Copilot と Microsoft Defender XDR の統合について説明する

  • 12 分

Microsoft Defender XDR は、Microsoft Security Copilot と統合します。 Security Copilot との統合は、スタンドアロンおよび埋め込みのエクスペリエンスを通じて利用できます。

スタンドアロン エクスペリエンス

Microsoft Security Copilot にオンボードされている企業の場合、Copilot ポータルからアクセスするプラグインを通じて統合が有効になります (スタンドアロン エクスペリエンス)。 Microsoft Defender XDR との統合をサポートする 2 つの別個のプラグインがあります。

  • Microsoft Defender XDR
  • Microsoft Defender XDR 用 Natural Language to KQL

Microsoft Security Copilot での、Microsoft Defender XDR プラグインと Natural language to KQL for Microsoft Defender XDR プラグインのスクリーンショット。

Microsoft Defender XDR プラグイン

Microsoft Defender XDR プラグインには、ユーザーが次のことを行えるようにする機能が含まれています。

  • ファイルの分析
  • インシデント レポートを生成する
  • ガイド付き応答を生成する
  • インシデントと関連アラートを一覧表示する
  • デバイスのセキュリティ状態を要約する
  • その他...

Copilot での Microsoft Defender XDR の機能はユーザーが使用できる組み込みのプロンプトですが、ユーザーはサポートされている機能に基づいて独自のプロンプトを入力することもできます。

Copilot には Microsoft Defender XDR インシデント調査用の組み込みのプロンプトブックも含まれており、それを使って、特定のインシデントと、それに関連するアラート、評価スコア、ユーザー、デバイスについてのレポートを取得できます。

Microsoft Defender プラグイン用 Natural language to KQL

Natural language to KQL for Microsoft Defender プラグインを使用すると、脅威ハンティングのコンテキストでの自然言語による質問を、すぐに実行できる Kusto 照会言語 (KQL) クエリに変換するクエリ アシスタント機能が有効になります。 クエリ アシスタントは、アナリストのニーズに応じて自動的に実行や、調整まで可能な KQL クエリを生成することで、セキュリティ チームの時間を削減します。

埋め込みエクスペリエンス

このプラグインを有効にすると、埋め込みエクスペリエンスを通じて Copilot と Defender XDR の統合を利用することもできます。これは Copilot in Microsoft Defender XDR と呼ばれます。

Copilot in Microsoft Defender XDR を使用すると、セキュリティ チームは Microsoft Defender XDR ポータルを使用して、インシデントを迅速かつ効率的に調査して対応できます。 Copilot in Microsoft Defender XDR は、次の機能をサポートしています。

  • インシデントを要約する
  • ガイド付き応答
  • スクリプト分析
  • 自然言語による KQL クエリ
  • インシデント レポート
  • ファイルの分析
  • デバイスと ID の概要

また、ユーザーは埋め込みエクスペリエンスからスタンドアロン エクスペリエンスにシームレスに切り替えることもできます。

インシデントを要約する

インシデントをすぐに理解するには、Copilot in Microsoft Defender XDR を使用してインシデントを要約します。 Copilot は、攻撃において何が漏洩したか、どの資産が関係しているか、攻撃のタイムラインなどを理解するための重要な情報を含む攻撃の概要を作成します。 ユーザーがインシデントのページに移動すると、Copilot は自動的に概要を作成します。 最大 100 件のアラートを含むインシデントは、1 つのインシデントの概要にまとめることができます。

インシデントの概要を示す、Microsoft Defender XDR での Security Copilot 埋め込みエクスペリエンスのスクリーンショット。

ガイド付き応答

Microsoft Defender XDR の Copilot は、AI と機械学習の機能を使用してインシデントをコンテキスト化し、以前の調査から学習して、適切な対応アクションを生成し、これはガイド付き対応として表示されます。 Copilot のガイド付き対応機能は、あらゆるレベルのインシデント対応チームが自信を持って素早く対応アクションを適用し、インシデントを簡単に解決することを可能とします。

ガイド付き応答では、次のカテゴリのアクションが推奨されます。

  • トリアージ - インシデントを情報、真陽性、または誤検知として分類するための推奨事項が含まれています
  • 封じ込め - インシデントを封じ込めるための推奨アクションが含まれています
  • 調査 - 詳細に調査するための推奨アクションが含まれています
  • 修復 - インシデントに関係する特定のエンティティに適用するための推奨応答アクションが含まれています

各カードには、そのアクションが推奨される理由、類似のインシデントなど、推奨されるアクションに関する情報が表示されます。 たとえば、現在のインシデントと似た他のインシデントが組織内にある場合、[View similar incidents] (類似インシデントの表示) アクションを使用できます。 インシデント対応チームは、パスワードのリセットなどの修復アクションに関するユーザー情報を表示することもできます。

ガイド付き応答に含まれる情報を示すスクリーンショット。

すべてのインシデント/アラートがガイド付き応答を提供するわけではありません。 ガイド付き応答は、フィッシング、ビジネス メールの侵害、ランサムウェアなどのインシデントの種類で使用できます。

スクリプトとコードを分析する

Microsoft Defender XDR の Copilot のスクリプト分析機能は、セキュリティ チームに、外部ツールを使用せずにスクリプトとコードを検査する追加の機能を提供します。 また、この機能により、分析の複雑さが軽減され、課題が最小限に抑えられます。また、セキュリティ チームは、スクリプトを悪意のあるスクリプトまたは無害なスクリプトとして迅速に評価して識別できるようになります。

