記事公開日 2024/04/12

最終更新日2025/04/11

【Copilotのセキュリティ対策】Microsoft Copilot for Securityとは？Microsoft Defender XDR、Microsoft Sentinelの連携と利用方法の解説

DXソリューション営業本部の高山です。

今回はMicrosoft Copilot for SecurityとMicrosoft Defender XDR、Microsoft Sentinelの連携について検証したいと思います。

まず、本検証の前提として、以下Microsoft DocsにMicrosoft Copilot for Securityプラグインの情報が記載されており、その中にMicrosoft Defender XDRとMicrosoft Sentinelが含まれています。
https://learn.microsoft.com/ja-jp/security-copilot/plugin-overview#microsoft-plugins

ただし、Microsoft Copilot for Security、Microsoft Defender XDR、Microsoft Sentinelの関係としてMicrosoft Defender XDRとMicrosoft Sentinelは統合することができます。

そのため、Microsoft Docsに記載されている「プラグイン」という記載が以下構成イメージの「①Security CopilotにMicrosoft Sentinelをプラグイン」を指すのか「②Microsoft SentinelとMicrosoft Defender XDRを統合」を指すのか読み取ることが出来ませんでした。
Microsoft Copilot for Security_XDR_01.png

そのため、今回の検証では、

Microsoft Defender XDRとMicrosoft Sentinelを統合した場合どの様に影響するか？
Security CopilotにMicrosoft Sentinelをプラグイン出来るのか？プラグインできる場合どの様に影響するか？

について確認していきます。

Microsoft Sentinelとは

Microsoft Sentinelについては以前にブログ(Microsoft Sentinel(旧Azure Sentinel))で紹介していますが、改めて説明します。

Microsoft Sentinelは、クラウドネイティブ型のスケーラブルなセキュリティ情報イベント管理（SIEM）およびセキュリティオーケストレーション（SOAR）ソリューションです。

以下に詳細を説明します。

SIEM（セキュリティ情報イベント管理）:
- SIEMは、セキュリティ情報とイベントを統合的に管理するシステムで、高度なサイバー攻撃に対応します。
- ネットワーク機器やセキュリティ機器からログやイベントなどの情報を収集し、一連の攻撃フローとして表示することで脅威の進行を可視化し、危険なアクセスの検知からセキュリティ管理者による分析までを支援します。
- SIEMはセキュリティインシデントを早期に検知して、被害を最小限に抑えるために重要な役割を果たしています。
SOAR（セキュリティオーケストレーション自動応答）:
- SOARは「Security Orchestration and Automation Response」を略した言葉で、セキュリティ管理者がSIEMの運用をする上で行う分析や対処、ワークフローを自動化する、いわばセキュリティ運用のRPAです。
- SOARはさまざまなテクノロジーの連携やワークフローを自動化するため、セキュリティ人材不足を補うためのソリューションとしても注目されています。

Microsoft Defender XDRとは

Microsoft Defender XDRは、エンドポイント、ID、電子メール、アプリケーション全体で検出、防止、調査、応答をネイティブに調整し、高度な攻撃に対する統合された保護を提供する、侵害前および侵害後の統合されたエンタープライズ防御スイートです。

具体的には、以下のようなMicrosoftのセキュリティ製品の情報を使用して、セキュリティチームが組織を保護および検出するのに役立ちます:

Microsoft Defender for Endpoint: エンドポイントの予防的保護、違反後の検出、自動調査、および対応のための統合エンドポイントプラットフォームです。
Microsoft Defender 脆弱性の管理: 継続的な資産の可視性、リスクベースの評価、組み込みの修復ツールを提供し、組織全体の重大な脆弱性や不適切な構成に優先順位を付けて対処するのに役立ちます。
Defender for Office 365: 電子メールメッセージ、リンク、およびコラボレーションツールによって引き起こされる悪意のある脅威から組織を保護します。
Microsoft Defender for Identity: オンプレミスのActive Directoryを使用するクラウドベースのセキュリティソリューションで、高度な脅威や侵害されたIDを特定、検出、調査します。
Microsoft Defender for Cloud Apps: クラウドアプリに対する高度な可視性、データ制御、脅威からの保護を提供する包括的なクロスSaaSソリューションです。

