Microsoft Security Copilot で使用できる Microsoft プラグインについて説明する

10 分

Microsoft Security Copilot は、Microsoft 独自のセキュリティ製品、Microsoft 以外のベンダー、オープンソースのインテリジェンスフィード、Web サイト、ナレッジベースなどの、さまざまなソースと統合されて、お客様の組織に固有のガイダンスを生成します。

Copilot がこれらのさまざまなソースと統合するメカニズムの 1 つは、プラグインによるものです。プラグインによって Copilot の機能が拡張されます。このユニットでは、Microsoft プラグインについて説明します。

Microsoft プラグイン

Microsoft プラグインを使うと、組織の Microsoft 製品内から情報や機能にアクセスする権限が Copilot に付与されます。次の画像は、使用可能な Microsoft プラグインのサブセットのみを示しており、プラグインがリストされている順序は、製品に表示される順序とは異なる場合があります。

Copilot 所有者がプラグインアクセスを制限している場合、制限に設定されているプラグインは灰色表示され、制限されます。

プラグイン
制限付きプラグイン

一般に、Copilot の Microsoft プラグインは OBO (代理) モデルを使用します。つまり、Copilot は、顧客が特定の製品のライセンスを持ち、それらの製品に自動的にサインインすることを認識しています。このため、プラグインが有効になり、必要に応じてパラメーターが構成されていると、Copilot が特定の製品にアクセスできます。設定アイコンまたは設定ボタンで示されている、設定が必要な一部の Microsoft プラグインには、OBO モデルの代わりに認証に使われる構成可能なパラメーターが含まれる場合があります。

有効なプラグインでサポートされているシステム機能を確認するには、プロンプトバーにあるプロンプトアイコンを選んで、[すべてのシステムの機能を表示] を選びます。システム機能は、Copilot で使用できる特定の 1 つのプロンプトです。通常、システム機能を選ぶには、役に立つ応答を得るためにさらに多くの入力が必要ですが、Copilot がそのガイダンスを提供します。

以下のセクションで、利用可能な Microsoft プラグインの多く (ただし全てではない) について簡単に説明します。 Microsoft Security Copilot では、Microsoft 製品のサポートを継続的に追加しています。

Azure Firewall (プレビュー)

Azure Firewall は、Azure で実行されているクラウドワークロードに最高レベルの脅威保護を提供する、クラウドネイティブでインテリジェントなネットワークファイアウォールのセキュリティサービスです。組み込みの高可用性とクラウドの無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。

Azure Firewall と Copilot の統合により、アナリストは、環境内のファイアウォールの侵入検出および防止システム (IDPS) や脅威インテリジェンス機能によって傍受された、悪意のあるトラフィックの詳細な調査を実行できます。

Azure Firewall と Copilot の統合を使用するには:

Security Copilot で使用する Azure Firewall には、IDPS のリソース固有の構造化ログが構成されている必要があり、これらのログは Log Analytics ワークスペースに送信される必要があります。
Security Copilot で Azure Firewall プラグインを使用するユーザーは、Firewall および関連する Log Analytics ワークスペースにアクセスするための適切な Azure RBAC (ロールベースのアクセス制御) ロールを持っている必要があります。
Security Copilot の Azure Firewall プラグインを有効にする必要があります。

Copilot での Azure Firewall の機能はユーザーが使用できる組み込みのプロンプトですが、ユーザーはサポートされている機能に基づいて独自のプロンプトを入力することもできます。

プロンプトの例を次に示します。

ファイアウォール <ファイアウォール名> によって傍受された悪意のあるトラフィックはありますか?
リソースグループ <リソースグループ名> のファイアウォール <ファイアウォール名> に対する過去 7 日間の IDPS ヒットの上位 20 件は何ですか?
すべてのファイアウォールが署名 ID <ID 番号> からの攻撃から保護されていることを確認するには、どうすればよいですか?

Azure Web Application Firewall (プレビュー)

Security Copilot への Azure Web Application Firewall (WAF) 統合により、Azure WAF イベントの詳細な調査が可能になります。これは、Azure WAF によってトリガーされた WAF ログをわずか数分で調査し、自然言語応答を使用して機械の速度で関連する攻撃ベクトルを示すのに役立ちます。これを使用すると、環境の脅威の状況を視覚的に把握できます。これにより、最も頻繁にトリガーされる WAF ルールの一覧を取得し、環境内で最も問題のある IPaddresses を特定できます。

Security Copilot 統合は、Azure Application Gateway と統合された Azure WAF と、Azure Front Door と統合された Azure WAF の両方でサポートされています。

