4/1に正式リリースしたCopilot for Securityを試してみました。

初期セットアップの手順は下記のMS Learnを参考にしました。

【参考】Microsoft Copilot for Security の使用を開始する（https://learn.microsoft.com/ja-jp/copilot/security/get-started-security-copilot）

今回は「オプション 1 (おすすめ): Copilot for Security を使用して容量をプロビジョニングする」をベースにお伝えします。

 

①Copilot for Security (https://securitycopilot.microsoft.com) にサインインします。

②[開始する] を選択します。

③セキュリティ容量を作成します:
Azure サブスクリプションを選択し、リソース グループの関連付け、容量に名前を追加し、プロンプト評価の場所を選択して、セキュリティ コンピューティング ユニット (SCU) の数を指定します。 契約条件に同意したことを確認し、[続行] を選択します。

④バックエンドで Azure リソースをデプロイするのに数分かかります。

⑤顧客データの保存場所が通知されます。 [続行] を選択します。

⑥データ共有オプションの中から選択します。 [続行] を選択します。

⑦Copilot for Security にアクセスできる既定の役割が通知されます。 [続行] を選択します。

⑧確認ページが表示されます。 [完了] を選択します。

⑨Copilot for Securityのスタンドアロン版のホーム画面が表示されます。 

ここまでが初期設定になります。

実際に操作した内容をここで少し紹介します。

Copilot for Securtyの画面は、「スタンドアロン」と「埋め込み」の２種類あります。

■スタンドアロン版

https://securitycopilot.microsoft.com 経由でアクセスする画面となります。上の初期設定の⑨の画面。

■埋め込み版

代表的なものとして「Microsoft Defender XDR」の画面から使う操作になります。

下記は、「埋め込み版」の操作を説明します。

Microsoft Defenderポータル（https://security.microsoft.com/）にアクセスします。

「インシデントとアラート」の「インシデント」をクリックします。

任意のインシデントをクリックします。※このあとCopilotが自動的に開始されますので注意してください。

Copilot for Securityが有効になっている場合、右ウィンドウに「インシデントの概要」、「ガイド付き応答」、「修復」が表示されます。

下記の画面では複数のインシデントが発生しています。セキュリティエンジニアは発生した情報を1件ずつ確認して、概要の把握を行い、その後に修復方法を決定します。

この操作を通常実施する場合、時間がかかる操作ですが、Copilot for Securityでは数分程度で概要のレポートと必要な対応方法、修復手順を提供します。

個人的な感想にはなりますが、セキュリティ業務を携わる人間として、１日に複数発生するインシデント業務の調査、分析にかける時間が減らせることができるのは本当に頼もしい機能と感じました。

 

最後に

Copilot for Security含めMicrosft Securityに関してご相談があれば下記お問い合わせよりご連絡ください。

お問い合わせ