セキュリティ対策に革命をもたらすMicrosoft Security Copilot

 

Microsoft Ignite 2023 は、2023 年 11 月 15 日から 17日に開催された、マイクロソフトの最新のテクノロジーとビジョンを紹介するイベントです。今回発表されたセキュリティ関連のアップデート情報の中で特に注目の Microsoft Security Copilot について紹介します。

また、Microsoft Ignite 2023 の現地レポート やまとめサイトもございますのでこちらもご覧ください！

 

 

Microsoft Security Copilotとは？

Microsoft Security Copilot は、マイクロソフトが開発した、AI を活用したセキュリティ管理ツールです。

セキュリティーインシデントへの対応は、日々進化するサイバー脅威の中で、組織にとって重要な課題です。

Microsoft Security Copilot の目的は、セキュリティの専門知識がなくても、簡単にセキュリティを管理できるようにすることです。

 

Security Copilot はMicrosoft Entra ID、Microsoft Intune、Microsoft Defender、Microsoft Purview、Microsoft Sentinelなど、さまざまなプラグインと統合されています。これにより、セキュリティインシデントの調査や対応のための情報が提供されます。

 

Microsoft Security Copilot デモンストレーション

セキュリティアナリストがインシデントを調査するプロセスにおいて、Security Copilot を使った場合のデモンストレーションをご紹介します。

 

セキュリティアナリストは、Microsoft Defender のレポートやユーザーからの電話によって調査を開始します。

今回はデバイスにアクセスすることができなくなったユーザーと電話しているケースです。

 

こちらがSecurty Copilot の画面になります。プラグインでEntra ID や Micosoft Defender と連携されています。

 

まずAIに「ユーザーのアカウントのステータスはどうなっているか？アカウントロックされているか？」を尋ねます。

 

するとAIはユーザーアカウントの詳細な情報を提示します。提示された情報によるとアカウントはロックされています。

 

続いて、セキュリティアナリストは「ユーザーの直近3回のログインはどのようなものか？」と尋ねます。

 

すると直近3回のログイン情報が提示されます。

 

情報を確認すると、ログインに失敗しているだけではなく、複数のデバイスや場所からログイン試行していることが分かります。

このアカウントは侵害されている可能性がありますね。

 

アナリストは「このアカウントは危険だと考えられますか？そうであればなぜでしょうか？」と尋ねます。

すると、「このユーザーは高いリスクレベルにあるがもう少し詳細を調べる必要があります。」との回答がありました。

 

 

セキュリティアナリストは「Defender Hunting Query の生成と実行」をプロンプトから実施します。

すると、ランサムウェアのイベントと、ラテラルムーブメント（横方向の移動）が行われていることが明らかになりました。

 

このイベントと、Defender のインシデントを紐づけて全体を調査する必要があります。

その日に発生したクリティカルなインシデントを10件表示させ、その中からインシデント番号19388と紐づけることができました。

 

ではこの19388のインシデントの概要を調べましょう。

 

すると、このインシデントが人間が操作するランサムウェア攻撃であることが分かりました。

ここまでのプロセスはとても重要です。AIを使うことで非常に迅速に行われており、これが特に脅威を封じ込める際にはとても重要になります。

さらに調査を続けます。関連するエンティティ（ユーザー、デバイス、IPアドレスなど）を表示し、これらデバイスのSMB構成を確認するためのPowerShellスクリプトの作成を依頼します。

 

するとスクリプトが提示されました。通常このようなスクリプトを作成するとき、Web上の参考資料を調べながら作ることが多いでしょう。

そのような時間も短縮することができます。

 

このようにSecurity Copilot を使うことで、セキュリティアナリストが時間をかけて調査していたプロセスを大幅に短縮することができるようになります。