Microsoft Copilot for Security と Microsoft Defender Threat Intelligence
重要
2024 年 6 月 30 日に、Microsoft Defender Threat Intelligence (Defender TI) スタンドアロン ポータル (https://ti.defender.microsoft.com) は廃止され、アクセスできなくなります。 お客様は、 Microsoft Defender ポータルまたは MicrosoftCopilot for Security で Defender TI を引き続き使用できます。 詳細情報
Microsoft Copilot for Security は、自然言語の copilot エクスペリエンスを提供するクラウドベースの AI プラットフォームです。 インシデント応答、脅威ハンティング、インテリジェンス収集など、さまざまなシナリオでセキュリティ担当者をサポートするのに役立ちます。 実行できる操作の詳細については、「 Microsoft Copilot for Security とは」を参照してください。
セキュリティ向け Copilot と Microsoft Defender 脅威インテリジェンスの統合
Copilot for Security は、脅威アクター、侵害のインジケーター (IOC)、ツール、脆弱性に関する情報と、Microsoft Defender Threat Intelligence (Defender TI) のコンテキスト脅威インテリジェンスに関する情報を提供します。 プロンプトとプロンプトブックを使用して、インシデントを調査したり、脅威インテリジェンス情報を使用してハンティング フローを強化したり、組織やグローバルな脅威の状況に関するより多くの知識を得ることができます。
この記事では、Copilot について紹介し、Defender TI ユーザーに役立つサンプル プロンプトが含まれています。
はじめに
Copilot 機能を使用して、 Copilot for Security ポータル または Microsoft Defender ポータルで脅威インテリジェンスを表示できます。 セキュリティ エクスペリエンスのための Copilot の詳細を確認する
プロンプトは明確かつ具体的なものを使用します。 プロンプトに特定の脅威アクター名または IOC を含めれば、より良い結果が得られる場合があります。 また、次のような 脅威インテリジェンス をプロンプトに追加する場合にも役立ちます。
- Aqua Blizzard の脅威インテリジェンス データを表示します。
- "malicious.com" の脅威インテリジェンス データを要約します。
インシデントを参照する場合は具体的に指定します (例: "インシデント ID 15324")。
さまざまなプロンプトとバリエーションを試して、ユース ケースに最適なものを確認します。 チャット AI モデルにはさまざまなものがあるため、受け取った結果に基づいてプロンプトを繰り返し調整します。
Copilot for Security では、プロンプト セッションが保存されます。 前のセッションを表示するには、[Copilot ホーム] メニューから [ マイ セッション] に移動します。
注:
ピンと共有機能を含む Copilot のチュートリアルについては、「 Microsoft Copilot for Security のナビゲート」を参照してください。
Copilot for Security スタンドアロン ポータルを使用して脅威インテリジェンスを取得する
Microsoft Copilot for Security に移動し、資格情報でサインインします。
Defender TI プラグインがオンになっていることを確認します。 プロンプト バーで、[ソース] アイコン [ ソース ] ] を選択します。
表示される [ ソースの管理 ] ポップアップ ウィンドウの [ プラグイン] で、[ Microsoft Defender 脅威インテリジェンス ] トグルがオンになっていることを確認し、ウィンドウを閉じます。
注:
一部のロールでは、Defender TI などのプラグインのトグルをオンまたはオフにすることができます。 詳細については、「 Microsoft Copilot for Security でプラグインを管理する」を参照してください。
プロンプト バーにプロンプトを入力します。
組み込みのシステム機能
Copilot for Security には、有効になっているさまざまなプラグインからデータを取得できるシステム機能が組み込まれています。
Defender TI の組み込みシステム機能の一覧を表示するには:
プロンプト バーで、[プロンプト] アイコン [ プロンプト ] アイコン 。
[すべてのシステム機能を表示] を選択します。 [Microsoft Defender 脅威インテリジェンス] セクションには、使用できる Defender TI で使用可能なすべての機能が一覧表示されます。
また、Copilot には、Defender TI から情報を提供する次のプロンプトブックもあります。
- 脅威アクター プロファイル – 既知の脅威アクターをプロファイリングするレポートを生成します。これには、一般的なツールや戦術から防御するための提案が含まれます。
- 脆弱性への影響評価 – 既知の脆弱性のインテリジェンスをまとめたレポートを生成します。これには、それに対処する手順が含まれます。
