Microsoft Security Copilotエージェントは、特定のロールベースのタスクを支援するように設計された AI を利用したプロセスです。 Microsoft Purview には、プレビュー段階のMicrosoft Purview データ損失防止 (DLP) トリアージ エージェントとMicrosoft Purview インサイダー リスク管理トリアージ エージェントが用意されています。 これらのエージェントは、リスクが最も高いアクティビティが識別され、優先順位が付いているマネージド アラート キューを提供します。 エージェントは、organizationの選択したパラメーターとリスク許容レベルに基づいて、アクティビティに関連するコンテンツと潜在的な意図を分析します。 エージェントは、分類の背後にあるロジックに関する包括的な説明を提供します。
エージェントは、 Microsoft Purview 埋め込みエクスペリエンスで使用できます。 詳細については、「 埋め込みエクスペリエンス」を参照してください。
アラートのトリアージと優先度の割り当てには、複雑で時間がかかる場合があります。 エージェントのトリアージを行い、アラートに優先順位を付けると、設定したパラメーターに従って、タスクの完了に必要な時間が短縮されます。 エージェントは、リスクの低いアラートのノイズからそれらをふるいにかけることで、最も重要なアラートに集中するのに役立ちます。 これにより応答時間が短縮され、チームの効率と有効性が向上します。
エージェントの展開、構成、および使用の詳細については、「 Microsoft Purview エージェントの概要」を参照してください。
開始する前に
エージェントのSecurity CopilotまたはSecurity Copilotを初めて使用する場合は、次の記事の情報を理解しておく必要があります。
- Microsoft Security Copilot エージェントの概要
- Microsoft Security Copilot とは
- Microsoft Security Copilotエクスペリエンス
- Microsoft Security Copilotの概要
- Microsoft Security Copilotでの認証について
- Microsoft Security Copilotでのプロンプト
- 所有者設定を構成する
Security Copilot エージェントの概念
Microsoft Purview トリアージ エージェントは、セキュリティ コンピューティング ユニット (SCU) で実行されます。 エージェントを実行するには、organizationに SKU がプロビジョニングされている必要があります。 詳細については、「 SKU/サブスクリプション ライセンス」を参照してください。
トリガー
トリガーは、エージェントが特定のアラートをトリアージするために値を満たす必要があるパラメーターのグループです。 トリガーには次のものが含まれます。
- 時間枠: トリアージのためにアラートが生成される時間スコープを定義できます。 「アラート期間の 選択」を参照してください。
- ポリシー: 選択したポリシーからアラートをトリアージするようにエージェントを構成できます。 「 エージェントのセットアップ」を参照してください。
重要
エージェントは 管理単位に対応していません。 ただし、エージェントが管理単位の制限付き管理者のコンテキストで実行されていて、その管理者を対象とする管理単位であるポリシーがある場合、エージェントには、管理者ユニットにスコープが設定されているポリシーからのアラートのみが表示されます。
自動または手動で実行する
エージェントをデプロイするときに、トリガーを編集するときに、設定された スケジュールに基づいてエージェントを自動的に 実行するか、 エージェントを一度に 1 つのアラートに対して手動で実行 するかを選択できます。 [設定されたスケジュールに基づいて自動的に実行] を選択すると、エージェントは [アラートの時間枠の選択] 設定に含まれるアラートをトリアージします。
アラート期間の選択
エージェントをデプロイするときに、エージェントのトリガーを編集するときに、エージェントがスコープに使用する期間を選択して、トリアージするアラートを選択できます。 以下のオプションがあります:
- 新しいアラートのみをトリアージする
- 過去 24 時間
- 過去 48 時間
- 過去 72 時間
- 過去 7 日間
- 過去 14 日間
- 過去 21 日間
- 過去 30 日間
[ 新しいアラートのみをトリアージする] を選択した場合、エージェントは、エージェントのデプロイ後に生成されたアラートのみをトリアージします。 エージェントは、エージェントがデプロイされる前に生成されたアラートをトリアージしません。 つまり、[ 過去 1 時間または日数 ] オプションはすべて無視されます。