Microsoft Defender XDRとMicrosoft Sentinelの統合

Microsoft Defender XDR とMicrosoft Sentinelを連携することで、Microsoft Defender XDRポータルへ統合されたセキュリティ運用が可能となります。
Microsoft Sentinel をMicrosoft Defender ポータルにオンボードすると、インシデント管理や高度なハンティングなどのMicrosoft Defender XDRと機能を統合できます。
ツールの切り替えを減らし、インシデント対応を迅速化し、侵害を迅速に停止する、よりコンテキストに焦点を当てた調査を構築します。

では、実際に検証したMicrosoft Defender XDRとMicrosoft Sentinelの統合手順について記載します。

Microsoft Sentinel作業側の作業

Microsoft Sentinelにてデータコネクタを設定する。

(1)Microsoft Sentinelにて「構成」-「データコネクタ」をクリックし「コンテンツハブ」をクリック

Microsoft Copilot for Security_XDR_02.png
(2)検索へ「Defender」を入力し、コンテンツを検索
「Microsoft Defender XDR」へチェックを入れ、「インストール」をクリック
「Microsoft Defender XDR」の「状態」が「インストール済み」となったことを確認
Microsoft Copilot for Security_XDR_03.png
(3)Microsoft Sentinelの「構成」-「データコネクタ」へ「Microsoft Defender XDR」が存在することを確認
「Microsoft Defender XDR」を選択し、「コネクタページを開く」をクリック
「構成」-「インシデントとアラートを接続する」にて「インシデントとアラートを接続する」をクリック
表示が「切断」となったことを確認
Microsoft Copilot for Security_XDR_04.png

Microsoft Defender XDR作業側の作業

Microsoft Defender XDRにてMicrosoft Sentinelオンボードを実施する。

(1)Microsoft Defender XDRポータルにて「ホーム」の「ワークスペースを接続する」をクリック
Microsoft Copilot for Security_XDR_05.png

Microsoft Copilot for Security_XDR_05.png

(2)「ワークスペースを選択する」にて準備した「Microsoft Sentinel」を選択
「変更をレビュー」にて「接続」をクリック
「ワークスペースの接続に成功」が表示されたことを確認し、「閉じる」をクリック
Microsoft Copilot for Security_XDR_06_1.png

Microsoft Copilot for Security_XDR_06_1.png

Microsoft Defender XDRのメニュー表示へ「Microsoft Sentinel」が追加されたことが確認出来れば統合は完了です。

Microsoft SentinelとMicrosoft Defender XDRを統合した結果

Microsoft SentinelとMicrosoft Defender XDRを統合した結果、Sentinel側にMicrosoft Defender for Endpoint(XDR側のアラート)が表示されました。

Microsoft Copilot for Security_XDR_08_2.png

また、XDR側にMicrosoft Sentinelのインシデントが表示されます。
Microsoft Copilot for Security_XDR_16.png

XDR側にSentinelの情報が連携されることでインシデント/アラートに関する対応が一元化され、後述するSecurity Copilotのサポートを受けることができます。

Microsoft Defender XDRでSecurity Copilotを使用する

Security Copilotを導入することでMicrosoft Defender XDRでCopilotを使用することができます。
動作イメージは以下動画の通りです。

[調査と対応]>[インシデントとアラート]>[インシデント]をクリックしインシデント画面に遷移して対象のインシデントを開くとSecurity Copilotが要約を開始します。
要約した結果、インシデントの「概要」「対象ユーザーへのヒアリング内容」が表示されました。
Microsoft Copilot for Security_XDR_9_1.png

Microsoft Copilot for Security_XDR_11_1.png

また別にインシデントでは対応の傾向についても表示されました。
Microsoft Copilot for Security_XDR_10.png

本機能があればどの様な対応をするべきかを0から考える必要が無くSecurity Copilotの回答を基に対応を検討することが出来るため工数の削減に繋がると思います。

Security CopilotにMicrosoft Sentinelをプラグイン

冒頭に記載いたしました、Security CopilotにMicrosoft Sentinelをプラグイン出来るのか？という問いですが、結論としてプラグインすることが出来ました。
そのため、プラグインする手順について記載いたします。

Microsoft Copilot for Security作業
(1)Copilot for SecurityのStandalone画面にて「プロンプト」をクリック

(2)「ソースの管理」の「Microsoft Sentinel」にて「設定」をクリック
「Workspace」、「subscription」、「Resource group」を入力し、「保存」をクリック
「保存済み」が表示されたことを確認する
Microsoft Copilot for Security_XDR_13.png

