Microsoft Defenderでのセキュリティ アラートトリアージ エージェントのMicrosoft Security Copilot (プレビュー)

  • 適用対象: Microsoft Defender XDR

Security Operations Center (SOC) は、複数のワークロードにわたって大量のアラートを処理します。それぞれに異なるコンテキスト、シグナル、調査の深さが必要です。 これらのアラートの評価方法の違いにより、トリアージに関する一貫性のない決定が生じ、実際の脅威と誤ったアラームを区別する能力が低下する可能性があります。 その結果、リスクの高いアクティビティが見逃されたり遅れたりする可能性があります。アナリストは、最も重要なことに対処するのではなく、ノイズのフィルタリングに不均衡な時間を費やします。

Microsoft Security Copilotセキュリティ アラートトリアージ エージェントは、セキュリティ チームが大規模にアラートをトリアージするのに役立つ、Microsoft Defenderに埋め込まれた自律エージェントです。 サポートされているセキュリティ ワークロードに対して明確な判定を提供するために、AI 主導の動的推論が証拠全体に適用されます。 どのアラートが実際の攻撃を表し、どのアラートが誤検知であるかを特定することで、アナリストは、すべての決定をサポートする透過的で段階的な推論を使用して、実際の脅威の調査に集中できます。

この記事では、セキュリティ アラート トリアージ エージェントの概要、機能、およびアラートトリアージ機能について説明します。 このビデオを見て、簡単なデモを見てください。

注:

セキュリティアラートトリアージエージェントは 、フィッシングトリアージエージェントと同じエージェントであり、制御された評価におけるトリアージの精度と効率の測定可能な改善を実証しています。 エージェントは、ID アラートとクラウド アラートのサブセットから始まり、Microsoft Defenderのアラートのより広範なセットをトリアージするように拡張されます。 これらの拡張された機能は現在プレビュー段階です。 サポートされているアラートのセットは、時間の経過と同時に増加することが予想されます。

セキュリティ アラート トリアージ エージェントのしくみ

セキュリティ アラートトリアージ エージェントは、サポートされているワークロードとアラートの種類全体でアラートを分類およびトリアージするMicrosoft DefenderのSecurity Copilot エージェントです。 エージェントの主な機能は次のとおりです。

  • 自律トリアージ: 高度な AI ツールを使用してアラートを評価し、人間の入力をステップ バイ ステップで行う必要なく、悪意のあるアクティビティまたは誤ったアラームを表しているかどうかを判断します。
  • 透過的な根拠: レコード分類は、各結論に達するために使用される証拠を含め、自然言語と視覚的なグラフで判定し、サポート推論を提供します。
  • フィードバックに基づく学習: サポートされているアラートの種類の場合、エージェントは、明示的に指定および承認されたときにアナリストのフィードバックを組み込んで、判定分析を調整できます。 この機能は現在、電子メールとコラボレーションのアラートでのみ使用できます。

サポートされているアラート

セキュリティ アラート トリアージ エージェントは現在、Microsoft Defenderのアラートの種類の次のサブセットをサポートしています。 サポートされているアラートのセットは、時間の経過と同時に増加することが予想されます。

アラートの種類 アラート名
フィッシングを含むEmailとコラボレーションのアラート (一般公開) ユーザーによってマルウェアまたはフィッシングとして報告されたメール
コンテナーを含むクラウド アラート (プレビュー)
すべてのクラウド アラートを表示する
  • バックドア ユーティリティまたはプロキシ バイナリが検出される可能性がある (プレビュー)
  • 実行中のプロセスからのバックドア インストールの可能性 (プレビュー)
  • Base64 でエンコードされたコマンド ラインで検出された実行可能ファイルの可能性 (プレビュー)
  • base64 でエンコードされたシェル スクリプトの実行の可能性 (プレビュー)
  • Bash プロファイル ファイルへの通常とは異なるアクセス
  • SSH サーバーがコンテナー内で実行されている (プレビュー)
  • コマンド ラインでの不審な Cron 操作が検出されました
  • デジタル通貨マイニングに関連付けられているプロセスが検出されました
  • 可能性のある Cryptocoinminer のダウンロードが検出されました
  • Kubernetes crypto-miner プロセスの強制終了が検出されました (プレビュー)
  • 検出された暗号化マイニング プールへのアクセスの可能性 (プレビュー)
  • デジタル通貨マイニング関連の動作が検出されました
  • パス トラバーサルを使用した Web サービスの悪用の可能性 (プレビュー)
  • セキュリティ ツールの無効化の可能性が検出されました (プレビュー)
  • コンテナーで実行されているブロックされたバイナリ ドリフト (プレビュー)
  • コンテナーで実行されているドリフト バイナリが検出されました
  • chattr を使用した疑わしいファイル属性の変更が検出されました (プレビュー)
  • Kubernetes ノードで Docker ビルド操作が検出されました (プレビュー)
  • クラウド メタデータ サービスへのアクセスが検出されました
  • コマンド履歴ログの障害の可能性 (プレビュー)
  • 検出された可能性のある攻撃ツール
  • 可能な資格情報アクセス ツールが検出されました
  • kubelet kubeconfig ファイルへのアクセスが検出されました
  • 検出されたコンテナーから新しいLinux名前空間を作成しようとしています
  • ネットワーク スキャン ツールが検出されました (プレビュー)
  • sudo グループに追加されたアカウント
  • OAST ドメインの使用状況が検出されました (プレビュー)
  • Kubernetes 侵入テスト ツールが検出されました (プレビュー)
  • Java ベースのプログラムの悪用の可能性が検出されました (プレビュー)
  • 高い特権で実行されているコンテナー内のコマンド
  • コマンド ラインで検出された不審なプロキシウェアまたはトラフィック収益化者
  • React2Shell コマンドインジェクションの可能性が検出されました
  • bash 履歴ファイルへの異常なアクセス
  • 潜在的な逆シェルが検出されました
  • シークレット偵察の可能性が検出されました
  • セキュリティ構成の改ざんの可能性が検出されました (プレビュー)
  • セキュリティ プロセスの疑わしい終了が検出されました (プレビュー)
  • 機密Filesアクセスが検出されました
  • Sha1-Hulud キャンペーンが検出されました: 資格情報を流出させる可能性のあるコマンド インジェクション (プレビュー)
  • SSH 承認キー ファイルに通常とは異なる方法でアクセスするプロセス
  • 一般的でない接続試行が検出されました
  • 既知の悪意のあるソースからのファイルのダウンロードが検出されました
  • 疑わしい PHP の実行が検出されました
  • 外部 IP アドレスへのポート 転送の可能性
  • DB プロセスによるプロセス呼び出しが検出されました
  • Kubernetes ノードで検出された疑わしい Netcat アクティビティ (プレビュー)
  • 検出されたログ改ざんアクティビティの可能性
  • 疑わしいファイル タイムスタンプの変更
  • 悪意のある Web シェルの可能性が検出されました
  • Kubernetes API に対する疑わしい要求
  • 検出された Web シェル アクティビティの可能性
  • ワークロード ID トークンまたはサービス アカウント トークンへの疑わしいアクセスが検出されました
  • 疑わしいフォルダーからバイナリを実行するためのアクセス許可がダウンロード後に付与されました (プレビュー)
  • コンテナー内で実行されるコマンド ラインに疑わしい DNS が含まれている
  • コンテナー内で実行されるコマンド ラインには、疑わしい IP アドレスが含まれています
  • Cloud Kubernetes マルウェアの実行が検出された (プレビュー) のMicrosoft Defender
  • Cloud Kubernetes マルウェアの実行がブロックされたMicrosoft Defender (プレビュー)
ID アラート (プレビュー)
すべての ID アラートを表示する
  • パスワード スプレー
  • BEC 関連の受信トレイルールの可能性
  • パスワード スプレー攻撃の後に侵害されたアカウント

