次の方法で共有

脅威インテリジェンスブリーフィング エージェント

脅威インテリジェンス アナリストは、洞察に基づく実用的なコンテキスト化されたインテリジェンスを提供する上で、いくつかの課題に直面しています。 脅威インテリジェンスブリーフィングを開発するタスクには、さまざまな脅威フィード、ツール、ポータルから情報を収集する必要があります。この情報のフィルター処理と関連付け。組織のリスクの分析とマッピングを行います。 これらのアクティビティは、アナリストがレポート自体の開発を開始し、ブリーフィングを行うときの分析情報を生成する前に発生します。 それまでに、これらのプロセスには数時間から数日かかる可能性があり、organizationに直面する脅威は既に進化しており、ブリーフィングが廃止される可能性があります。

脅威インテリジェンス ブリーフィング エージェントは、これらの問題点に対応して開発されました。 Microsoft Security Copilotスタンドアロン ポータルの脅威インテリジェンスブリーフィング エージェントは、最新の脅威アクター アクティビティと内部および外部の脆弱性情報に基づいて、数分で脅威インテリジェンスブリーフィングを生成します。 エージェントは、CISO、セキュリティ マネージャー、アナリストに重要な状況認識と防御作業の強固な基盤を提供する、カスタマイズされた関連レポートを作成することで、セキュリティ チームの時間を節約するのに役立ちます。

このエージェントは、動的自動化と深いジェネレーティブ AI と、豊富な脅威インテリジェンスの知識とシグナルを活用します。 ブリーフィングを構築するときに、エージェントは前の手順の結果に基づいて次のステップを動的に選択し、どの脅威インテリジェンスを含めて優先順位を付けるかをリアルタイムで決定できるようにします。 エージェントは、この技術情報を、さまざまな対象ユーザーが使用できる消化可能なレポートに変換します。

脅威インテリジェンス ブリーフィング エージェントは、外部攻撃 Surface とMicrosoft Defender for Endpoint Microsoft Defenderオンにした顧客に最適です。エージェントは、これらのファースト パーティ統合からのシグナルと分析情報に依存して、正確でコンテキストに富んだレポートを提供します。

重要

脅威インテリジェンス ブリーフィング エージェントのEmailブリーフィング機能は、現在、カタール、南アフリカ、アラブ首長国連邦のユーザーには使用できません。 ブリーフィングはSecurity Copilotポータルから完全にアクセスできますが、これらのリージョンではメール配信が一時的に無効になります。

前提条件

製品

このエージェントを実行するには、Microsoft Security Copilotが必要です。

プラグイン

このエージェントを実行するには、次のプラグインが必要です。

  • Microsoft 脅威インテリジェンス

次のプラグインは省略可能ですが、出力にさらにコンテキストを追加できます。

  • Microsoft Defender 外部攻撃面管理

ユーザー アカウントのアクセス許可の構成

重要

ID とアクセス許可の要件: このエージェントには、既存のユーザー アカウントへの接続が必要です。 エージェントは、Defender 外部攻撃面管理とDefender 脆弱性の管理からデータを読み取ることができます。 エージェントを設定する前に、以下で説明する適切なアクセス許可を使用してユーザー アカウントを構成する必要があります。

アクセス許可の概要

エージェントに接続されているユーザー アカウントには、次のアクセス許可が必要です。

必要なアクセス許可:

  • 脆弱性管理 (読み取り): Defender 脆弱性の管理 データへのアクセス
  • Security Copilot共同作成者: Security Copilot プラットフォームとエージェント管理へのアクセス

オプションのアクセス許可:

  • 露出管理 (読み取り): 外部攻撃 Surface 管理データを含むMicrosoft セキュリティ露出管理分析情報へのアクセス

ロールベースのアクセス:

  • 所有者と共同作成者は、Microsoft Security Copilot エージェント ライブラリ ページ内の脅威インテリジェンスブリーフィング エージェントによって生成されたレポートを確認できます

アクセス許可を構成する

手順 1: Microsoft Defender XDRでカスタム ロールを作成する

  1. Microsoft Defender ポータルにグローバル管理者またはセキュリティ管理者としてサインインします。

  2. [アクセス許可>Microsoft Defender XDR>Roles] に移動します。

  3. [ カスタム ロールの作成] を選択します。

  4. [基本] タブで、次の操作を行います。

    • ロール名: Threat Intel Agent - Read Only
    • 説明: Read-only access for Threat Intelligence Briefing Agent
    • [次へ] を選択します。

  5. [ アクセス許可の選択] ページで、次の手順を実行します。

    • [セキュリティ体制] を選択します

    • カスタムアクセス許可を選択する

    • [ポスチャ管理] で、[脆弱性の管理 - Read] を選択します。

    • [適用] を選択>次へ

  6. [ ユーザーとデータ ソースの割り当て] ページで、次の手順を実行します。

    • [ 割り当ての追加] を選択します
    • 割り当て名: Threat Intel Agent Assignment
    • 従業員: エージェントのユーザー アカウントを選択します
    • データ ソース: [Microsoft Defender 脆弱性の管理] を選択します
    • [ 次へ>Submit] を選択します

