Microsoft Defender の Microsoft Copilot によるガイド付き応答でインシデントをトリアージおよび調査する
Microsoft Defender ポータルのMicrosoft Security Copilotは、インシデント対応チームが、ガイド付き応答を使用してインシデントを直ちに解決することをサポートします。 Defender の Copilot は、AI と機械学習機能を使用してインシデントのコンテキストを把握し、以前の調査から学習して適切な対応アクションを生成します。
このガイドでは、ガイド付き応答機能にアクセスする方法と、応答に関するフィードバックの提供方法について説明します。
はじめに
Security Copilotを初めて使用する場合は、次の記事を読んで理解する必要があります。
- Security Copilotとは
- Security Copilotエクスペリエンス
- Security Copilot の使用を開始する
- Security Copilotでの認証について
- Security Copilotでのプロンプト
Microsoft Defender ポータルのインシデントに応答するには、多くの場合、攻撃を停止するためのポータルの使用可能なアクションに精通している必要があります。 また、新たなインシデント応答者は、インシデントへの応答を開始する場所と方法について異なる考えを持っている可能性があります。 Defender の Copilot のガイド付き応答機能を使用すると、あらゆるレベルのインシデント応答チームが自信を持って迅速に応答アクションを適用し、インシデントを簡単に解決できます。
Microsoft DefenderでのSecurity Copilot統合
ガイド付き応答は、Security Copilotへのアクセスをプロビジョニングした顧客向けのMicrosoft Defender ポータルで利用できます。
ガイド付き応答は、Microsoft Defender XDR プラグインを通じてSecurity Copilotスタンドアロン エクスペリエンスでも使用できます。 Security Copilotにプレインストールされているプラグインの詳細を確認してください。
主な機能
ガイド付き応答では、次のカテゴリのアクションが推奨されます。
- トリアージ - インシデントを情報、真陽性、または誤検知として分類するための推奨事項が含まれています
- 封じ込め - インシデントを封じ込めるための推奨アクションが含まれています
- 調査 - 詳細に調査するための推奨アクションが含まれています
- 修復 - インシデントに関係する特定のエンティティに適用するための推奨応答アクションが含まれています
各カードには、アクションを適用する必要があるエンティティや、アクションが推奨される理由など、推奨されるアクションに関する情報が含まれています。 カードには、攻撃の中断や自動調査への対応など、自動調査によって推奨されるアクションが実行された場合も強調表示されます。
ガイド付き応答カードは、各カードの利用可能な状態に基づいて並べ替えることができます。 ガイド付き応答を表示するときに、[状態] をクリックし、表示する適切な状態を選択することで、特定の状態を選択できます。 既定では、状態に関係なく、すべてのガイド付き応答カードが表示されます。
ガイド付き応答を使用するには、次の手順を実行します。
インシデント ページを開きます。 Copilot は、インシデント ページを開くとガイド付きの応答を自動的に生成します。 インシデント ページの右側に Copilot ウィンドウが表示され、ガイド付き応答カードが表示されます。
推奨事項を適用する前に各カードを確認します。 各推奨事項で利用可能なオプションを表示するには、応答カードの上部にあるその他のアクションの省略記号 (...) を選択します。 以下にいくつかの例を示します。
アクションを適用するには、各カードにある目的のアクションを選択します。 各カードのガイド付き応答アクションは、インシデントの種類と関係する特定のエンティティに合わせて調整されます。
各応答カードにフィードバックを提供することで、Copilot からの今後の応答を継続的に強化できます。 フィードバックを提供するには、各カードの右下にある ] を選択します。
注:
グレー表示されているアクション ボタンは、これらのアクションがアクセス許可によって制限されていることを意味します。 詳細については、統合ロールベースのアクセス (RBAC) のアクセス許可に関するページを参照してください。
Copilot は、アナリストの調査タスクを高速化するのに役立ちます。 インシデントでユーザー アクティビティの詳細な調査が必要な場合、Copilot はアナリストがユーザーとの通信に使用できるテキストを提案します。 ガイド付き応答カードには、Teams の連絡先ユーザーまたはクリップボードにコピーアクションが含まれます。このアクションでは、推奨されるテキストがクリップボードにコピーされます。 アナリストは、テキストをメールや別のコミュニケーション ツールに貼り付けることができます。 アナリストは、[ユーザーの表示] アクションを使用して、 ユーザー に関するより多くのコンテキストを取得することもできます。
また、Copilot は、アナリストが追加の分析情報を使用して対応アクションに関するより多くのコンテキストを取得できるようにすることで、インシデント対応チームをサポートしています。 修復の応答の場合、インシデント応答チームは、[類似したインシデントを表示する] や [類似のメールを表示する] などのオプションを使用して追加情報を表示できます。
[類似したインシデントを表示する] アクションは、組織内に現在のインシデントに類似した他のインシデントがある場合に使用できるようになります。 [類似したインシデント] タブには、確認できる類似のインシデントが一覧表示されます。 Microsoft Defender は、機械学習を通じて組織内の類似したインシデントを自動的に識別します。 インシデント応答チームは、これらの類似したインシデントの情報を使用してインシデントを分類し、それらの類似したインシデントで行われたアクションをさらに確認できます。
[類似のメールを表示する] アクション (フィッシング インシデントに固有) を使用すると、高度な追求ページに移動します。このページでは、組織内の類似したメールを一覧表示する KQL クエリが自動的に生成されます。 このインシデントに関連したクエリの自動生成により、インシデント応答チームはインシデントに関連する可能性のある他のメールを詳細に調査しやすくなります。 クエリを確認し、必要に応じて変更できます。
ガイド付き応答プロンプトのサンプル
Security Copilotスタンドアロン ポータルでは、次のプロンプトを使用してガイド付き応答を生成できます。
- Defender インシデント {インシデント ID} のガイド付き応答と推奨事項を生成します。
ヒント
Security Copilot ポータルでガイド付き応答を生成する場合、Microsoft では、ガイド付き応答機能によって結果が確実に提供されるように、プロンプトに Defender という単語を含めることをお勧めします。
フィードバックの提供
Microsoft では、機能の継続的な改善に不可欠であるため、Copilot にフィードバックを提供することを強くお勧めします。 フィードバックを提供するには、Copilot サイド パネルの下部に移動し、 ] を選択します。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。