[過去の時間または日数] オプションのいずれかを選択した場合、エージェントは、選択した期間内に生成されたアラートをトリアージします。 これにより、エージェントがデプロイされる前に生成されたすべてのトリアージを行うことができます。 新しく生成されたすべてのアラートもトリアージされます。
重要
トリアージされるアラートのタイム フレーム スコープは、エージェントの有効化が成功した時点に固定されます。 基本的に、エージェントが有効になると、クロックがカチッと音を出し始めます。 そのため、 最後 の時間数または日数は、エージェントのデプロイ前の期間を指します。 これはローリング 時間枠ではありません。
セキュリティ コンテキスト
エージェントは、最後に構成したユーザーのセキュリティ コンテキストで実行されます。 セキュリティ コンテキストは 90 日ごとに更新する必要があります。 ユーザーがテナントから削除または削除された場合、またはユーザーが無効になっている場合、エージェントの実行が停止します。
カスタム手順
エージェント構成プロセス中に、エージェントに カスタム指示を与えることができます。 Microsoft Purview エージェントは、次の自然言語命令を使用して、次の方法でアラートトリアージを強化します。
入力を構造化された分類ロジックに変換する。
各アラートに関連付けられているドキュメント コンテンツに対してこのロジックを実行します。
コンテンツがカスタム命令と一致する場合にアラートの優先度を上げる。
カスタム手順では、メタデータや動作属性ではなく、ドキュメント コンテンツのみを分析します。 つまり、エージェントは次のようなコンテンツ カテゴリをサポートします。
- 税金、財務、または法的情報
- 信用カード番号、社会保障番号、名前などの名前付きエンティティ
- 5 つ以上の SSN のような論理条件には、財務ドキュメントが含まれています
使用する条件がサポートされているかどうかがわからない場合は、コンテンツ条件としてマークされているかどうかをチェックします。 その場合、エージェントはカスタム手順で使用できます。
たとえば、「税金や財務に関連し、5 つ以上のクレジット カード番号または SSN を含むコンテンツを含むアラートに焦点を当てたい」と入力した場合です。 エージェントはこれを次のように解釈します。
{
"logic_expression": "MATCH(content, 'Tax') or MATCH(content, 'Finance') and (COUNT(content, 'U.S. social security number') >= 5) or (COUNT(content, 'U.S. credit card number') >= 5)"
}
トリアージド アラート
エージェントは、トリガー構成に基づいてアラートをトリアージします。 エージェントは、選択した期間内に生成され、選択したポリシーから生成されたアラートをトリアージします。 すべてのアラートがトリアージされるわけではありません。 詳細については、「エージェントの セットアップ」を参照してください。
トリアージされたアラートは、次の 4 つのカテゴリにグループ化されます。
すべて: このカテゴリには、エージェントがトリアージしたすべてのアラートが含まれます。 カテゴリに示されている数は、そのビューに移動し、下にスクロールしてすべてのアラートを読み込むまで、実際のアラート数を正確に反映していない場合があります。 最初にアラートが発生する原因となった条件が変更された場合、またはアラートがまだトリアージされていない場合は、アラートを選択し、[ エージェントの実行 ] を選択してアラートでエージェントを手動で実行できます。
注意が必要: エージェントが推論し、organizationに最大のリスクをもたらすと判断したアラートです。 これらのアラートのいずれかを選択すると、詳細ポップアップが開き、アラートとその他の詳細の概要が表示されます。
緊急性が低い: エージェントが評価し、organizationに対するリスクが低いかどうかを判断したアラートです。 これらのアラートのいずれかを選択すると、詳細ポップアップが開き、アラートとその他の詳細の概要が表示されます。
分類されていません: エージェントが正常にトリアージできなかったアラートです。 これは、次のような多くの理由で発生する可能性があります。 - サーバー エラー - 確認中 - その他のエラー - エージェントがサポートしていないアクティビティを含むアラートに対してサポートされていないエラー。
エージェントは、最大 2 MB のサイズのファイルをトリアージします。
エージェントの優先順位付け
DLP トリアージ エージェントは、次のリスク要因に基づいてアラートに優先順位を付けます。
- コンテンツ リスク: これは、エージェントトリアージ中に使用される主なリスク要因であり、Microsoft が提供する SID、トレーニング可能な分類子、および既定の秘密度ラベルに基づく機密性の高いコンテンツを対象とします。 詳細については、「既定の 秘密度ラベル」を参照してください。
- 流出リスク: 外部で共有される機密データの流出。