手順 2: 共同作成者ロールSecurity Copilot割り当てる

  1. Microsoft Security Copilotにサインインします。

  2. [ロールの割り当て>メンバーの追加>ホーム メニューを選択します。

  3. ユーザー アカウントを検索して選択し、共同作成者ロールSecurity Copilot割り当てます。

  4. [追加] を選択します。

手順 3 (省略可能): 外部攻撃 Surface 管理アクセス許可を追加する

organizationでMicrosoft Defender 外部攻撃面管理が使用されている場合:

  1. Microsoft Defender ポータルで、[アクセス許可>Microsoft Defender XDR>Roles] に移動します。

  2. Threat Intel Agent - Read Onlyロールを見つけて、[編集] を選択します

  3. [アクセス許可の選択>セキュリティ体制>カスタム アクセス許可の選択] に移動します。

  4. [ポスチャ管理] で、[露出管理 - Read] を追加します

  5. [データ ソース] で、Microsoft セキュリティ露出管理を追加します。

  6. 変更を保存します。

重要

アクセス許可を設定したら、ロールを有効にするためにMicrosoft Defender XDR統合ロールベースのアクセス制御 (RBAC) モデルをアクティブにします。

ヒント

エージェントを実行するための専用サービス アカウントを使用して、職務の分離を維持し、セキュリティ監視を強化することを検討してください。

トリガー

このエージェントは、オンの場合は設定された時間間隔で実行され、実行する場合は手動で実行されます。

エージェントを設定する

  1. 脅威インテリジェンス ブリーフィング エージェントを実行するには、まず、Microsoft Security Copilotスタンドアロン ポータルの [エージェント] ページに移動します。 [脅威インテリジェンス ブリーフィング エージェント] の下にある [詳細の表示] を選択します。

    [エージェント ライブラリ] ページMicrosoft Security Copilotスクリーンショット。

  2. エージェントの詳細を確認し、[ セットアップ] を選択します。

    脅威インテリジェンス ブリーフィング エージェントの詳細ページのスクリーンショット。

  3. [ 次へ ] を選択してユーザー アカウントをエージェントに接続し、ユーザー アカウントを選択できる新しいウィンドウを開きます。 その後、エージェントのセットアップが完了するまで待ちます。

    脅威インテリジェンス ブリーフィング エージェントのセットアップ ページのスクリーンショット。

  4. 出力をカスタマイズするパラメーターを指定し、[完了] を選択 します。 これらのパラメーターは、エージェントの概要ページの右上セクションで 3 つのドットを選択することで後で編集できます。

    脅威インテリジェンス ブリーフィング エージェントのパラメーターの設定ページのスクリーンショット。

    • 調査に関する分析情報 – エージェントがアクティブな脅威に対して調査する脆弱性の数
    • 日々を振り返る – エージェントが脆弱性に対する脅威を調査する距離
    • Email – ブリーフィングが送信されるユーザーまたは配布グループの電子メール アドレス
    • リージョン – エージェントが脅威をチェックする地理的領域の範囲
    • 業界 – エージェントが脅威をチェックするセクターまたは業界

  5. エージェントが作成されると、エージェントの概要ページにリダイレクトされます。 エージェントを実行するには、ページの右上に移動し、[ エージェントの実行] を選択します。 [ トリガーで] を 選択して、エージェントが設定された時刻に実行されるようにスケジュールするか、[ 1 回 ] を選択してオンデマンドでレポートを実行します。

    脅威インテリジェンス ブリーフィング エージェントの概要ページのスクリーンショット。

エージェントの出力に関する評価とフィードバックの提供

生成されたレポートは、[ アクティビティ] の [脅威インテリジェンス ブリーフィング エージェント] ページに表示されます。 レポートの名前、開始時刻、生成方法、および現在の状態が表示されます。

結果を含む脅威インテリジェンスブリーフィング エージェントの概要ページのスクリーンショット。

いずれかのレポートを選択して、エージェントの出力を評価します。

脅威インテリジェンス ブリーフィング エージェントのサンプル レポートのスクリーンショット。

脅威インテリジェンスブリーフィングには、脅威情報の関連する概要と、積極的に悪用された脆弱性とその可能性のある組織への影響など、詳細な技術的分析が含まれています。

脅威インテリジェンス ブリーフィング エージェントは、ブリーフィングを構築する前の手順の結果に基づいて、次のステップを動的に選択します。 [アクティビティの表示] を選択すると、脅威ブリーフィングの生成に向けたエージェントの進行状況を 表示できます。

[アクティビティの表示] ボタンのスクリーンショット。

アクティビティの詳細が表示され、出力を生成するためにエージェントによって実行された手順の透明性が提供されます。

アクティビティ マップのスクリーンショット。

ブリーフィングに関するフィードバックを提供する場合は、サムの上または下のサムボタンを選択します。 後に表示されるテキスト ボックスを詳しく説明できます。 [ 送信] を 選択してフィードバックを送信します。

関連項目