前提条件

これらの前提条件は、エージェントがトリアージするアラートの種類に関係なく適用されます。

前提条件 詳細
Security Copilot セキュリティ コンピューティング ユニット (SCU) のプロビジョニングされた容量。 Microsoft Security Copilot包含モデルの一部として SCU を受ける権利があるかどうかについては、「Security Copilotの概要」または「チェック」を参照してください。
Security Copilot プラグイン セキュリティ アラート トリアージ エージェントは、Microsoft Defender XDR、Microsoft 脅威インテリジェンス、セキュリティ アラート トリアージ エージェントの各プラグインを自動的にアクティブ化します。 詳細については、「プラグインの概要 - Microsoft Security Copilot」を参照してください。
アラートチューニングルール エージェントがトリアージするアラートを解決するチューニング ルールを無効にします。 エージェントは解決されたアラートをトリアージしません。 詳細については、「 アラートの調整」を参照してください。
統合 RBAC 統合されたロールベースのアクセス制御を有効にし、トリアージするアラートの種類に関連するワークロードをアクティブ化します。 詳細については、「 ワークロード固有の前提条件」を参照してください。
製品とライセンス エージェントがトリアージするアラートの種類に基づいて、特定の製品とライセンスが必要です。 詳細については、「 ワークロード固有の前提条件」を参照してください。

ワークロード固有の前提条件

次の前提条件は、エージェントがトリアージするアラートの種類によって異なります。

製品とライセンスの要件
統合 RBAC の要件

統合 RBAC 設定で Defender for Office 365 Microsoft Defender XDRアクティブ化します。 詳細については、「Microsoft Defender XDR設定でワークロードをアクティブ化する」を参照してください。

セキュリティ アラートトリアージ エージェントで有効にする必要がある Defender for Office 365トグルを示す [統合ロールベースのアクセス制御のアクティブ化] ページのスクリーンショット。

ユーザーが報告した設定を構成する

Outlook で報告されたメッセージの監視を有効にして、ユーザーが Microsoft Outlook で悪意のある可能性のあるメッセージを報告する方法を定義し、[報告されたメッセージの送信先] オプションのいずれかを選択します。

Outlook レポート ボタンと報告されたメッセージの送信先の構成を示す [ユーザーが報告した設定] ページのスクリーンショット。

詳細については、「Microsoft Defender ポータルを使用してユーザーが報告した設定を構成する」を参照してください。

サード パーティの電子メール レポート ツールを使用している場合は、サード パーティのレポート ツールのオプションを確認し、報告されたメッセージをMicrosoft Defenderと統合するためのベンダーの構成オプションを表示します。

アラート ポリシーを追加する

セキュリティ アラートトリアージ エージェントは、ユーザーがマルウェアまたはフィッシングとして報告した種類のアラートEmail含む電子メールおよびコラボレーション インシデントに対処します。

対応するアラート ポリシーが有効になっていることを確認します。
詳細については、Microsoft Defender ポータルのアラート ポリシーに関するページを参照してください。

重要

セキュリティ アラートトリアージ エージェントは、 アラートのチューニングによって解決されたアラートをトリアージしません。
自動解決 – Emailマルウェアまたはフィッシングの組み込みアラート チューニング ルールと、このアラートを解決するカスタム チューニング ルールとしてユーザーによって報告されることを確認します。

必要なユーザーアクセス許可

セキュリティ アラート トリアージ エージェントと対話するユーザーには、次のアクセス許可が必要です。

ユーザー操作 必要なアクセス許可
エージェントの結果を表示する セキュリティ アラート トリアージ エージェントに必要なアクセス許可」で説明されているように、エージェント (以上) と同じアクセス許可。
エージェントの設定を表示する Defender ポータルの [セキュリティ操作のアクセス許可] グループにSecurity Copilot (読み取り) とセキュリティ データの基本 (読み取り)。

または

Microsoft Entra IDセキュリティ管理者
エージェント設定の管理 (エージェントの設定、一時停止、削除、エージェント ID の管理) Microsoft Entra IDセキュリティ管理者