Copilot で Azure WAF 統合を使用するには、Security Copilot の Azure WAF プラグインを有効にして構成する必要があります。

Azure WAF のプレビュースタンドアロンエクスペリエンスは、次の場合に役立ちます。

顧客環境でトリガーされる上位の Azure WAF ルールの一覧を提供し、関連する攻撃ベクトルを使用して深いコンテキストを生成します。
顧客環境内の悪意のある IP アドレスの一覧を提供し、関連する脅威を生成する。
SQL インジェクション (SQLi) 攻撃の概要。
クロスサイトスクリプティング (XSS) 攻撃の概要。

Copilot での Azure Web Application Firewall の機能はユーザーが使用できる組み込みのプロンプトですが、サポートされている機能に基づいて独自のプロンプトを入力することもできます。

プロンプトの例を次に示します。

過去 1 日間にグローバル WAF で SQL インジェクション攻撃が発生しましたか?
過去 24 時間にトリガーされた上位のグローバル WAF ルールは何でしたか?
過去 6 時間の Azure Front Door WAF の悪意のある IP アドレスの一覧をまとめてもらえますか?

Azure AI 検索 (プレビュー)

Azure AI 検索プラグインを使用すると、会社のナレッジベースやリポジトリを Microsoft Security Copilot に接続できます。このプラグインとナレッジベースへの接続の詳細については、このモジュールの後続のユニットで説明します。

Microsoft Entra

Microsoft Entra は、組織がすべての ID を保護し、リソースへのアクセスを保護できるようにするマルチクラウド ID とネットワークアクセスソリューションのファミリです。 ID とネットワークアクセス管理用の統合プラットフォームが提供されるため、ID と、マルチクラウドやハイブリッド環境全体にわたるリソースへのアクセスの保護が簡単になります。

Security Copilot は Microsoft Entra と統合します。 Entra プラグインを有効にすると、セキュリティアナリストは、リスクの概要、修復手順、およびリスクにさらされている各 ID に対する推奨ガイダンスを自然言語ですぐに取得できます。アナリストは、ユーザーの資格情報とアクセス権を作成および発行するプロセスを合理化するために、Copilot を使用してライフサイクルワークフローの作成をガイドできます。これらおよび他の多くの Entra 機能は、Copilot によってサポートされています。

Copilot での Microsoft Entra の機能はユーザーが使用できる組み込みのプロンプトですが、ユーザーはサポートされている機能に基づいて独自のプロンプトを入力することもできます。

このプラグインを有効にすると、埋め込みエクスペリエンスを通じて Copilot と Microsoft Entra の統合を利用することもできます。埋め込みエクスペリエンスを通じてサポートされるシナリオについては、「Microsoft Security Copilot の埋め込みエクスペリエンスについて説明する」というタイトルのモジュールで詳しく説明します。

Microsoft Intune

Microsoft Intune は、クラウドベースのエンドポイント管理ソリューションです。それは、組織のリソースへのユーザーアクセスを管理し、モバイルデバイス、デスクトップコンピューター、仮想エンドポイントなど、多くのデバイスでのアプリとデバイスの管理を簡素化します。

Security Copilot は、Microsoft Intune と統合されます。 Microsoft Intune が Copilot と同じテナントで使用でき、プラグインが有効になっている場合、Copilot は Intune で管理されているデバイス、アプリ、コンプライアンスと構成ポリシー、ポリシーの割り当てに関する情報を取得できます。

Microsoft Intune プラグインを利用するには、Copilot へのアクセスを許可するロールのアクセス許可に加えて、Intune エンドポイントセキュリティマネージャーロールなどの Intune サービス固有のロールをユーザーに割り当てる必要があります。

Intune プラグインでサポートされている機能により、ユーザーは次のことができます。

さまざまなセキュリティベースラインを比較する。
既存のポリシーの概要を取得する。
ポリシーの割り当て範囲を取得する。
2 つのデバイスの相違点や類似点を取得する。
質問してデバイスの詳細をすばやく収集する。
トラブルシューティングやセキュリティ調査のために、ユーザーのデバイス登録とデバイスコンプライアンスに関する詳細情報を取得する。
その他

Copilot での Microsoft Intune の機能はユーザーが使用できる組み込みのプロンプトですが、ユーザーはサポートされている機能に基づいて独自のプロンプトを入力することもできます。

サンプルプロンプトをいくつか次に示します。

最も多く割り当てられている Intune アプリはどれですか?
この 24 時間で Intune に登録されたデバイスの数はいくつですか?
DeviceA と DeviceB のハードウェア構成の違いは何ですか?

