Microsoft DefenderでのMicrosoft Security Copilotとチャット

開始する

Defender ポータルのどこからでも Defender チャット エクスペリエンスを開くには、上部のナビゲーション バーの [Copilot ] ボタンを選択します。 チャット パネルのスライドは画面の右側で開き、作業中はコンテキストにとどまります。 ウェルカム画面が表示され、あいさつと入力フィールドが最初の質問の準備が整います。

パネルを閉じるには、ヘッダーで [閉じる ] を選択するか、Copilot ボタンをもう一度選択します。 会話は保持され、パネルを再度開き、中断した場所を選択できます。

ページ コンテキストの認識

Defender チャットは、Defender ポータルで現在表示されているページに基づいて応答し、そのコンテキストに基づいて質問に回答できます。

" この インシデントに関与しているユーザーはどれですか" などの質問をした場合、チャットでは、ID や名前を指定することなく、現在のページに基づいて参照しているインシデント、アラート、デバイス、またはエンティティが理解されます。

チャット会話機能

対話型会話

チャットは会話の完全なコンテキストを記憶しているため、フォローアップの質問を自然に行うことができます。 たとえば、「 過去 1 週間の重大度の高いインシデントを表示する」から始めて、「最初のインシデント について詳しく知って、チャットで何を意味するのかを理解する」を参照してください。

ステップ バイ ステップ プラン

複雑な要求または複数ステップの要求の場合、チャットは最初に、実行する予定の手順を示す提案された計画を提示する可能性があります。 アクションを実行する前に、プランを承認または拒否できます。 これにより、特に複数のデータ参照を必要とする調査を制御できます。

たとえば、 インシデント 12345 を調査し、重要な結果を要約すると、チャットで次のプランが提案される場合があります。

1. インシデントの詳細を取得する
2. 関連するアラートをフェッチする
3. 証拠と影響を受けたエンティティを収集する
4. 結果の要約

プランを承認すると、チャットは各ステップを実行し、その進行状況をリアルタイムで表示します。

質問の明確化

要求があいまいな場合、チャットは明確な質問をし、適切な回答をより速く得るのに役立つクイック選択オプション (最大 4 つの提案) を提供する可能性があります。 オプションを選択するか、独自の応答を入力します。

会話の履歴

会話は自動的に保存されます。 チャットの左側にある [会話] パネルを使用して、次の操作を行います。

• 前の会話を再開する
• 新しいセッションを開始する
• 会話を削除する
• すべての会話をクリアする

応答の操作

応答は、読みやすくするために、構造化テーブル、箇条書き、セクション ヘッダーで書式設定されます。 次の操作を行うことができます:

• 応答をコピーする: 任意のメッセージの コピー アイコンを選択して、クリップボードにコピーします
• テーブルのエクスポート: 任意のテーブルで [エクスポート] を選択して Excel にエクスポートし、詳細な分析を行います
• 生成を停止する: [停止 ] を選択すると、長すぎる応答や間違った方向への見出しが中断されます
• 再試行: 問題が発生した場合は、[ 再試行 ] を選択して応答を再試行します

主な機能

• 会話とステアリングを可能にする埋め込みチャット機能
• インシデント、アラート、ID、デバイス、IP、証拠に関するコンテキスト対応の回答
• 明確化のためのフォローアップの質問

エキスパートのようにインシデントを調査して対応する

これらの AI ツールを使用すると、セキュリティ チームは迅速かつ正確に攻撃調査に対応できます。 攻撃をすぐに理解し、疑わしいファイルやスクリプトをすばやく分析し、攻撃を停止して封じ込めるための適切な軽減策を迅速に評価して適用できます。

インシデントをすばやく要約する

複数のアラートを含むインシデントの調査は、困難な作業になる可能性があります。 インシデントをすぐに理解するために、Copilot に インシデントの要約を 依頼できます。 Copilot は、攻撃の概要を作成します。 概要には、攻撃で発生した内容、関与する資産、攻撃のタイムラインを理解するための重要な情報が含まれています。 Copilot は、インシデント ページを開くと自動的に概要を作成します。 また、関連する資産と、関連する ID、デバイス、IP などのプロンプトを提案して行動する方法を理解するのにも役立ちます。

ガイド付き対応を通じてインシデントに対するアクションを実行する

インシデントを解決するには、アナリストが攻撃を理解して、適切なソリューションを把握する必要があります。 Copilot は、各インシデントに固有のガイド付きの応答を通じたソリューションをおすすめします。