これらのアクセス許可は、エージェント フィードバック ワークフローに適用されます。

ユーザー操作 必要なアクセス許可
フィードバックを通じてエージェントに教える セキュリティ アラート トリアージ エージェントに必要なアクセス許可」で説明されているように、エージェント (以上) と同じアクセス許可。
フィードバック ページを表示する Defender ポータルのセキュリティ操作のアクセス許可グループの下にあるSecurity Copilot (読み取り)、セキュリティデータの基本 (読み取り)、およびコラボレーション メタデータ (読み取り) をEmail &します。

または

Microsoft Entra IDセキュリティ管理者
フィードバックを拒否する Microsoft Entra IDセキュリティ管理者

Defender ポータルでの統合 RBAC の詳細については、「Microsoft Defender XDR統合ロールベースのアクセス制御 (RBAC)」を参照してください。

セキュリティ アラート トリアージ エージェントを設定する

エージェントを設定する前に、 必要なユーザーアクセス許可 があり 、すべての前提条件 が満たされていることを確認します。

セットアップを開始する

次の 2 つの方法のいずれかで、セキュリティ アラートトリアージ エージェントのセットアップ ウィザードを開きます。

  • Microsoft Defender ポータルの Incidents キューで、[エージェントのセットアップ] を選択します

    [セキュリティ アラート トリアージ エージェントのセットアップ] オプションが強調表示されているインシデント キューのスクリーンショット。

  • Microsoft Defenderでの AI エージェントのデプロイに関するページで説明されているように、Microsoft Defender ポータルの Security Store から。 エージェントは、Security Store で フィッシングトリアージ エージェント として表示される場合がありますが、同じエージェントです。

以下のセクションで説明されているように、セットアップ ウィザードの手順に従います。

トリアージするアラートの種類を選択する

サポートされているアラートの種類の一覧から、エージェントがトリアージする アラートの種類を選択します。 アクセス許可とデータ スコープは、その選択内容によって異なります。

メール、クラウド、ID の各アラートのトグル、および [続行] ボタンと [戻る] ボタンを含むエージェントでサポートされているアラートの設定のスクリーンショット。

エージェントの ID とアクセス許可を割り当てる

セットアップ ウィザードでは、エージェントに ID とその作業に必要なアクセス許可を割り当てる手順について説明します。

ID を割り当てる

エージェントが動作するには ID が必要です。 ウィザードでは、2 つの ID の種類のいずれかを選択するように求められます。

セキュリティ アラートトリアージ エージェントのセットアップ ウィザードの [新しい ID の選択] 画面のスクリーンショット。

選択:

  • 新しいエージェント ID を作成する (推奨) - 新しいMicrosoft Entra エージェント IDを自動的に作成します。 Microsoft Entraは、AI エージェント専用のエージェント ID を作成します。 エージェント ID を使用すると、アクセススコープが設定され、セキュリティで保護され、管理が容易になります。 詳細については、「 エージェント ID とは」を参照してください。

    または

  • 既存のユーザー アカウントを接続する - エージェント ID として既存のユーザー アカウントを割り当てます。 エージェントは、ユーザー アカウントのアクセスとアクセス許可を継承します。 この ID オプションを使用するには、自分で ID を作成し、エージェントがセットアップする前に 必要なアクセス許可を 割り当てる必要があります。 ユーザー アカウントの作成については、「 新しいユーザーの作成」を参照してください。

    エージェントをアカウントに接続する場合は、アカウントの有効期限を長く設定し、その認証状態を注意深く監視して、エージェントの継続的な操作を確実に行うことをお勧めします。 認証の有効期限が切れた場合、エージェントは更新されるまで機能を停止します。

    エージェントの指定されたユーザー ID は、長期的なバックグラウンド操作をサポートしていないため、PIM または TAP と互換性がありません。

    ヒント

    エージェントに最低限必要なアクセス許可を持つ専用 ID アカウントを使用します。 アカウントを作成するときは、セキュリティ アラート トリアージ エージェントなどの個別の表示名を割り当てて、Microsoft Defender ポータルで簡単に識別できます。

    Security Copilotの条件付きアクセス ポリシーを設定して、エージェントが作成されたユーザー アカウントに基づいて機能できるようにします。 詳細については、「Microsoft Security Copilotの条件付きアクセス ポリシーのトラブルシューティング」を参照してください。

注:

「エージェント設定の編集」の説明に従って、セットアップ後に エージェント ID を変更できます。

アクセス許可の割り当て

最小特権の原則に合わせて、セキュリティ アラート トリアージ エージェントがタスクを実行するために必要なアクセス許可のみをエージェント ID に割り当てることをお勧めします。

  • エージェント ID を使用する場合、ドロップダウンには、エージェントに必要なアクセス許可を持つロールのみがorganizationに表示されます。 organizationで既存のロールを選択するか、適切なロールがまだ設定されていない場合は、必要なアクセス許可を持つ新しいロールを自動的に作成します。

    セキュリティ アラートトリアージ エージェントのセットアップ ウィザードの [新しいエージェント ID の作成] 画面のスクリーンショット。

  • 既存のユーザー アカウントを使用する場合は、セットアップ中にエージェント ID を割り当てる前に、その ID に 必要なアクセス許可 を割り当てる必要があります。セットアップ ウィザードではこれを行うことはできません。

    セキュリティ アラート トリアージ エージェントセットアップ ウィザードの [既存のユーザー アカウントで接続する] 画面のスクリーンショット

セキュリティ アラート トリアージ エージェントに必要なアクセス許可

セキュリティ アラート トリアージ エージェントには、必要なデータにアクセスしてそのトリアージ機能を実行するための特定のアクセス許可が必要です。 必要なアクセス許可は、エージェントが操作するアラートの種類と関連する製品によって異なります。