スクリプト分析機能には、いくつかの方法でアクセスできます。 次の図は、PowerShell スクリプトの実行を含むアラートのプロセス ツリーを示しています。 [分析] ボタンを選択すると、Copilot スクリプト分析が生成されます。

PowerShell スクリプトを分析するオプションを示すスクリーンショット。

KQL クエリを生成する

Microsoft Defender XDR の Copilot には、高度なハンティングのクエリ アシスタント機能が付属しています。

自然言語で KQL クエリ アシスタントにアクセスするには、Copilot に対してアクセス権を持つユーザーが、Defender XDR ポータルの左側のナビゲーション ウィンドウから高度なハンティングを選択します。

Copilot には、Copilot で脅威の検出を開始するために使用できるプロンプトが用意されています。また、プロンプト バーに独自の自然言語の質問を記述して KQL クエリを生成することもできます。 たとえば、"過去 10 分以内にサインインしたすべてのデバイスを教えてください" などです。その後、Copilot は、高度なハンティングのデータ スキーマを使用して要求に対応する KQL クエリを生成します。

次に、[追加して実行] を選ぶことで、クエリの実行を選択できます。 生成されたクエリは、クエリ エディターの最後のクエリとして表示されます。 さらに微調整するには、[Add to editor] (エディターに追加) を選びます。

インシデント レポートを作成する

包括的で明確なインシデント レポートは、セキュリティ チームとセキュリティ オペレーション管理にとって重要な参考資料です。 ただし、重要な詳細が記載された包括的なレポートを作成するには、複数のソースからインシデント情報を収集、整理、要約する必要があるため、セキュリティ オペレーション チームにとって時間のかかる作業になる可能性があります。 セキュリティ チームは、広範なインシデント レポートをポータル内ですぐに作成できるようになりました。

インシデントの要約にはインシデントの概要とその発生状況が表示されます。一方、インシデント レポートには、Microsoft Sentinel と Microsoft Defender XDR で使用できるさまざまなデータ ソースのインシデント情報がまとめられます。 インシデント レポートには、アナリスト主導のすべての手順と自動アクション、対応に関与したアナリスト、アナリストからのコメントなども含まれます。

インシデント レポートを作成するには、ユーザーはインシデント ページの右上隅にある [インシデント レポートの生成] を選択するか、[Copilot] ペイン内のアイコンを選択します。 インシデント レポートが生成されたら、インシデント レポート上の省略記号を選択すると、レポートのクリップボードへのコピー、アクティビティ ログへの投稿、レポートの再生成、Copilot スタンドアロン エクスペリエンス内で開くことを選択するオプションがユーザーに表示されます。

ファイルの分析

高度な攻撃では、検出を回避するために、正当なファイルやシステム ファイルを模倣したファイルを使用することがよくあります。 Microsoft Defender XDR の Copilot を使用すると、セキュリティ チームは、AI を利用したファイル分析機能を使用して、悪意のある疑わしいファイルをすばやく特定できます。

特定のファイルの詳細なプロファイルのページにアクセスするには、さまざまな方法があります。 この例では、影響を受けるファイルを含むインシデントのインシデント グラフ経由でファイルに移動します。 インシデント グラフは、攻撃の全範囲、時間の経過と同時にネットワーク経由で攻撃が拡散したようす、開始場所、攻撃者の侵入度合いを示します。

インシデント グラフからファイルを選択すると、ファイルを表示するオプションが表示されます。 ファイルの表示を選択すると、影響を受けたファイルを一覧表示する画面の右側にパネルが開きます。 ファイルを選択すると、ファイル情報の概要と、ファイルを分析するためのオプションが表示されます。 [Analyze] (分析) を選択すると、Copilot のファイル分析が開きます。

デバイスと ID を要約する

Defender の Copilot のデバイスの概要機能を使用すると、セキュリティ チームは、デバイスのセキュリティ態勢、脆弱なソフトウェア情報、および異常な動作を取得できます。 セキュリティ アナリストは、デバイスの概要を使用して、インシデントとアラートを迅速に調査できます。

デバイスの概要にアクセスするには、さまざまな方法があります。 この例では、インシデントの資産ページからデバイスの概要に移動します。 インシデントの [assets] (資産) タブを選ぶと、すべての資産が表示されます。 左側のナビゲーション パネルで、[デバイス] を選び、特定のデバイス名を選びます。 右側に表示される概要ページに、Copilot を選択するオプションがあります。

同様に、Copilot in Microsoft Defender XDR は ID を要約できます。

スタンドアロン エクスペリエンスに移行する

Microsoft Defender XDR を使用するアナリストは、Defender XDR にかなり時間を費やす可能性が高いので、埋め込みエクスペリエンスはセキュリティ調査を開始するのに最適な場所です。 確認した内容によっては、より詳細な調査が必要であると判断する場合もあります。 このシナリオでは、スタンドアロン エクスペリエンスに簡単に移行して、自分のロールで有効なすべての Copilot 機能を活用して、製品をまたぐより詳細な調査を実行できます。

埋め込みエクスペリエンスを通じて生成されたコンテンツについては、スタンドアロン エクスペリエンスに簡単に移行できます。 スタンドアロン エクスペリエンスに移行するには、生成されたコンテンツ ウィンドウ内の省略記号を選択し、[Security Copilot で開く] を選びます。

Security Copilot で開くオプションを示すスクリーンショット。これは、AI によって生成されたコンテンツ ウィンドウで省略記号を選択することで使用できます。