Security CopilotにMicrosoft Sentinelをプラグインした結果

プラグインが完了したので、実際に動かしてみます。
(1)Copilot for SecurityのStandalone画面にて「プロンプト」をクリックプロンプトブックの「Microsoft Sentinelインシデント調査」をクリック
Microsoft Copilot for Security_XDR_14.png

Microsoft Copilot for Security_XDR_14.png

(2)各プロンプトの結果が表示される
Microsoft Copilot for Security_XDR_15_1.png

要約した結果、Microsoft Sentinelのインシデントに対して「概要」「原因」「対応」が表示されました。
Microsoft Defender XDRを利用しなくてもMicrosoft Sentinelに保存したインシデントに対してSecurity Copilotのプロンプトから調査、分析することが出来ます。

まとめ

いかがでしたでしょうか。
Security Copilotとエンドポイント、ID、電子メール、アプリケーション全体で検出、防止、調査、応答をネイティブに調整し、高度な攻撃に対する統合された保護を提供するMicrosoft Defender XDRが連携することでインシデントの調査と修復運用のコストを削減出来ると思います。また、Microsoft Sentinelと連携することでログの保持期間の延長やサードパーティー製品の分析が可能となります。

現時点では機能のいくつかがプレビュー機能となっているため、今後機能が拡充される見込みとなるので今後に期待したいですね。

おまけ

以下のMicrosoft Copilot for Securityの紹介ページにて利用に関する調査結果がPDFで公開されており、Copilot for Securityを使用した初心者は、使用しなかった初心者に比べて、正確性と速度の両方で優れた結果が出ているとのことです。
https://go.microsoft.com/fwlink/?linkid=2262764&clcid=0x411&culture=ja-jp&country=jp

PDFの内容についてCopilot for Microsoft365で要約した結果は以下の通りです。(青背景部分)
※ Copilot for Microsoft365に興味があればCopilot for Microsoft365のブログ(Copilot for Microsoft365で文書作成の業務を効率化しよう(1))もご覧下さい。

・ドキュメントの目的と方法論:
　このドキュメントは、Copilot for SecurityというAIツールの効率性の向上をランダム化された対照試験（RCT）によって測定したものである。
　Copilot for Securityは、Microsoft Defender XDRに組み込まれた機能であり、インシデントの要約、スクリプトの分析、インシデントレポート、ガイド付き対応などのタスクを支援する。実験は、Copilot for Securityを利用できる被験者（処置群）と利用できない被験者（対照群）に分けて行われた。実験の対象は、セキュリティの専門家と初心者の2つのグループに分けられた

・Copilot for Securityの効果:
　Copilot for Securityを利用した被験者は、利用しなかった被験者に比べて、正確性と速度の両方で優れた結果を示した。
　セキュリティの専門家では、全体的な正確性は7%、速度は23%向上した。セキュリティの初心者では、全体的な正確性は35%、速度は26%向上した。
　また、Copilot for Securityを利用した被験者は、ツールに対して高い満足度を示し、次回も利用したいと答えた

・Copilot for Securityの特徴と利点:
　Copilot for Securityは、自然言語処理（NLP）と機械学習（ML）を用いて、セキュリティインシデントに関する情報を抽出し、整理し、提示する。Copilot for Securityは、Defender 　XDRのインターフェイスに埋め込まれており、ユーザーはCopilotのスキルを呼び出して、インシデントの概要を生成したり、スクリプトの実行内容を分析したり、インシデントレポートの作成を支援したり、対応策の提案を受けたりすることができる
　Copilot for Securityは、セキュリティの専門家にとっては作業効率の向上や品質の維持に役立ち、セキュリティの初心者にとってはセキュリティの知識やスキルの向上に役立つ

・Copilot for Securityの研究背景と関連研究:
　Copilot for Securityの研究は、AIツールの因果効果を測定する分野に貢献する。
　この分野では、一部のユーザーにランダムにAIツールを提供し、他のユーザーには標準的なツールを提供し、両者の違いを比較することで、AIツールの効果を分析する。
　関連研究では、AIツールがタスクの完了時間や出力の品質を向上させ、職場の効率性を大幅に改善することを示している。
　また、生成型AIは、専門家の領域に属するタスクを初心者が行うのにも有効であることが示されている。
　さらに、セキュリティタスクの自動化に関する研究では、セキュリティ侵害の増加に伴うリスクの軽減が必要であり、機械学習や自然言語処理などの技術がセキュリティデータの知能的な分析に有望であることが指摘されている

※このブログで参照されている、Microsoft、Windows、Microsoft Azure、その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。