Microsoft Defender の Microsoft Copilot でインシデントを要約する
Microsoft Defender XDRは、インシデントを要約するためにSecurity Copilotの機能を適用し、インパクトのある情報と分析情報を提供して調査タスクを簡略化します。 攻撃調査は、インシデント対応チームがサイバー脅威によるさらなる損害に対して組織を正常に防御するための重要なステップです。 調査には多くの手順が含まれるため、多くの場合、時間がかかる場合があります。 インシデント対応チームは、攻撃がどのように発生したかを理解する必要があります。多数のアラートを並べ替え、関連する資産とエンティティを特定し、攻撃の範囲と影響を評価します。
このガイドでは、フィードバックの提供に関する情報など、Defender の Copilot の概要機能にアクセスする方法について説明します。
はじめに
Security Copilotを初めて使用する場合は、次の記事を読んで理解する必要があります。
- Security Copilotとは
- Security Copilotエクスペリエンス
- Security Copilot の使用を開始する
- Security Copilotでの認証について
- Security Copilotでのプロンプト
インシデント対応者は、Defender XDRの相関機能とSecurity Copilotの AI を利用したデータ処理とコンテキスト化を通じて、インシデントを調査および修復するための適切なコンテキストを簡単に得ることができます。 インシデントの概要により、レスポンダーは調査に役立つ重要な情報をすばやく取得できます。
Microsoft DefenderでのSecurity Copilot統合
インシデントの概要機能は、Security Copilotへのアクセスをプロビジョニングした顧客向けのMicrosoft Defender ポータルで使用できます。
この機能は、Microsoft Defender XDR プラグインを通じてSecurity Copilotスタンドアロン エクスペリエンスでも使用できます。 Security Copilotにプレインストールされているプラグインの詳細を確認してください。
主な機能
最大 100 件のアラートを含むインシデントは、1 つのインシデントの概要にまとめることができます。 データの可用性に応じて、インシデントの概要には次のものが含まれます。
- 攻撃が開始された日時。
- 攻撃が開始されたエンティティまたは資産。
- 攻撃がどのように展開されたかについてのタイムラインの概要。
- 攻撃に関係する資産。
- 侵害の指標 (IoCs)。
- 関連する 脅威アクターの 名前。
インシデントを要約するには、次の手順を実行します。
インシデント ページを開きます。 Copilot では、ページを開くとインシデントの概要が自動的に作成されます。 概要の作成を停止するには、[キャンセル] を選択します。または、[再生成] を選択して作成を再開します。
インシデントの概要カードが Copilot ウィンドウに読み込まれます。 カードで生成された概要を確認します。
![[Microsoft Defender インシデント] ページに表示されている [Copilot] ウィンドウのインシデントの概要カードを示すスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/incident-summary/copilot-defender-incident-summary-small.png)
ヒント
結果の証拠をクリックすると、Copilot の結果ウィンドウからファイル、IP、または URL ページに移動できます。
インシデントの概要カードの上部にある [その他のアクション] 省略記号 (...) を選択して、概要をコピーまたは再生成するか、Security Copilot ポータルで概要を表示します。 [Security Copilot で開く] を選択すると、Security Copilot スタンドアロン ポータルの新しいタブが開き、プロンプトを入力したり、他のプラグインにアクセスしたりできます。
概要を確認し、その情報を使用してインシデントの調査と対応を行います。
![[Microsoft Defender インシデント] ページに表示されている [Copilot] ウィンドウのインシデントの概要カードを示すスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/incident-summary/copilot-defender-incident-summary.png#lightbox)
インシデントの概要プロンプトのサンプル
Security Copilot スタンドアロン ポータルでは、次のプロンプトを使用してインシデントの概要を生成できます。
- Defender インシデント {インシデント ID} の概要を指定します。
ヒント
Security Copilot ポータルでインシデントの概要を生成する場合、Microsoft では、インシデントの概要機能が結果を確実に提供するように、プロンプトに Defender という単語を含めることをお勧めします。
フィードバックの提供
Microsoft では、機能の継続的な改善に不可欠であるため、Copilot にフィードバックを提供することを強くお勧めします。 Copilot ウィンドウの下部にあるフィードバック アイコン 
を選択すると、概要に関するフィードバックを提供できます。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。