Microsoft Security Agents を Security Copilot と統合する方法

Microsoft Security Copilot は理論上は素晴らしいように聞こえますが、実際に使い始めるのは必ずしも簡単ではありません。ライセンスの問題や設定の不具合で、基本的な脅威レポートを入手するためだけに山を登るような感覚になることもあります。セットアップに苦労し、クリーンインストールというよりは推測作業のように感じても、ご安心ください。実際に使ってみて、問題を解決できたヒントをいくつかご紹介します。ライセンス、権限、そしてDefenderやSentinelといった、いわばすべての基盤となる統合について、しっかりと理解できるようになるはずです。

Microsoft Security Copilotのインストール方法

サブスクリプションの要件と権限を確認する

この手順は役に立ちます。信じられないかもしれませんが、テナントに適切なライセンスが付与されていないか、アカウントに適切な権限が付与されていない場合、すべてがアクティベートされません。あるセットアップでは、最初の数回は失敗しましたが、テナントを更新したら魔法のようにうまくいきました。おそらく権限の同期に遅延があったのでしょう。さて、対処方法は次のとおりです。

  • Microsoft 365 管理センターにログインします。
  • テナントにSecurity Copilot ライセンスが割り当てられていることを確認します ( Billing > Licensesで確認します) 。
  • アカウントにグローバル管理者またはセキュリティ管理者のロールが付与されていることを確認してください。不明な場合は、Azure ADポータル(portal.azure.com)を開き、「ロールと管理者」に移動して確認してください。
  • テナントがEntra ID(旧Azure AD)を使用していること、およびMicrosoft Defenderプランがアクティブであることを確認してください。Defenderサービスが無効になっている場合や、正しく割り当てられていない場合、統合がブロックされることがあります。

ヒント:ライセンスの問題や権限の不足が見られる場合は、テナントの更新やロールの再割り当てを少し行うことで問題が解決する場合があります。先に進む前に、これらの点がすべて問題ないことを確認してください。

管理ポータルで Security Copilot を有効にする

これはスイッチを切り替えるようなものですが、Windowsによってはメニューの中に隠れていることがあります。分かりやすいのは良いですね。

  1. security.microsoft.comにアクセスしてください。
  2. [設定]をクリックします(通常は左下または右上のメニューにあります)。
  3. リストでSecurity Copilot を見つけます。メイン設定の下または機能の下に表示されます。
  4. トグルスイッチを「オン」に切り替えます。一部のマシンではすぐには反映されないため、ブラウザの更新やサインアウトが必要になる場合があります。
  5. 必要なユーザーまたはグループにアクセス権を割り当ててください。同じメニューで、適切なAzure ADユーザーまたはグループを選択するだけで実行できます。ある設定では、ロールを少し更新するだけで正常に動作しましたが、別の設定では、権限が反映されるまでに少し時間がかかりました。

Copilotのインターフェースツールをインストールする

ブラウザからあらゆる機能にアクセスするには拡張機能やプラグインが必要だと気づかないまま、多くの人がここでつまずいてしまいます。その方法は次のとおりです。

  1. Microsoft 365 アプリ ポータル(portal.office.com)を開きます。
  2. Security Copilot 用の Microsoft Edge 拡張機能をダウンロードしてインストールしてください。主に Edge でサポートされていますが、他のブラウザでも同様の拡張機能がサポートされている場合があります。
  3. 企業アカウントでサインインし、アクセス権があることを確認してください。
  4. Microsoft セキュリティポータルにCopilot アイコンが表示されていることを確認してください。表示されない場合は、ログアウトしてから再度ログインするか、キャッシュをクリアしてみてください(もちろん、ブラウザの不具合によるものです)。

DefenderとSentinelの信号を接続する

この部分は奇妙に感じるかもしれませんが、Copilotが信号を認識できない場合、実質的には目隠し飛行をしているようなものです。これを修正するには、セキュリティログにアクセスする必要があります。

  1. Microsoft セキュリティ ポータルにアクセスします。
  2. [設定] (歯車アイコン)をクリックします。
  3. データ コネクタを選択します。はい、数回クリックした奥深くに埋もれています。
  4. Microsoft Defender XDR、Sentinelワークスペース、Entra IDログを接続してください。コネクタがオンになっていて、ログ取り込みが行われていることを確認してください。ログ取り込みキューがスタックし、CopilotのAIが混乱することがあります。そのため、ステータスを確認し、再開まで数分お待ちください。
  5. すべてが正しく設定されていれば、ログが流れてくるはずです。ログが表示されない場合は、コネクタの権限とデータの権限を再確認してください。