これらのプロンプトブックを表示するには、プロンプト バーで [ プロンプト ] アイコンを選択し、[ すべてのプロンプトブックを表示] を選択します。
Defender TI のサンプル プロンプト
多くのプロンプトを使用して、Defender TI から情報を取得できます。 このセクションでは、いくつかのアイデアと例を紹介します。
脅威インテリジェンスの傾向に関する一般的な情報
脅威に関する記事と脅威アクターから脅威インテリジェンスを取得します。
サンプル プロンプト :
- 最近の脅威インテリジェンスを要約します。
- 最新の脅威に関する記事を表示します。
- 過去 6 か月間にランサムウェアに関連する脅威に関する記事を入手します。
脅威インテリジェンスに関連する IP アドレスとホスト コンテキスト情報
IP アドレスとホストに関連付けられているデータセット (ポート、評判スコア、コンポーネント、証明書、Cookie、サービス、ホスト ペアなど) に関する情報を取得します。
サンプル プロンプト:
- ホスト <ホスト名の評判を表示します>。
- IP アドレス IP アドレス<の解決を取得します>。
脅威アクターのマッピングとインフラストラクチャ
脅威アクターと、それらに関連付けられている戦術、手法、手順 (TCP)、スポンサー状態、業界、IOC に関する情報を取得します。
サンプル プロンプト:
- シルク台風について詳しく教えてください。
- シルク台風に関連する IOC を共有します。
- シルク台風に関連付けられている TCP を共有します。
- ロシアに関連付けられている脅威アクターを共有します。
CVE 別の脆弱性データ
一般的な脆弱性と露出 (CVEs) に関するコンテキスト情報と脅威インテリジェンスを取得します。
サンプル プロンプト:
- 脆弱性 CVE-2021-44228 の影響を受けやすいテクノロジを共有します。
- 脆弱性 CVE-2021-44228 を要約します。
- 最新の CVEs を表示します。
- CVE-2021-44228 に関連付けられている脅威アクターを表示します。
- CVE-2021-44228 に関連する脅威に関する記事を表示します。
フィードバックの提供
Defender TI と Copilot for Security の統合に関するフィードバックは、開発に役立ちます。 フィードバックを提供するには、Copilot で [ この応答の方法 ] を選択します。完了した各プロンプトの下部で、次のいずれかのオプションを選択します。
- 右に見える - 評価に基づいて結果が正確な場合は、このボタンを選択します。
- 改善が必要 - 評価に基づいて、結果の詳細が正しくないか不完全な場合は、このボタンを選択します。
- [不適切] - 疑わしい、あいまい、または有害な可能性のある情報が結果に含まれている場合は、このボタンを選択します。
フィードバック ボタンごとに、表示される次のダイアログ ボックスで詳細情報を提供できます。 可能な限り、結果が [改善が必要] の場合は、結果を改善するために何ができるかを説明するいくつかの単語を記述します。 Defender TI に固有のプロンプトを入力し、結果が関連していない場合は、その情報を含めます。
Defender で Microsoft Copilot を使用して脅威インテリジェンスを取得する
Copilot for Security のお客様は、認証された Copilot ユーザーごとに、Microsoft Defender ポータル内の Defender TI にアクセスできます。 Copilot に確実にアクセスできるようにするには、 Copilot for Security の購入とライセンスに関する情報を参照してください。
セキュリティのために Copilot にアクセスすると、次のセクションで説明する主要な機能に Defender ポータルの次の 脅威インテリジェンス セクションでアクセスできるようになります。
- 脅威の分析
- Intel プロファイル
- Intel Explorer
- Intel プロジェクト
主な機能
Defender の Copilot は、脅威インテリジェンスをポータルに検索するセキュリティ用の Copilot 機能を提供し、セキュリティ チームが脅威インテリジェンス情報を理解し、優先順位を付け、すぐにアクションを実行できるようにします。
脅威アクター、攻撃キャンペーン、または詳細を知りたいその他の脅威インテリジェンスについて尋ねることができ、Copilot は脅威分析レポート、Intel プロファイルと記事、およびその他の Defender TI コンテンツに基づいて応答を生成します。 次のアクションを実行できる、使用可能な組み込みプロンプトのいずれかを選択することもできます。
- 組織に関連する最新の脅威を要約する
- これらの脅威に対する環境の最も高い露出レベルに基づいて、どの脅威に焦点を当てるかを優先順位付けする
- 通信インフラストラクチャ業界を対象とする脅威アクターについて質問する
脅威インテリジェンスに対する Defender での Copilot の使用の詳細
データ処理とプライバシー
Copilot for Security と対話して Defender TI データを取得すると、Copilot はそのデータを Defender TI から取得します。 プロンプト、取得されたデータ、およびプロンプト結果に表示される出力が処理され、Copilot サービス内に格納されます。 Microsoft Copilot for Security のプライバシーとデータ セキュリティの詳細