- ポリシー リスク: ポリシー モードとアクションを含むルールは、アラートの優先順位付けに影響します。
- コンテンツ リスク: ラベルが削除またはダウングレードされました。
- 流出リスク: 機密データの流出。
Insider Risk Management アラート トリアージ エージェントは、次に基づいてアラートに優先順位を付ける。
- アクティビティ リスク: エージェントは流出のリスクが最も高いアクティビティを識別し、履歴アラート分析情報を報告します。
- ファイル リスク: エージェントは、流出のリスクがあるファイルの内容を分析し、各ファイルのドキュメントの概要とリスクの高い分析を提供します。
- ユーザー リスク: 優先度ユーザー グループの構成や現在アクティブなケースの数など、アラートの優先順位付けに影響を与える可能性があるユーザーの属性。
アラートトリアージの詳細
重要
DLP トリアージ エージェントは、アクティブ モードのポリシーからのアラートのみをサポートします。 DLP アラートトリアージ エージェントは、シミュレーション モードで実行されている DLP ポリシーからアラートをトリアージしません。
エージェントは、テナントに十分な SKU がある場合、エージェントの有効化の最大 30 日前に生成されたアラートを確認できます。 エージェントの有効化の 30 日前より前に生成されたアラートは範囲外です。
DLP トリアージ エージェントは、Exchange、 SharePoint、OneDrive、Teams からのアラートをトリアージします。
DLP では、エージェントは、カスタム機密情報の種類 (SIT) とカスタムトレーニング可能な分類子の条件によってのみトリガーされるアラートをトリアージしません。 などの非トレーニング可能な分類子ポリシー条件によってトリガーされるアラートはトリアージされません。
エージェントによって完全に評価できないアラートに対して手動分析を実行する必要があります。
部分的にトリアージされたアラート
アラートが部分的にトリアージされる状況の例を次に示します。
- DLP ルールには、サポートされていない条件が含まれています。
The user accessed a sensitive site from Edge - DLP ルールには特定の条件が含まれますが、システムは電子メールまたはファイルの対応するプロパティ (
Document couldn't be scannedなど) を取得できません。 - プレビュー中、インサイダー リスク管理エージェントは SharePoint ファイル コンテンツのみを分析します。 添付ファイルを含む電子メールとデバイスのアクティビティは分析されません。 アラートに電子メールまたはデバイス アクティビティのみが含まれている場合は、分析されません。
- ポリシーから生成されたアラートは、Insider Risk Management のエンドポイントまたは電子メール アクティビティのみを確認します。
コンテンツ分析
コンテンツ分析が制限される場合があります。
アラートのコンテンツ リスクの優先順位付けは、Microsoft が提供する SID、トレーニング可能な分類子、およびコンテンツ内の秘密度ラベルに基づいています。 エージェントがコンテンツ リスクを評価すると、ポリシーで定義されている Microsoft 提供の SID とトレーニング可能な分類子のみが検索されます。
DLP アラートが関連付けられているファイルが 10 個未満の場合、すべてのファイルがエージェントによってスキャンされ、コンテンツの概要で使用されます。 アラートに 10 個を超えるファイルがある場合、上位 10 個のファイルが使用され、ファイル リスクの概要が生成されます。 DLP では、トリアージ エージェントは、ポリシー分類子のヒット数、ファイル サイズ、およびファイルに最後にアクセスした時刻に基づいて、上位 10 個の危険なファイルを選択します。 この場合、エージェントは、アラート内のすべてのファイルがコンテンツの概要に含まれていないことを示すメモを提供します。
Insider Risk Management では、リスクの高いファイルの上位 10 個の基準は次に基づいています。
- ファイル名、パス、拡張子
- Microsoft は、SID、トレーニング可能な分類子、および秘密度ラベルを提供しました。
- ファイルが IRM ポリシー構成の優先度コンテンツと見なされる場合
- ファイルに関連付けられているアクティビティのリスク スコア。
- ファイルのメタデータ。 たとえば、コンテンツが非表示であるか、保護されたラベルを持っていますか。
- カスタム命令 (存在する場合)。
Insider Risk Management では、エージェントはコンテンツ分析のために SharePoint ファイルと OneDrive ファイルのみをサポートします。 これは[ファイル リスク] セクションにのみ影響します。[アクティビティ] セクションと [ユーザー リスク] セクションは、このサポート制限の影響を受けません。