次の表は、各アラートの種類に必要なアクセス許可とデータ スコープをまとめたものです。

アラートの種類 アクセス許可 データ スコープ
フィッシングなどのEmailとコラボレーションのアラート Security Copilot (読み取り)、セキュリティ データの基本 (読み取り)、アラート (管理)、コラボレーション メタデータのEmail & (読み取り)、コラボレーション コンテンツのEmail & (読み取り) Microsoft Defender for Office 365
コンテナーを含むクラウド アラート Security Copilot (読み取り)、セキュリティ データの基本 (読み取り)、アラート (管理) Microsoft Defender for Cloud
ID アラート Security Copilot (読み取り)、セキュリティ データの基本 (読み取り)、アラート (管理) Microsoft Defender for IdentityとMicrosoft Defender for Cloud Apps

これらのアクセス許可は、[ セキュリティ操作 のアクセス許可] グループにあります。

アラート トリアージに必要なアクセス許可のスクリーンショット

ロールを手動で作成するには:

  1. 関連する統合 RBAC ワークロードがアクティブ化されていることを確認して、エージェントが包括的なコンテキストでアラートを効果的に分析できるようにします。 「ワークロード固有の前提条件」の手順に従います。

  2. 必要なアクセス許可を持つロールを作成するか、これらのアクセス許可を持つ既存のロールをエージェントに割り当てます。

    セキュリティ アラートトリアージ エージェントに関連付ける サポートされているアラート に基づいて、関連するすべてのデータ ソースへのアクセス権をロールに付与してください。

    セキュリティ アラートトリアージに必要なデータ ソースのスクリーンショット

  3. エージェント ID にロールを割り当てます。

重要

エージェントにアクセス許可を割り当てた後、エージェントを監視するユーザー グループに、そのアクティビティと出力を監視するための同等以上のアクセス許可があることを確認します。 これを行うには、ユーザー グループのアクセス許可を、Microsoft Defender ポータルの [アクセス許可] ページでエージェントと比較します。

セキュリティ アラート トリアージ エージェントを使用する

エージェントは、セキュリティ チームがサポートされているアラートを自動的にトリアージし、インシデントの分類と状態を更新することで、組織が毎日受け取る大量のアラートMicrosoft Defender管理するのに役立ちます。

エージェントのトリガーとフロー

セットアップ後、関連するアラートが作成されると、セキュリティ アラート トリアージ エージェントが自動的に実行されます。 エージェントは、高度な AI ツールとorganizationのコンテキストを使用してアラートを自律的に分析し、関連する脅威が悪意のある脅威か誤報かを判断します。

アラートが誤報と判断された場合、エージェントは誤検知として分類し、それに応じて解決します。 アラートが悪意があると見なされた場合、アラートは True Positive として分類され、関連するインシデントの状態は、アナリストが調査してさらなるアクションを実行するために開いたまま進行中です。

エージェントは、処理するすべてのアラートについて、対応するインシデントでの判定の詳細な説明を提供します。

エージェントとの共同作業

透明性を維持するために、エージェントはトリアージ プロセス中にインシデント フィールドを定期的に更新します。 トリアージが開始されると、エージェントはアラートをそれ自体に割り当て、対応するインシデントに エージェント タグを追加します。 アナリストは、インシデント キューをフィルター処理して、エージェントによってタグ付けされたインシデントのみを表示できるため、監視と優先順位付けが簡素化されます。

ヒント

また、セキュリティ アラート トリアージ エージェントに割り当てた ID の名前を使用してインシデント キューをフィルター処理して、エージェントがアクティブに作業しているインシデントを確認することもできます。

アラートが真の脅威として識別されると、セキュリティ アラート トリアージ エージェントによって真陽性としてマークされ、アナリストは、確認された分類に基づいてインシデントをフィルター処理し、優先順位を付けることができるようになりました。

セキュリティ アラートトリアージ エージェント タグでフィルター処理されたインシデント キューのスクリーンショット

アラートトリアージの透明性と説明性

処理するアラートごとに、セキュリティ アラート トリアージ エージェントは、その判定の詳細な説明と意思決定ワークフローのグラフィカルな表現を提供します。

エージェントの結果を確認するには、次の手順に従います。

  1. インシデント キューからインシデントを選択します。

  2. インシデント ページで、[ガイド付き応答トリアージ] セクションの [Copilot] または [タスク] サイド パネルで、[セキュリティ アラート トリアージ エージェント] カードを探します。 タスクは完了としてマークされ、エージェントに割り当てられます。 カードは、その分類に基づいてエージェントの評決を提示し、決定を通知した犯罪証拠の重要な部分を強調します。

    セキュリティ アラートトリアージ エージェントが強調表示されているインシデント ページカードスクリーンショット

  3. [ その他のアクション ] 省略記号を選択すると、アラートの詳細を表示したり、エージェントの分類の詳細をクリップボードにコピーしたり、フィードバックを管理したりできます。

    セキュリティ アラート トリアージ エージェント カード内のその他のアクション オプションを強調表示しているスクリーンショット

  4. エージェントが分類に到達する前に実行した手順を表示するには、[セキュリティ アラート トリアージ エージェント] カードで [エージェント アクティビティの表示] を選択します。 これは、エージェントの最終的な分類の背後にあるロジックを示しています。

    [エージェント アクティビティの表示] ウィンドウを強調表示しているスクリーンショット。

フィードバックを通じてエージェントにorganizationのコンテキストを教える

重要

現在、フィードバック オプションは、メールとコラボレーションのアラートでのみ使用できます。

サポートされているアラートの種類の場合、アナリストは必要に応じて、複雑な構成を必要とせず、プレーンで自然な言語でエージェントの分類に関するフィードバックを提供できます。 承認されたユーザーは、フィードバックを確認し、評価し、それを明示的に適用して、エージェントが今後同様のアラートを分類する方法に影響を与えることができます。 この機能は現在、電子メールとコラボレーションのアラートでのみ使用できます。

フィードバックを提供し、エージェントに教えるために、次の手順に従います。

  1. インシデント ページで、[ガイド付き応答トリアージ] セクションの [Copilot] または [タスク] サイド パネルで、[セキュリティ アラート トリアージ エージェント] カードを探します。

  2. カードのタイトルとコンテンツに表示されるエージェントの分類と推論を確認します。 決定がorganizationの分類基準と一致しない場合は、[分類の変更] を選択します。 または、[アラート] タブから特定のアラートを選択し、[ アラート管理] を選択して分類を更新することもできます。