このプラグインを有効にすると、埋め込みエクスペリエンスを通じて Copilot と Microsoft Intune の統合を利用することもできます。埋め込みエクスペリエンスを通じてサポートされるシナリオについては、「Microsoft Security Copilot の埋め込みエクスペリエンスについて説明する」というタイトルのモジュールで詳しく説明します。

Microsoft Defender XDR

Microsoft Defender XDR は、侵害前と侵害後のための統合されたエンタープライズ防御スイートであり、エンドポイント、ID、メール、アプリケーション全体にわたって検出、防御、調査、応答をネイティブに調整し、高度な攻撃に対する統合された保護を提供します。

Copilot には、Microsoft Defender XDR に関連する次の 2 つの別個のプラグインがあります (ユーザーインターフェイスには引き続き Microsoft 365 Defender と表示される場合があります)。

Microsoft Defender XDR
Microsoft Defender XDR 用 Natural Language to KQL

ユーザーに Copilot へのアクセスを許可するロールのアクセス許可によって、Microsoft Defender XDR データへのアクセスレベルが決まります。 Microsoft Defender XDR プラグインつまり Natural language to Defender XDR KQL プラグインを使用するために必要なロールのアクセス許可は、これ以外にはありません。

Microsoft Defender XDR

Microsoft Defender XDR プラグインには、ユーザーが次のことを行えるようにする機能が含まれています。

インシデントをすばやく要約する
ガイド付き応答を使用してインシデントに対するアクションを実行します。
インシデントレポートを作成する
インシデントガイド付き応答を取得する
Defender デバイスの概要を取得する
ファイルの分析
その他...

Copilot での Microsoft Defender XDR の機能はユーザーが使用できる組み込みのプロンプトですが、ユーザーはサポートされている機能に基づいて独自のプロンプトを入力することもできます。

Copilot には Microsoft Defender XDR インシデント調査用の組み込みのプロンプトブックも含まれており、それを使って、特定のインシデントと、それに関連するアラート、評価スコア、ユーザー、デバイスについてのレポートを取得できます。

このプラグインを有効にすると、埋め込みエクスペリエンスを通じて Copilot と Defender XDR の統合を利用することもできます。埋め込みエクスペリエンスを通じてサポートされるシナリオについては、「Microsoft Security Copilot の埋め込みエクスペリエンスについて説明する」というタイトルのモジュールで詳しく説明します。

"Microsoft Defender XDR 用 Natural Language to KQL"

Microsoft Defender 用 Natural Language to KQL (NL2KQLDefender) プラグインを使用すると、脅威ハンティングのコンテキストでの自然言語による質問を、すぐに実行できる KQL クエリに変換するクエリアシスタント機能が有効になります。クエリアシスタントは、アナリストのニーズに応じて自動的に実行や、調整まで可能な KQL クエリを生成することで、セキュリティチームの時間を削減します。

Microsoft Defender 外部攻撃面管理 (Defender EASM)

"Microsoft Defender External Attack Surface Management (Defender EASM)" は、オンラインインフラストラクチャの外部への露出を示すために、デジタル攻撃対象領域を継続的に検出してマップします。このように可視化することで、セキュリティチームと IT チームは、不明な領域を特定し、リスクの優先順位を付け、脅威を排除し、ファイアウォールを越えて脆弱性と露出の制御を拡張することができます。地攻撃面の分析情報は脆弱性とインフラストラクチャのデータを使って生成され、組織にとって懸念される主要な領域が示されます。

Copilot と同じテナントで Defender EASM を使用し、プラグインを有効にすると、Copilot は組織の攻撃面に関する Defender EASM からの分析情報を表示できます。これらの分析情報は、セキュリティ態勢を理解し、脆弱性を軽減するのに役立ちます。

Copilot での Defender EASM の機能はユーザーが使用できる組み込みのプロンプトですが、ユーザーはサポートされている機能に基づいて独自のプロンプトを入力することもできます。

プロンプトの例をいくつか次に示します。

外部攻撃面は CVE-2023-21709 の影響を受けていますか?
自分の攻撃面で優先度の高い CVSS の影響を受ける資産を取得します。
組織にとってクリティカルな CVSS を持つ資産はいくつありますか?

