Microsoft Defender ポータルの Security Store には、セキュリティ タスクを効率的に実行するのに役立つさまざまなエージェントが用意されています。 これらのエージェントには、Microsoft およびパートナーによって発行されたMicrosoft Security Copilot エージェントが含まれます。 これらのエージェントはMicrosoft Defenderと統合され、インシデントトリアージ、調査、脅威ハンティング、脅威インテリジェンスなど、さまざまなセキュリティ操作 (SOC) タスクを実行します。
この記事では、Microsoft Defenderで AI エージェントを検出してデプロイする方法について説明します。
注:
Security Store へのエージェントの発行の詳細については、「エージェントを Microsoft Security Store に発行する」を参照してください。
前提条件
Security Store からエージェントを購入して展開するには、次のものが必要です。
- SCU 容量でプロビジョニングされたSecurity Copilot ワークスペースへのアクセス。
- パートナーが発行したエージェントの場合は、Azureサブスクリプションの共同作成者または所有者ロールが必要です。
Microsoft Defender ポータルでエージェントを検出してデプロイする
Microsoft Defender ポータルでエージェントを検出してデプロイするには、
[セキュリティ ストアSecurity Copilot >選択します。
デプロイするエージェントを参照または検索します。
エージェントを選択して、その機能、要件、セットアップ手順など、詳細を表示します。
エージェントを購入してデプロイするには:
十分なアクセス許可がある場合は、[ エージェントの取得 ] を選択してデプロイ プロセスを開始します。 詳細については、前提条件をご覧ください。
[ リンクのコピー ] を選択して、エージェントの詳細ページ URL をコピーし、エージェントを展開するためのアクセス許可がない場合は、セキュリティ管理者と共有します。
![ポータルの [セキュリティ ストア] ページMicrosoft Defender示すスクリーンショット。](media/security-copilot-agents-defender/microsoft-defender-security-store.png)
パートナーが発行したエージェントの場合は、Microsoft Security Store のドキュメントで説明されているように、Security Store Web サイトで購入と展開を完了します。
「 SaaS ソリューションを購入する方法 (プライベート オファー)」で説明されているように、パブリック オファーまたはプライベート オファーを使用して、パートナーが発行したエージェントの一元的な購入を管理できます。
エージェントを購入したら、[エージェントのSecurity Copilot >] を選択し、[セットアップの準備完了] セクションでエージェントを見つけて、[セットアップ] を選択してエージェントのセットアップを開始します。
パートナーが発行したエージェントの設定、管理、実行の詳細については、「Security Copilot エージェントの管理」を参照してください。
Microsoft Security Copilot エージェントの詳細については、「Microsoft DefenderのエージェントMicrosoft Security Copilot」を参照してください。
セットアップ後、エージェントは [使用中の エージェント] セクションに 表示されます。
![ポータルの [セキュリティ ストア] ページMicrosoft Defender示すスクリーンショット。](media/security-copilot-agents-defender/microsoft-defender-security-store.png#lightbox)
Microsoft DefenderでのエージェントのMicrosoft Security Copilot
このセクションでは、Microsoft Defender ポータルで使用できるMicrosoft Security Copilot エージェントについて詳しくは、こちらのセクションをご覧ください。
フィッシングトリアージエージェント
フィッシング トリアージ エージェントは、セキュリティ運用アナリストがユーザーが送信したフィッシング インシデントをトリアージして分類するのに役立ちます。 エージェントは自律的に動作し、自然言語での分類判定の透過的な根拠を提供し、アナリストからのフィードバックに基づいてその精度を継続的に学習し、向上させます。
| 属性 | 説明 |
|---|---|
| Identity | エージェントに接続するユーザーのコンテキストで動作します |
| ライセンス | Microsoft Defender for Endpoint P2 |
| アクセス許可 | エージェントを操作するには、次のアクセス許可が必要です。
|
| プラグイン | エージェントは、次のSecurity Copilotプラグインを自動的にアクティブ化します。 |
| 製品 |
|
| ロールベースのアクセス | エージェントを設定および管理するには、セキュリティ管理者のMicrosoft Entraロールが必要です フィッシング トリアージ エージェントと同じアクセス許可を持つユーザーは、エージェントのアクティビティと結果を表示し、エージェントの分類の判定に関するフィードバックを提供できます。 |
| トリガー | organizationのユーザーがフィッシング インシデントを送信したときにトリガーされます |
脅威インテリジェンスブリーフィング エージェント
脅威インテリジェンスブリーフィング エージェントは、セキュリティ運用チームに、カスタマイズされた定期的な脅威インテリジェンスブリーフィングを提供します。 エージェントは、さまざまなソースから関連する脅威インテリジェンス データを自律的に収集して合成し、アナリストが新たな脅威や傾向について情報を得るのに役立つ簡潔で実用的な分析情報を提供します。
| 属性 | 説明 |
|---|---|
| Identity | 既存のユーザー アカウントへの接続または新しいエージェント ID の作成が必要 |
| ライセンス | 適用されない |
| アクセス許可 |
必要なアクセス許可:
|
| 製品 | Security Copilot |
| プラグイン | このエージェントを実行するには、次のプラグインが必要です。
|
| ロールベースのアクセス | エージェントを設定および管理するには、 セキュリティ管理者 ロールが必要です。 脅威インテリジェンス ブリーフィング エージェントと同じアクセス許可を持つユーザーは、エージェントのアクティビティと結果を表示できます。 |
| トリガー | セットアップ中に構成した設定された時間間隔で実行するか、手動で実行する場合は手動で実行します |
脅威ハンティング エージェント
脅威ハンティング エージェントは、最初から最後まで自然言語を使用して脅威を調査できるようにすることで、脅威ハンティングに革命を起こす。 KQL クエリを生成するだけでなく、結果を解釈し、分析情報を表示し、完全なハンティング セッションをガイドします。 これらの機能を使用すると、脅威をより迅速かつ正確に、より自信を持って捜索することができます。
動的脅威検出エージェント
Defender ポータルの動的脅威検出エージェントは、Defender およびMicrosoft Sentinel環境全体で隠された脅威を検出する、常時オンのアダプティブ バックエンド サービスです。 AI を使用して、アラート、イベント、異常、脅威インテリジェンスを関連付けることで、ギャップを特定し、偽陰性を明らかにします。 エージェントがギャップを識別すると、自然言語の説明、 マップされた MITRE ATT&CK 手法、調整された修復手順など、アラートの詳細に完全なコンテキストを含む動的アラートが生成されます。