    セキュリティ アラート トリアージ エージェント カードの [分類の変更] オプションを強調表示しているスクリーンショット

  3. [ アラートの管理 ] ウィンドウで、[分類] ドロップダウン メニューから新しい 分類 を選択します。 次に、[この分類を変更した理由] フィールドに入力して 、変更の理由を 指定します。 この手順では、監査のみを目的としてフィードバック管理ページに入力を記録します。 [このフィードバックを使用してエージェントを教える] を明示的に選択するまで、 エージェントはこのフィードバックを使用して意思決定を改善しません。 エージェントの指導にこのフィードバックを使用しないことを選択した場合は、[ 保存] を選択できます。これは、エージェントのメモリに挿入せずにフィードバックのみを監査します。

    [アラートの管理] ウィンドウの分類フィールドとフィードバック フィールドを強調表示しているスクリーンショット

  4. フィードバックを適用するには、[ このフィードバックを使用してエージェントに教える] を選択します。 ガイドを使用して、効果的な入力を作成するのに役立つフィードバックを記述し、[フィードバックの評価] を選択すると、エージェントがフィードバックをレッスンに変換する方法をプレビューし、結果が意図と一致するかどうかを評価できます。 さらに、フィードバック評価では、基本的な安全性チェックを実行して、適用されたフィードバックがエージェントが使用するために関連しており、以前のフィードバックと競合していないことを確認します。

    注:

    アラートごとに 1 回だけエージェントにフィードバックを提供でき、特に True Positive (フィッシング) または False Positive (悪意のない) を選択することで、メールとコラボレーションのアラートを分類する方法をエージェントに教えるためだけに使用できます。 レッスンを保存する前に、常にフィードバックを確認し、AI によって生成された応答を確認してください。

  5. 結果が期待に応える場合は、エージェントのメモリにレッスンを挿入して、将来の決定に影響を与えることができます。 [ 保存] を 選択してレッスンを保存し、該当する場合はエージェントのメモリにレッスンとして保存します。 すべてのフィードバックは監査目的で記録され、エージェントのメモリに追加されたレッスンは 、フィードバック管理ページで後で確認できます。

エージェントは、保存されたフィードバックを利用して、今後同様のアラートをトリアージして分類します。 フィードバックの特性に一致する関連アラートを受信すると、エージェントはこのフィードバックを適用して分類を決定し、意思決定プロセスのサポート証拠として組み込みます。

フィードバックを記述するためのベスト プラクティス

レッスンでは、エージェントがアラートが本物のフィッシング脅威か誤報かを判断するのに役立つ体系的なガイドラインが提供されます。 エージェントにフィードバックが効果的に組み込まれるようにするには、セキュリティ アラート トリアージ エージェントに入力を提供する際に、次のベスト プラクティスに従います。

  1. フィードバックが関連性があり、コンテキストに合っていることを確認します。 フィードバックは、現在レビュー中のメールにのみ関連する必要があります。 また、割り当てた更新された分類と一致する必要もあります。
  2. 説明的で具体的である。 メールの特性を明確に説明します。 エージェントがコンテキストを理解するのに役立つ、電子メールの件名、メッセージ本文、送信者、受信者などの関連する詳細を指定します。 複数の詳細を含む特定のフィードバックにより、有効性が向上します。
  3. 明確さと決定的性を確保します。 漠然とした記述や普遍的な記述は避けてください。 明確で実用的なフィードバックを提供します。 決定的で明確な識別用語を使用します。
  4. 以前のフィードバックと一致する。 エージェントを混乱させたり、決定の正確性を低下させたりする可能性のある矛盾を回避するために、新しいフィードバックが以前に提供されたものと一致していることを確認します。 以前に送信されたすべての入力は、[ フィードバック 管理] ページで確認できます。
  5. エージェントによるフィードバックの解釈を確認します。 フィードバックを送信するときは、常にフィードバックが正確にレッスンに翻訳されていることを確認します。 レッスンに意図が反映され、元の入力との整合性が維持されていることを確認します。 AI によって生成された応答の有効性を確認して、シナリオに適用できることを確認します。

エージェントにフィードバックを書き込む方法の例を次に示します。

分野 適切に記述されたフィードバックの例 失敗につながる可能性があるフィードバックの例 比較
送信者に関するフィードバック 特典プロバイダーからのメールは、"@benefits.company.com" から送信する必要があります。 インシデントの 2 番目のアラートの送信者は正当ではありません。 フィードバックは、現在のアラートとそのコンテキストの電子メールに関連している必要があります。 選択した分類 (フィードバックに明示的に記載されていない場合でも) に関連付けられ、同様の将来のアラートに使用されます。
送信者と電子メールの本文に関するフィードバック ファイル共有またはドキュメント アクセスを提供する電子メールは、承認されたプロバイダー Contoso.com からのみ送信する必要があります。 ファイル共有またはドキュメント アクセスを提供するメールは、承認されたプロバイダーからのみ送信する必要があります。 適切に記述されたフィードバックでは、特定の要件 (送信者ドメインなど) が明確に示されていますが、あいまいな参照 ("承認されたプロバイダー" など) には実用的な情報は含まれません。
メールの件名に関するフィードバック 件名に課金トランザクションの要求が含まれている電子メールは、organizationでは許可されず、フィッシングと見なされます。 対象に肯定的な自然感情がある場合は、正当です。 説明的で具体的なフィードバックは効果的に検証できますが、主観的なフィードバックは意図しない結果につながる可能性があります。
電子メール本文に関するフィードバック 資格情報の検証を要求する電子メールには、特定のアカウントまたはサービスへの参照が含まれている必要があります。 詳細を含まない汎用の "アカウントの確認" 要求は、フィッシングとして扱う必要があります。 このメールはフィッシングとして扱う必要があります。 詳細情報を含むフィードバックは明確に理解される可能性が高くなりますが、詳細が不足しているフィードバックはさまざまな方法で解釈され、予測できない結果につながる可能性があります。
受信者とメール本文に関するフィードバック このメールは複数の従業員に送信され、本文は受信者に、その内容を説明せずに "重要な添付ファイル" をダウンロードするように指示します。正当な電子メールでは常に添付ファイルの詳細が指定されます。 添付ファイルを含む大量の内部メールはフィッシングです。 正当なメールでよく見られる特定の不足している詳細を強調するフィードバックの方が効果的です。 広範な一般化 (大量の電子メール) やあいまいな用語 ("内部" など) を含むフィードバックは、真の肯定的な数が多すぎる可能性があります。
受信者とドメインに関するフィードバック 新しい請負業者のオンボードメールは、正しい受信者に送信されるように、'v-' で始まるメール アドレスにのみ送信する必要があります。 請負業者のメールは通常とは異なって見えるので、フィッシングである可能性があります。 適切に記述されたフィードバックは、予想される受信者の形式を明確に定義しますが、優柔不断 ("可能性があります") で明確な識別基準が欠けている ("通常とは異なる" ように見える) フィードバックは、検出の信頼性を低下させます。

