重要
動的脅威検出エージェントMicrosoft Security Copilot現在プレビュー段階です。 この情報は、リリース前に大幅に変更される可能性があるプレリリース製品に関連しています。 Microsoft は、ここで提供されるいかなる情報に関して、明示または黙示を問わず、いかなる保証も行いません。
Microsoft DefenderのMicrosoft Security Copilotには、Defender 環境とMicrosoft Sentinel環境全体で隠された脅威を検出する、常時オンのアダプティブ バックエンド サービスである動的脅威検出エージェントが含まれています。 この記事では、インシデントとアラートを調査するときにエージェントを使用する手順など、エージェントの概要について説明します。
概要
セキュリティ チームは、多くの場合、偽陰性 (従来のルールベースの検出システムによって検出されない脅威) のリスクに直面します。 動的脅威検出エージェントは、AI を使用して、アラート、イベント、異常、脅威インテリジェンスを関連付けることでギャップを特定し、偽の陰性を明らかにします。 エージェントがギャップを識別すると、自然言語の説明、 マップされた MITRE ATT&CK 手法、調整された修復手順など、アラートの詳細に完全なコンテキストを含む動的アラートが生成されます。
動的脅威検出エージェントは常にオンであり、Defender バックエンドでシームレスに動作し、セットアップやオンボードは必要ありません。 これらの機能により、組織は脅威を検出し、より速く、正確に、自信を持って対応できます。
主な利点
- 従来の検出ルールが見逃しているものを見つける - エージェントのアダプティブ AI 駆動検出は、Defender とMicrosoft Sentinelシグナル全体で継続的に調査し、偽陰性や死角を明らかにします。
- ノイズを減らし、信頼度を高める - エージェントは、セキュリティ オペレーション センター (SOC) のノイズを最小限に抑え、顧客が検証した精度でアナリストの信頼度を高め、アラートの詳細に明確なリスク コンテキストと具体的な次の手順を提供します。
- 常にオンおよびゼロタッチ - エージェントは Defender バックエンドで実行されるため、チューニングやオンボードを必要とせず、既存の Defender ワークフローにアラートを自動的に生成します。
- Microsoft セキュリティ エコシステム全体の詳細な統合 - エージェントは、Security Copilot、Defender、およびMicrosoft Sentinelと連携し、ネイティブとサードパーティのシグナルを、見逃した動作に関連付け、SOC ワークフロー全体で豊富なコンテキストを提供します。
アクセス権を取得する
Security Copilotへのアクセス権を持つユーザーは、動的脅威検出エージェントを使用できます。
動的脅威検出エージェントの使用を開始する
調査と対応のために Defender ポータルで 利用できる他のツールや方法と 同様に、脅威検出エージェントはインシデントのトリアージ、調査、解決に役立ちます。
動的脅威検出エージェントはバックグラウンドで自動的に実行されます。 アラートが生成されると、アラートはインシデントに表示され、アラート キューには検出ソースとしてSecurity Copilotが表示されます。
アラートの詳細を表示するには、アラート タイトルを選択します。 動的脅威検出エージェントは、アラート ページに概要と推奨されるアクションを提供します。
重要
- 動的脅威検出エージェントは、パブリック プレビュー中に自由に使用できます。 一般公開されると、 セキュリティ コンピューティング ユニット (SKU) の 使用が開始されます。
- 概要と推奨されるアクションは AI によって生成されるため、正確かどうかを確認して確認します。
次の手順
インプロセス インシデントに必要に応じて、 調査を続行します。