スクリプト分析を簡単に実行する

ほとんどの攻撃者は、検出と分析を回避するために、攻撃を開始するときに高度なマルウェアに依存しています。 このマルウェアは通常、難読化され、PowerShell のスクリプトまたはコマンド ラインの形式である可能性があります。 Copilot では、すばやくスクリプトを分析し、調査の時間を短縮できます。

デバイスの概要を生成する

インシデントに関連するデバイスの調査は複雑になる可能性があります。 デバイスをすばやく評価するために、Copilot は、デバイスのセキュリティ態勢、異常な動作、脆弱なソフトウェアのリスト、関連する Microsoft Intune 情報など、デバイスの情報を要約できます。

ファイルを迅速に分析する

Copilot は、ファイル分析を使用して、セキュリティ チームが疑わしいファイルをすばやく評価して理解する上で役立ちます。 Copilot は、検出情報、関連するファイル証明書、API 呼び出しのリスト、ファイル内の文字列などといった、ファイルの概要を提供します。

ID をすぐに調査する

Copilot で ID の概要 を生成することで、ユーザーのリスクをすばやく評価します。 ユーザーのロールとロールの変更、サインイン動作、サインイン先のデバイス、および関連する連絡先情報に関するコンテキスト化された情報で、ID が危険にさらされているか、疑わしい状況を特定します。

インシデント レポートを効率的に作成する

セキュリティ運用チームは、通常、重要な情報を記録するレポートを作成します。 これらのレポートには、対応アクション、その結果、関係するチーム メンバー、および将来のセキュリティ上の決定に役立つその他の情報が含まれます。 効果的なインシデント レポートには、インシデントの概要、実行されたアクション、および誰がいつどのようなアクションを実行したかが含まれている必要があるため、インシデントの文書化には時間がかかる場合があります。 Copilot は、インシデントの 概要、対応アクション、チームの関与を統合することで、インシデント レポートを生成します。

プロのように追求する

Defender の Copilot は、セキュリティ チームが適切な KQL クエリを迅速に構築することで、ネットワーク内の脅威を積極的に探す上で役立ちます。

高度なハンティングを使用するセキュリティ チームは、自然言語の質問をすぐに実行できる KQL クエリに変換するクエリ アシスタントを使用できるようになりました。 クエリ アシスタントは、すぐに実行したり、アナリストのニーズに合わせて調整したりできる KQL クエリを生成することで、時間を節約できます。 詳細については、「クエリ アシスタント」を参照してください。

関連する脅威インテリジェンスで組織を保護する

セキュリティ組織が最新の脅威インテリジェンスを使用して、情報に基づいた意思決定を行えるようにします。 Copilot は脅威インテリジェンスを統合して要約し、セキュリティ チームが脅威に優先順位を付けて効果的に対応できるようにします。

脅威インテリジェンスの監視

Copilot に、環境に影響を与える関連する脅威の要約、露出レベルに基づく脅威の解決の優先順位付け、または業界を対象にしている可能性のある脅威アクターの検索を依頼します。 脅威インテリジェンスのSecurity Copilotの詳細をご覧ください。

Defender の Copilot にアクセスする

Defender で Copilot に確実にアクセスできるようにするには、Security Copilot購入とライセンスに関する情報を参照してください。 Security Copilotにアクセスすると、主要な機能がMicrosoft Defender ポータルで使用できるようになります。

Copilot のサンプル プロンプト

Microsoft Defender ポータルには、いくつかの Copilot 機能を移動して使用するのに役立つサンプル プロンプトがあります。 プロンプトは、これらの機能とそれらを効果的に使用する方法を理解するのに役立つよう設計されています。 ポータルに表示されるプロンプトの例を次に示します。

高度なハンティング プロンプト:

脅威インテリジェンスのプロンプト:

自然言語プロンプトを使用して、Security Copilotスタンドアロン ポータルで調査を拡張できます。 次に示すのは、推奨事項を含むインシデントを要約するのに役立つプロンプト バーに入力できるサンプル プロンプトです。

• 「 Summarize incident {incident number}」と入力し、インシデントの概要と推奨事項を生成するための一連の推奨事項で終了 します。
• 「スクリプト 内のインジケーターの評判について何を教えてください」と入力します。悪意がありますか?もしそうなら、なぜ? スクリプトを分析し、スクリプトに関する詳細を生成します。

Copilot でプロンプトを表示すると、機能を効果的に移動して使用できます。 プロンプト バーを使用して、KQL クエリの生成、インシデントの要約、ファイルの分析を行うこともできます。 効果的なプロンプトのヒントを参照してください。 また、事前構築済みのプロンプトブックを使用して Copilot の使用を開始することもできます。 詳細については、「 Copilot で事前構築済みのプロンプトブックを使用する」を参照してください。