フィードバックエラーを解決する

エージェントがフィードバックを受け取ると、それをレッスンに変換します。 エージェントがフィードバックの解釈に成功しない場合は、エラーの原因を示す関連メッセージが表示されます。 エージェントから返されたメッセージに基づいて、これらのエラーに対処できます。

エージェントにフィードバックを書き込むときに発生する可能性があるエラーの例と、それらを解決する方法を次に示します。

エラー メッセージ 推奨される操作
提供されたフィードバック内の無関係な情報に関するエラー メッセージのスクリーンショット
提供されたフィードバックの一部は、エージェントが現在この種類の入力をサポートしていないため、まったくレッスンに翻訳できなかったため、対処できません。		 フィードバックを書き直し、ベスト プラクティスに従っていることを確認します。 [ フィードバックの評価] を選択して再試行します。
提供されたフィードバックのサポートされていない機能に関するエラー メッセージのスクリーンショット
フィードバックには、エージェントがサポートできる入力が含まれていますが、手元のメールには関係ないため、操作可能なレッスンに変換してメモリに保存することはできませんでした。		 フィードバックを書き直し、サポートできるメールの説明に対応していることを確認します。 次に、[ フィードバックの評価 ] を選択してやり直します。
提供されたフィードバック内のデータの競合に関するエラー メッセージのスクリーンショット
指定されたフィードバックは、同様の電子メールに与えられた以前のフィードバックと競合します。		 フィードバック管理ページで、フィードバック ID を検索して、競合しているフィードバックを表示します。 レビューに基づいて、次のことができます。
- フィードバック管理ページで以前のフィードバックを拒否します。 その後、[ 評価 ] を選択してフィードバックをもう一度挿入します。
- 競合しない方法で指定したフィードバックを書き直し、[ フィードバックの評価 ] を選択してエージェントに新しい入力を再評価します。

注:

フィードバックエラーを解決しないことを選択できます。 フィードバックを残し、エージェントを教えるためのボックスをオンにせずに [保存] を選択できます。 フィードバックはエージェントのメモリに保存されないため、今後の追跡分類の変更に関するフィードバック管理ページにのみ記載されます。

該当するフィードバックが承認され、保存されると、エージェントは、同じアクセス許可と制御に従って、今後同様のアラートをトリアージするときにそれを適用できます。

セキュリティ アラート トリアージ エージェントの監視と管理

エージェント メトリックを表示し、エージェントを管理するには、インシデント キューまたは [エージェント] ページの [セキュリティ アラート トリアージ エージェント カード] に移動します。

  • [セキュリティ アラートトリアージ エージェント] ページを直接開くには、[Security Copilot >エージェント] を選択し、[使用中のエージェント] で [セキュリティ アラートトリアージ エージェント] を探し、[エージェントに移動] を選択します。

    このページは、[ 概要] と [パフォーマンス] の 2 つのタブ 構成されます。

    • [ 概要 ] タブには、エージェントの現在の状態、ID、ロール、および最近のアクティビティの詳細が表示されます。

      [セキュリティ アラートトリアージ エージェント] ページの [概要] タブのスクリーンショット。

      [ 最近のアクティビティ ] の一覧からアクティビティを選択して、エージェントの調査とエージェントの完全なワークフローに関する詳細を表示します。

      [セキュリティ アラートトリアージ エージェント] ページから開くアクティビティの詳細ペインのスクリーンショット。

      [ 完全なエージェント ワークフローを表示 する] を選択して、その特定のアクティビティに対するエージェントの意思決定プロセスをグラフィカルに表示します。

      [セキュリティ アラートトリアージ エージェント] ページから開く完全なエージェント ワークフロー ページのスクリーンショット。

    • [ パフォーマンス ] タブには、エージェントのアクティビティに関する主要なメトリック (毎日のアクティビティ、平均トリアージ時間 (MTTT)、SCU の消費量など) が表示されます。

      [セキュリティ アラート トリアージ エージェント] ページの [パフォーマンス] タブのスクリーンショット。

    以下のセクションで説明するように、ページの右上隅にある省略記号 (...) を選択して、エージェントの管理オプションにアクセスします。

    [ 一時停止] または [ 実行] を 選択して、エージェントのアクティビティを一時的に停止または再起動します。

  • インシデント キューで [セキュリティ アラートトリアージ エージェント] カードを開くには、[インシデント] & > [インシデント>アラート] [調査] & [応答] を選択します。

    インシデント キューの上にあるセキュリティ アラート トリアージ エージェント カードには、エージェントが真の脅威または誤ったアラームとして分類したアラートを含むインシデントなど、エージェントの主要なメトリックの一部が表示されます

    このデータは、エージェントの影響を示すのに役立ち、より広範な戦略的な会話を通知したり、投資収益率を強調したり、organization全体の自動化のスケーリングに関する意思決定をサポートするために使用できます。

