できます。既定値は 30 日で、指定しない場合は 30 日です。

フィードバックの提供

Microsoft では、機能の継続的な改善に不可欠であるため、Copilot にフィードバックを提供することを強くお勧めします。 フィードバックを提供するには、Copilot サイド パネルの下部に移動し、 フィードバック アイコン [Defender カードの Copilot のフィードバック アイコンのスクリーンショット] を選択します。

フィードバックを共有できる [フィードバック] テキスト ボックスを示すスクリーンショット。

専用のテキスト ボックスに入力して、自分の考え、経験、要求を共有します。 Microsoft はフィードバックを重視し、Copilot のパフォーマンスとユーザー エクスペリエンスを向上させる取り組みを真剣に受け止めています。

関連項目

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。