Microsoft Defender の Microsoft Copilot によるスクリプト分析
セキュリティ チームは、Microsoft Defender ポータルのMicrosoft Security Copilotから AI を利用した調査機能を使用して、悪意のあるスクリプトや疑わしいスクリプトやコマンド ラインの分析を高速化できます。
このガイドでは、スクリプト分析機能とそのしくみについて説明します。生成された結果に関するフィードバックを提供する方法も含まれます。
はじめに
Security Copilotを初めて使用する場合は、次の記事を読んで理解する必要があります。
- Security Copilotとは
- Security Copilotエクスペリエンス
- Security Copilot の使用を開始する
- Security Copilotでの認証について
- Security Copilotでのプロンプト
ランサムウェアのような最も複雑で高度な攻撃は、スクリプトや PowerShell コマンド ラインの使用など、さまざまな方法で検出を回避します。 さらに、これらのスクリプトは難読化されることが多いため、検出と分析の複雑さが増します。 セキュリティ運用チームは、スクリプトをすばやく分析して機能を理解し、適切な軽減策を適用し、攻撃がネットワーク内でさらに進行するのを直ちに停止する必要があります。
スクリプト分析機能により、セキュリティ チームは外部ツールを使用せずにスクリプトを検査できるようになります。 また、この機能により、分析の複雑さが軽減され、課題が最小限に抑えられます。また、セキュリティ チームは、スクリプトを悪意のあるスクリプトまたは無害なスクリプトとして迅速に評価して識別できるようになります。
Microsoft DefenderでのSecurity Copilot統合
スクリプト分析機能は、Security Copilotへのアクセスをプロビジョニングした顧客向けのMicrosoft Defender ポータルで使用できます。
スクリプト分析は、Microsoft Defender XDR プラグインを通じてSecurity Copilotスタンドアロン エクスペリエンスでも使用できます。 Security Copilotにプレインストールされているプラグインの詳細を確認してください。
主な機能
スクリプト分析機能には、インシデント ページのインシデント グラフの下の攻撃ストーリー内、およびデバイス タイムラインからアクセスできます。
分析を開始するには、次の手順を実行します。
インシデント ページを開き、左側のウィンドウで項目を選択して、インシデント グラフの下に攻撃ストーリーを開きます。 攻撃ストーリー内で、分析するスクリプトまたはコマンド ラインを含むイベントを選択します。 分析を開始するには、[分析] をクリックします。
あるいは、デバイスのタイムライン ビューで検査するイベントを選択することもできます。 ファイルの詳細ウィンドウで、[分析] を選択してスクリプト分析機能を実行します。
![デバイス タイムラインの [分析] ボタンを示すスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/script-analyzer/copilot-defender-script-device-timeline-small.png)
Copilot はスクリプト分析を実行し、その結果を Copilot ウィンドウに表示します。 スクリプトを展開するには [コードの表示] を選択し、展開を閉じるには [コードの非表示] を選択します。
![スクリプト分析結果内の [コードの表示と非表示] オプションを強調表示しているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/script-analyzer/show-code-script-small.png)
[ MITRE 手法の表示 ] を選択して、スクリプトに関連付けられている MITRE ATT&CK 手法を表示します。 この情報は、スクリプトで使用される手法と、それが環境に与える影響を理解するのに役立ちます。 [ MITRE 手法を非表示にする] を選択して展開を閉じます。
![スクリプト分析結果内の [MITRE 手法の表示と非表示] オプションを強調表示しているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/script-analyzer/hide-mitre-script-small.png)
スクリプト分析の右上にある [その他のアクション] 省略記号 (...) を選択カード、結果をコピーまたは再生成するか、Security Copilotスタンドアロン エクスペリエンスで結果を表示します。 [Security Copilotで開く] を選択すると、Copilot スタンドアロン ポータルに新しいタブが開き、プロンプトを入力して他のプラグインにアクセスできます。
![Copilot スクリプト分析カードの [その他のアクション] オプションを示すスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/script-analyzer/script-analysis-options.png)
結果を確認し、その情報を使用して、インシデントに対する調査と対応をガイドします。
![デバイス タイムラインの [分析] ボタンを示すスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/script-analyzer/copilot-defender-script-device-timeline.png#lightbox)
![スクリプト分析結果内の [コードの表示と非表示] オプションを強調表示しているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/script-analyzer/show-code-script.png#lightbox)
![スクリプト分析結果内の [MITRE 手法の表示と非表示] オプションを強調表示しているスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/script-analyzer/hide-mitre-script.png#lightbox)
サンプル スクリプト分析プロンプト
Security Copilotスタンドアロン ポータルでは、次のプロンプトを使用してスクリプトを識別および分析できます。
- Defender インシデント {インシデント ID} のスクリプトを特定します。 これらの悪意のあるスクリプトですか?
ヒント
Security Copilot ポータルでスクリプトを分析する場合、スクリプト分析機能によって結果が確実に提供されるように、プロンプトに Defender という単語を含めることをお勧めします。
フィードバックの提供
Microsoft では、機能の継続的な改善に不可欠であるため、Copilot にフィードバックを提供することを強くお勧めします。 スクリプト分析カードの最後にあるフィードバック アイコン (
) を選択すると、結果に関するフィードバックを提供できます。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。