補足: この手順は、設定によっては面倒ですが、ログがないと Copilot の分析情報はほとんど役に立たないので、ここで再確認する価値はあります。

Microsoft Security Copilot を構成する

アクセス制御を設定する

これにより、特定の管理者またはセキュリティ担当者だけがアクセスしたり自動化を実行したりできるようになります。グローバル管理者セキュリティリーダーといった役割が重要になります。権限が広すぎるとセキュリティ上のリスクが生じ、狭すぎると何もできなくなります。設定はシンプルですが、非常に重要です。

  • Entra ID 管理センター(portal.azure.com)に移動します。
  • 役割と管理者を開きます。
  • グローバル管理者セキュリティ管理者セキュリティ閲覧者などの役割を適切なアカウントに割り当てます。
  • 必要に応じて、条件付きアクセスポリシーを追加してアクセスをさらに制限します。例えば、特定のIPアドレスやデバイスからのアクセスのみを許可するなどです。これは、「セキュリティ」>「条件付きアクセス」で設定できます。

データアクセス用のプラグインを構成する

プラグインは、Defender、Sentinel、Purview、Intuneデータへのアクセスを可能にします。これらのプラグインがないと、Copilotは調査を効果的に支援できません。

  1. Microsoft セキュリティ ポータル内で、Copilotに移動します。
  2. プラグイン設定をクリックします。
  3. Defender や Sentinel など、ワークフローに必要なプラグインを有効にします。
  4. 「保存」をクリックするのを忘れないでください。当然ですが、Windows は必要以上に難しく設定する必要があります。

インシデント対応の自動化を設定する

これは、Copilot がアクションをガイドしたり自動化したりできるようにする自動部分です。

  1. Microsoft Defender XDRを開きます。
  2. オートメーションを選択します。
  3. 新しい自動化ルールを作成します。
  4. デバイスの分離、脅威の隔離、電子メールアラートなどのアクションを追加します。
  5. 応答を高速化するには、AI ガイドによる提案を有効にします。オンにすると、より適切に機能するようです。
  6. 保存してテストしてください。自動化ルールの有効化には時間がかかる場合がありますので、すぐに機能しなくても驚かないでください。

セキュリティ エージェント テレメトリを構成する

Copilot にはエンドポイント データが必要なので、デバイスが正しくレポートしていることを確認することが重要です。

  1. Microsoft 365 Defender ポータルに移動します。
  2. 設定を開きます。
  3. デバイス構成を選択します。
  4. 高度なテレメトリを有効にします。デフォルトでオンになっていない理由はわかりませんが、手動による介入なしには常に有効になるわけではありません。
  5. デバイス レポートが受信されていることを確認します。新しいテレメトリを流すには、デバイスの再起動やポリシーの更新が必要になる場合があります。

ついでに、Windows の一般的なセキュリティ設定も確認して、すべてが同じページにあることを確認してください。

Security Copilot シナリオをカスタマイズする

シナリオビルダーは、繰り返し利用可能なレスポンスを作成するための隠れた宝石のようなツールです。フィッシングや認証情報の盗難といった一般的な脅威に有効です。

  1. Security Copilotポータルで、シナリオ ビルダーを選択します。
  2. 新しいシナリオを作成し、「フィッシングメールの調査」などの名前を付けます。
  3. 関連するデータ ソース、調査手順、および対応アクションを追加します。
  4. これらのシナリオを保存してチームに割り当てておくと、次回同様の攻撃が発生したときにすぐに展開できます。

よくある質問

Microsoft セキュリティエージェントは Security Copilot で何を行いますか

Defender、Sentinel、Entra ID から信号を収集し、AI エンジンに送って分析とガイダンスを行います。

すべてのエンドポイントにSecurity Copilotをインストールする必要がありますか?

いいえ。ライセンスとポータルアクセスのみを備えたクラウドサービスなので、エンドポイントが適切にレポートし、ユーザーがアクセスできることを確認するだけで済みます。

Security CopilotはMicrosoft Defenderに代わるものか

正確にはそうではありません。Defenderと連携して洞察や推奨事項を提供する、ターボチャージされたAIアシスタントのようなものですが、実際の検知と対応はDefenderが行います。

Security CopilotにはSentinelが必要ですか?

厳密にはそうではありません。Copilot は Defender 信号だけを使用することもできますが、Sentinel を設定すると信号品質が向上し、正直言って大きな違いが生まれます。

すべてを接続して設定すれば、Microsoft Security Copilot は脅威調査の効率化と対応の自動化に大きく貢献します。点と点をつなぐのには多少の手間がかかりますが、一度起動すれば、セキュリティチームにとって画期的なツールとなります。