    メトリックは、エージェントのアクティビティに基づいて計算されます。最初に記録されたインシデントから、または過去 30 日間のいずれか新しい方から開始されます。

    セキュリティ アラートトリアージ エージェントが強調表示されているインシデント キューカードスクリーンショット。

    カードで [エージェントの管理] を選択して、[セキュリティ アラートトリアージ エージェント] ページを開きます。このページには、パフォーマンス メトリックと管理オプションが追加されています。

エージェント設定を編集する

エージェントの設定を編集するには:

  1. [Security Copilot > エージェント] を選択します

  2. [ 使用中のエージェント] で [セキュリティ アラート トリアージ エージェント] を探し、[ エージェントに移動] を選択します。

  3. 省略記号 (...) >を選択します[セキュリティ アラートトリアージ エージェント] ページの右上隅にあるエージェントを編集します。

    [ エージェントの編集] ページには、次の 3 つのタブがあります。

    • ID とロール - エージェントの ID を変更します。 [ 新しい ID の選択] を選択 し、「 エージェントの ID とアクセス許可を割り当てる」で説明されている手順に従います。

    • フィードバック - ユーザーが送信したフィードバックを表示および管理します。 詳細については、「 エージェントへのフィードバックの表示と管理」を参照してください。

    • サポートされているアラート - エージェントがトリアージできるサポートされているアラートの種類を表示します。 エージェントの特定のアラートの種類をアクティブ化または非アクティブ化するには:

      1. [ サポートされているアラートの編集] を 選択して、[ エージェントでサポートされているアラート ] ページを開きます。

        [エージェントの編集] ページの [サポートされているアラートの編集] オプションのスクリーンショット。

      2. 個々のアラートの種類をオンまたはオフに切り替え、[ 更新] を選択します。

        アラートの種類ごとにトグルが設定された [エージェントでサポートされているアラート] ページのスクリーンショット。

      3. [ ロールのアクセス許可の更新] を選択して更新プログラムを適用します。

        メール、クラウド、ID アラートのトグルが表示され、[更新] ボタンが強調表示されている [エージェントでサポートされているアラート] パネルのスクリーンショット。

エージェントへのフィードバックの表示と管理

セキュリティ アラート トリアージ エージェントは、ユーザーが送信したフィードバックから学習し、時間の経過と伴うパフォーマンスを向上させます。 該当するフィードバックをレッスンとしてメモリに格納します。 セキュリティ アラート トリアージ エージェントのフィードバックは、[ エージェント のフィードバック ] ページで表示および管理できます。

このページでは、エージェントに送信されたすべてのフィードバックの包括的な一覧を提供します。 フィードバックの各部分について、次のような重要な詳細を確認できます。

  • エージェントの元の分類とユーザーが適用した変更
  • 分類を変更するときに、ユーザーから提供された元のフィードバック
  • エージェントによって生成された翻訳されたレッスン (該当する場合)
  • フィードバックの状態: 使用中、使用中ではない、または競合している
  • フィードバックを提供したユーザー
  • フィードバック送信日、フィードバック ID、アラート ID、インシデント ID

フィードバック管理ページのスクリーンショット

次の表では、フィードバックの状態について説明します。

状態 説明
使用中 フィードバックはエージェントのメモリ内のレッスンに正常に変換され、同様のインシデントのトリアージと分類に積極的に使用されます。
Conflict 提供されたフィードバックは、同様のインシデントで以前に提供されたフィードバックと競合しています。 フィードバックエラーを解決する方法について説明します。
使用されていません フィードバックは、エージェントのメモリに組み込まれていないか、ユーザーが教えるためのマークを付けなかったかのどちらかです。 拒否されたレッスンは "使用されていません" と表示され、インシデントのトリアージと分類ではなく、監査専用に保存されます。 詳細については、詳細パネルを選択してください。

ヒント

フィードバックは個別にのみ管理できます。 現在、複数のフィードバック エントリの一括管理はサポートされていません。

ユーザーが送信したフィードバックを表示および管理するには:

  1. [エージェントSecurity Copilot >選択し、[使用中のエージェント] で [セキュリティ アラート トリアージ エージェント] を探し、[エージェントに移動] を選択します。

  2. 省略記号 (...) >を選択しますページの右上隅にあるエージェントを編集します。 [エージェントの編集] ページが開きます。

  3. 左側のウィンドウで [ フィードバック ] を選択して、[ エージェント のフィードバック ] ページを開きます。

  4. フィードバックの一覧からエントリを選択して、[ フィードバックの確認 ] ウィンドウを開きます。

  5. 提供されたフィードバックの詳細、エージェントのレッスン、分類の変更、その他の重要な詳細を確認します。

    [フィードバックの確認] ウィンドウのスクリーンショット

  6. 特定のフィードバックを拒否するには、[ フィードバックの拒否] を選択します。 エージェントは、今後のトリアージの決定でフィードバックの使用を停止します。

    注:

    提供されたフィードバックを拒否するには、Microsoft Entra IDのセキュリティ管理者ロールが必要です。

エージェントを削除する

エージェントを削除すると、新しいインシデントのトリアージと分類が停止し、すべてのフィードバックが削除されます。 ただし、以前にトリアージされたインシデントの履歴は、参照のために保持されます。

エージェントを削除するには:

  1. [エージェントSecurity Copilot >選択し、[使用中のエージェント] で [セキュリティ アラート トリアージ エージェント] を探し、[エージェントに移動] を選択します。
  2. ページの右上隅にある省略記号 (...) を選択し、[削除] を選択 します

よく寄せられる質問

セキュリティ アラート トリアージ エージェントに関してよく寄せられる質問への回答を次に示します。 エージェントの機能と要件の詳細については、この記事 の「セキュリティ アラートトリアージ エージェントのしくみ前提条件 」セクションを参照してください。

セキュリティ アラート トリアージ エージェントとは何か、フィッシングトリアージ エージェントとどのように異なるか、また、フィッシング アラートをトリアージするためにエージェントを既に使用している場合は、オンボードする方法を教えてください。

