Microsoft Defender ポータルのMicrosoft Security Copilotは、インシデントの解決に対応チームをサポートするためのガイド付き応答を提供します。 Defender の Copilot は、AI と機械学習を使用してインシデントをコンテキスト化し、以前の調査から学習して適切な対応アクションを生成します。
このガイドでは、ガイド付き応答の推奨事項を改善するために、organizationの特定のガイドラインをMicrosoft Security Copilotにアップロードする方法について説明します。
前提条件
- ファイルをアップロード、承認、または削除するには、少なくともセキュリティ管理者である必要があります。 セキュリティオペレーターはガイドブックを確認できますが、管理することはできません。
- organization固有のガイドラインは、サポートされている形式 (PDF、DOCX、TXT) で、最大ファイル サイズの制限である 3 MB を超えないようにする必要があります。
organizationのガイドブックを使用して Copilot のガイド付き応答をカスタマイズする手順
Copilot 設定からガイドブックをアップロードします。 次の 2 つの方法のいずれかでアクセスできます。
Microsoft Defender ポータルで、Defender>Custom ガイドブックで [System>Settings>Copilot] を選択します。
インシデント内の [Copilot タスク] ウィンドウで、[ 独自のガイドブックからタスクを作成 する] に移動し、[ Copilot 設定を開く] を選択します。
その後、以下の手順を実行します。
[ 新しいガイドブックの追加] を選択します。
[ ファイルのアップロード] を選択します。
ファイルの場所を参照し、ファイルを選択し、[ 生成] を選択します。
ファイルがアップロードされたら、[ 保留中のレビュー ] タブに移動します。
![アップロードされたガイドブックの [保留中のレビュー] タブのスクリーンショット。](media/security-upload-guide/pending-review.png)
[保留中のレビュー] タブには、アップロードされたガイドブックに基づく新しい推奨事項が表示されます。 ファイルがorganizationの標準を満たしていることを確認します。 ガイドブックの名前を選択し、推奨される生成タスクを確認します。
ガイドブックが基準を満たしている場合は、[ 承認してアクティブ化 ] を選択して、ガイド付き応答で使用できるようにします。 標準を満たしていない場合は、[削除] を選択して削除 します 。
![アップロードされたガイドブックの [承認とアクティブ化] ボタンのスクリーンショット。](media/security-upload-guide/approve-guidebook.png)
[ ガイドブック] タブ で、ガイドブックがアクティブとして表示されていることを確認します。後で非アクティブ化するには、ガイドブックを選択し、[ 非アクティブ化] を選択します。
Copilot は、Microsoft が提供する既定のガイドブックよりも、organizationのカスタム ガイドブックに優先順位を付けます。 複数のガイドブックが関連する場合、Copilot はインシデント コンテキストに最も一致するものを使用します。
organizationのガイドブックから生成されたガイド付き回答の有効性に関するフィードバックを提供する機会があります。 このフィードバックは、将来の推奨事項を改善するのに役立ちます。
効果的なガイドブックを作成するためのベスト プラクティス
Microsoft 独自のインシデント対応プレイブックの例については、「 インシデント対応プレイブック」を参照してください。
organizationのガイドブックを作成するときは、ガイドブックはテキストのみを読み取ることができることに注意してください。 画像、グラフ、またはテキストの抽出を妨げる可能性のある複雑な書式設定は使用しないでください。