Microsoft Defender の Microsoft Copilot によるスクリプト分析
Microsoft Defender ポータルの Microsoft Copilot for Security の AI を活用した調査機能により、セキュリティ チームは悪意のあるスクリプトや疑わしいスクリプト、コマンド ラインの分析を高速化できます。
このガイドでは、スクリプト分析機能とそのしくみについて説明します。生成された結果に関するフィードバックを提供する方法も含まれます。
はじめに
Copilot for Security を初めて使用する場合は、次の記事を参照してください。
- セキュリティのための Copilot とは
- Copilot for Security エクスペリエンス
- Copilot for Security の使用を開始する
- セキュリティのための Copilot での認証について
- Copilot for Security のプロンプト
ランサムウェアのような最も複雑で高度な攻撃は、スクリプトや PowerShell コマンド ラインの使用など、さまざまな方法で検出を回避します。 さらに、これらのスクリプトは難読化されることが多いため、検出と分析の複雑さが増します。 セキュリティ運用チームは、スクリプトをすばやく分析して機能を理解し、適切な軽減策を適用し、攻撃がネットワーク内でさらに進行するのを直ちに停止する必要があります。
スクリプト分析機能により、セキュリティ チームは外部ツールを使用せずにスクリプトを検査できるようになります。 また、この機能により、分析の複雑さが軽減され、課題が最小限に抑えられます。また、セキュリティ チームは、スクリプトを悪意のあるスクリプトまたは無害なスクリプトとして迅速に評価して識別できるようになります。
Microsoft Defenderでのセキュリティ統合のための Copilot
スクリプト分析機能は、Copilot for Security へのアクセスをプロビジョニングした顧客向けに、Microsoft Defender ポータルで使用できます。
スクリプト分析は、Microsoft Defender XDR プラグインを通じて Copilot for Security スタンドアロン エクスペリエンスでも使用できます。 Copilot for Security にプレインストールされているプラグインの詳細を確認してください。
主な機能
スクリプト分析機能には、インシデント ページのインシデント グラフの下の攻撃ストーリー内、およびデバイス タイムラインからアクセスできます。
分析を開始するには、次の手順を実行します。
インシデント ページを開き、左側のウィンドウで項目を選択して、インシデント グラフの下に攻撃ストーリーを開きます。 攻撃ストーリー内で、分析するスクリプトまたはコマンド ラインを含むイベントを選択します。 分析を開始するには、[分析] をクリックします。
あるいは、デバイスのタイムライン ビューで検査するイベントを選択することもできます。 ファイルの詳細ウィンドウで、[分析] を選択してスクリプト分析機能を実行します。
![デバイス タイムラインの [分析] ボタンを示すスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/script-analyzer/copilot-defender-script-device-timeline-small.png)
Copilot はスクリプト分析を実行し、その結果を Copilot ウィンドウに表示します。 スクリプトを展開するには [コードの表示] を選択し、展開を閉じるには [コードの非表示] を選択します。
![[Microsoft Defender XDR インシデント] ページのスクリプト分析結果を含む [Copilot] ウィンドウを示すスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/script-analyzer/copilot-defender-script-analysis-results-small.png)
スクリプト分析カードの右上にあるその他のアクションの省略記号 (...) を選択して、結果をコピーまたは再生成するか、Copilot for Security スタンドアロン エクスペリエンスで結果を表示します。 [Copilot for Security で開く] を選択すると、Copilot スタンドアロン ポータルの新しいタブが開き、プロンプトを入力したり、他のプラグインにアクセスしたりできるようになります。
![Copilot スクリプト分析カードの [その他のアクション] オプションを示すスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/script-analyzer/copilot-defender-script-analysis-more-actions.png)
結果を確認し、その情報を使用して、インシデントに対する調査と対応をガイドします。
![デバイス タイムラインの [分析] ボタンを示すスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/script-analyzer/copilot-defender-script-device-timeline.png#lightbox)
![[Microsoft Defender XDR インシデント] ページのスクリプト分析結果を含む [Copilot] ウィンドウを示すスクリーンショット。](/ja-jp/defender/media/copilot-in-defender/script-analyzer/copilot-defender-script-analysis-results.png#lightbox)
サンプル スクリプト分析プロンプト
Copilot for Security スタンドアロン ポータルでは、次のプロンプトを使用してスクリプトを識別および分析できます。
- Defender インシデント {インシデント ID} のスクリプトを特定します。 これらの悪意のあるスクリプトですか?
ヒント
Copilot for Security ポータルでスクリプトを分析する場合、スクリプト分析機能が結果を確実に提供するように、プロンプトに Defender という単語を含めることをお勧めします。
フィードバックの提供
Microsoft では、機能の継続的な改善に不可欠であるため、Copilot にフィードバックを提供することを強くお勧めします。 スクリプト分析カードの最後にあるフィードバック アイコン (
) を選択すると、結果に関するフィードバックを提供できます。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。