セキュリティ アラート トリアージ エージェントは、セキュリティ チームが大規模にアラートをトリアージするのに役立つ、Microsoft Defenderの自律Microsoft Security Copilot エージェントです。 AI 主導の推論を使用してアラートを評価し、評決に到着し、その結論をMicrosoft Defenderインシデントに直接記録して、アナリストが必要なアクションの優先順位を付けるのに役立ちます。

セキュリティアラートトリアージエージェントは 、フィッシングトリアージエージェントと同じエージェントであり、電子メールやコラボレーション以外のアラートの種類をトリアージするように拡張されています。 セキュリティ アラートトリアージ エージェントはモジュール式で、エージェントでトリアージするアラートの種類を選択します。 エージェントは、現在プレビュー段階にあるコンテナーから始まる ID とクラウドのアラートに拡張されるようになりました。 Emailとコラボレーション アラートトリアージ機能は既に一般公開されています (GA)。 サポートされているアラートのセットは、時間の経過と同時に増加することが予想されます。

フィッシング トリアージ エージェントを既に使用している場合は、新しいエージェントをインストールする必要はありません。 既存のエージェントは引き続き動作し、構成を通じて追加のアラートの種類を有効にすることができます。 拡張された機能にオンボードするには、追加のアラートの種類の 前提条件 を確認し、 エージェント設定を編集 して、有効にするアラートの種類を選択します。

既存のフィッシングトリアージ構成とフィードバックは自動的に引き継がれ、 詳細については、「 セキュリティ アラート トリアージ エージェントのしくみ 」および「 セキュリティ アラート トリアージ エージェントの設定」を参照してください。

エージェントはいつトリガーされますか?

このエージェントは、新しいアラートが検出されると自動的に実行されます。 サポートされているアラートの種類を解決する組み込みのチューニング 規則は、セットアップ中に無効になります。

セキュリティ アラート トリアージ エージェントは信頼できますか?

Microsoft AIエージェントは、厳格な責任ある AI ガイドラインに従い、すべての AI 標準とセーフガードへの準拠を確保するために徹底的なレビューを実施します。 セキュリティ アラート トリアージ エージェントは、これらのコントロールに完全に組み込まれています。 セットアップ中に、エージェントに ID を割り当て、その操作に必要な最小限のアクセス許可で構成し、不要なアクセス許可がないことを確認します。 すべてのエージェント アクティビティが詳細に記録され、アナリストと管理者がいつでも確認できる完全なフローが記録されます。 organizationの環境に適応するためにエージェントに提供されたフィードバックは、ログに記録され、システムに反映され、必要に応じて管理者によるレビューと変更にアクセスできます。

エージェントは標準の SOAR ソリューションとどのように異なりますか?

SOAR ソリューションとセキュリティ アラート トリアージ エージェントの両方がセキュリティ操作の側面を自動化する一方で、さまざまなアプローチを使用します。

SOAR ソリューションは、通常、手動構成と継続的なメンテナンスを必要とする定義済みのルールベースのワークフローに依存します。 一方、セキュリティ アラートトリアージ エージェントでは、推論ベースの分析を使用して、Microsoft Defender内のアラートとレコード分類をトリアージし、サポートされている場合は人間の監督とオプションのフィードバックを使用します。

エージェントは、Microsoft Defenderで定義されたアクセス許可とワークフロー内で動作し、既存の調査ツールや応答ツールを置き換えることはありません。

エージェントに対する可視性と制御のレベルは何ですか?

Microsoft は、展開から進行中の操作まで、セキュリティ アラート トリアージ エージェントの可視性と制御を維持するためのツールを組織に提供します。 エージェントは、公平性、信頼性、安全性、プライバシー、セキュリティ、包括性、透明性、説明責任に関する Microsoft の責任ある AI (RAI) 標準に準拠しています。 管理者は、最小特権の原則に従って、インストール中にエージェントの ID とアクセス レベルを構成します。 セキュリティチームと IT チームは、特定のアクションを承認し、パフォーマンスを監視し、Microsoft Defenderで出力を直接確認できます。 容量の消費量とデータ アクセス制限は、管理者によって構成することもできます。

セキュリティ アラート トリアージ エージェントは、ゼロトラスト環境内で動作します。 システムは、各操作の意図とスコープを評価することで、すべてのエージェント アクションに組織ポリシーを適用します。 エージェントによって行われたすべての決定、推論、およびアクションは、Defender 内のデシジョン ツリーとして透過的に文書化され、追跡とコンプライアンスのために Microsoft Purview 監査ログに記録されます。

セキュリティ アラートトリアージ エージェントを試す - Microsoft Defenderで設定するにはどうすればよいですか?

エージェントを設定するには、Microsoft DefenderでSecurity Copilotにアクセスし、必要な前提条件を満たしている必要があります。 Security Copilotにオンボードしていない場合は、「Security Copilotの概要」を参照するか、Microsoft の担当者にお問い合わせください。 Security Copilotにオンボードした後、エージェントのセットアップ オプションがMicrosoft Defender ポータルで使用できるようになるまで少し時間がかかる場合があります。

セキュリティ アラート トリアージ エージェントを試しました。organizationでエージェントに必要な SCU 容量を見積もるにはどうすればよいですか?

正常なエージェント操作のために、organizationに十分な SCU があることを確認することが重要です。 今後 SCU の使用状況を評価し、容量を計画するには、Security Copilot ポータルの使用状況監視ダッシュボードを参照し、Microsoft Security Copilot包含モデルの一部として SKU を受け取る権利があるかどうかをチェックします。 ダッシュボードには、次の情報が表示されます。

  • 処理されたメールあたりのコスト
  • 時間の経過に伴う容量の消費量

ダッシュボード データを Excel にエクスポートして、より詳細な分析を行い、エージェント操作のみをフィルター処理することもできます。

SCU の使用状況のニーズを評価したら、organizationの SCU 容量を更新します。 SKU の管理の詳細については、「Security Copilotでセキュリティ コンピューティング ユニットの使用状況を管理する」を参照してください。

関連コンテンツ

  • Last updated on