このプラグインを使うには、Defender EASM に対してユーザーの組織のサブスクリプションを示すためのパラメーターを構成する必要があります。

Microsoft Defender 脅威インテリジェンス

Microsoft Defender 脅威インテリジェンス (Defender TI) は、脅威インフラストラクチャの分析と脅威インテリジェンスの収集を行うときに、トリアージ、インシデント対応、脅威ハンティング、脆弱性の管理、サイバー脅威インテリジェンスアナリストのワークフローを合理化するプラットフォームです。

Security Copilot は Microsoft Defender TI と統合します。 Defender TI プラグインを有効にすると、Copilot により、脅威アクティビティグループ、侵害インジケーター (IOC)、ツール、コンテキスト上の脅威インテリジェンスに関する情報が提供されます。プロンプトとプロンプトブックを使用して、インシデントを調査したり、脅威インテリジェンス情報を使用してハンティングフローを強化したり、組織やグローバルな脅威の状況に関してさらに多くの知識を得たりできます。

Copilot での Microsoft Defender TI の機能はユーザーが使用できる組み込みのプロンプトですが、ユーザーはサポートされている機能に基づいて独自のプロンプトを入力することもできます。

サンプルプロンプトをいくつか次に示します。

最新の脅威に関する記事を表示します。
金融業界に関連付けられている脅威に関する記事を取得します。
脆弱性 - CVE-2021-44228 の影響を受けやすいテクノロジを共有します。
脆弱性 CVE-2021-44228 の概要を示します。

Defender TI から情報を提供する組み込みのプロンプトブックには、次のものが含まれます。

脆弱性の影響評価 - 既知の脆弱性のインテリジェンスを要約したレポートを生成します。これには、それに対処する手順が含まれます。
脅威アクタープロファイル - 既知のアクティビティグループをプロファイリングするレポートを生成します。これには、一般的なツールや戦術から防御するための提案が含まれます。

Microsoft Purview

Microsoft Purview は、データの場所に関係なく組織が統制、保護、管理できるように支援する包括的なソリューションセットです。 Microsoft Purview ソリューションによって、統合されたカバレッジを実現し、組織全体のデータのフラグメント化、データ保護とガバナンスを妨げる可視性の欠如、従来の IT 管理のロールのあいまいさに対処することができます。

ユーザーが Microsoft Purview 内での適切なロールアクセス許可を持っている場合、Security Copilot の Purview プラグインを使うと、貴重なデータとユーザーリスクに関する分析情報を取得して、攻撃の発生源とリスクにさらされている可能性のある機密データを特定できます。 Microsoft Copilot はデータにアクセスしてクエリに回答するときにユーザーのアクセス許可を利用するため、ユーザーはデータにアクセスするために必要なロールアクセス許可を持っている必要があります。また、組織は、該当する Microsoft Purview ソリューションのライセンスを取得し、オンボードしている必要があります。

Copilot での Microsoft Purview の機能はユーザーが使用できる組み込みのプロンプトですが、ユーザーはサポートされている機能に基づいて独自のプロンプトを入力することもできます。

Copilot 機能は、埋め込みエクスペリエンスを通じて Purview ソリューション内から直接利用することもできます。埋め込みエクスペリエンスを通じてサポートされるシナリオについては、「Microsoft Security Copilot の埋め込みエクスペリエンスについて説明する」というタイトルのモジュールで詳しく説明します。

Microsoft Sentinel (プレビュー)

Microsoft Sentinel は、インテリジェントなセキュリティ分析と脅威インテリジェンスを企業全体に提供します。 Microsoft Sentinel を使用すると、攻撃の検出、脅威の可視化、予防的ハンティング、脅威への対応のための単一ソリューションが得られます。

Copilot には、Sentinel に関連する次の 2 つの別個のプラグインがあります。

Microsoft Sentinel (プレビュー)
Natural language to Microsoft Sentinel KQL (プレビュー)

Microsoft Sentinel (プレビュー)

Sentinel プラグインを利用するには、Copilot へのアクセスを許可するロールのアクセス許可と、ワークスペース内のインシデントにアクセスするための Microsoft Sentinel 閲覧者などの Sentinel 固有のロールをユーザーに割り当てる必要があります。

Sentinel プラグインは、ユーザーが Sentinel ワークスペース、サブスクリプション名、およびリソースグループ名を構成することも要求します。

Sentinel プラグインの機能は、インシデントとワークスペースに重点を置いています。さらに、Copilot には、Microsoft Sentinel インシデント調査のプロンプトブックが含まれています。このプロンプトブックには、特定のインシデントに関するレポートを取得するためのプロンプトと、関連するアラート、評価スコア、ユーザー、デバイスが含まれています。

"Natural language to Microsoft Sentinel KQL (プレビュー)"

Natural language to Sentinel KQL (NL2KQLSentinel) プラグインを使用すると、脅威ハンティングのコンテキストの自然言語の質問を、すぐに実行できる KQL クエリに変換できます。これは、アナリストのニーズに応じて自動的に実行や、調整まで可能な KQL クエリを生成することで、セキュリティチームの時間を削減します。