本記事は Microsoft Security Advent Calendar 2023 に参加しています
先日 Microsoft Ignite Osaka で Microsoft Security Copilot のミニセッションを実施したところ多くの反響をいただきました
今回は従来から発表されていた内容に Microsoft Ignite での発表内容を加え Microsoft Security Copilot がどのような場面で利用できるものなのかご紹介していきたいと思います
Microsoft Security Copilot とは?
Microsoft Security Copilot は Open AI のアーキテクチャ機能に Microsoft Security 独自の脅威インテリジェンスや様々なシグナルを用いて担当者が迅速にインシデント対応、脅威ハンティング、情報取集、ポスチャマネジメントができる製品です。
インフラ・セキュリティ担当者の様々な業務を簡素化し作業時間を削減するだけでなく、模倣的なセキュリティアナリストの調査手段を学習しているため初級のアナリストのレベルアップにも使えることが期待されています。
また Microsoft Ignite では Microsoft Purview との連携も発表され内部不正対策の調査で今まで様々な部門が連携をしなければいけなかったところから、監査部門がプロンプトでログ調査をおこなったり感情抜きで事実のみで構成された報告書を作成させるなどいわゆる外部脅威対策以外での利用についても発表がされました。
統合を念頭に開発されているため Microsoft の Security 製品以外にも 3rdParty のサービスと連携をすることもできるので様々な利用シナリオが考えられますね。
現在は招待制の早期アクセスプログラム(有償の Preview プログラム)にて提供されていることが Web にも記載されており GA が待ち遠しいです。
Microsoft Security Copilot が利用できるプラグイン
現在は以下のプラグインが用意されているようです
- Microsoft プラグイン
- Microsoft Entra
- Microsoft Defender EASM(External Attack Surface Management)
- Microsoft Intune
- Microsoft 365 Defender
- Microsoft Sentinel
- Microsoft Defender TI
- その他のプラグイン
- ServiceNOW - ウェブサイト
- パブリック Web サイト
各プラグインへの接続は Security Copilot の画面の設定画面よりトグルで設定ができるようです
Microsoft Security Copilot の仕組み
Microsoft Security Copilot は専用の画面の他 Microsoft Defender / Microsoft Sentinel / Microsoft Entra / Intune といった様々なソリューションからプロンプトを入力することができます。
プロンプトが入力されたあとグラウンディング(AI が言葉や概念を結び付けて理解する処理)という前処理を行いプラグイン等へのアクセスも行い、実行可能な回答を取得できるようにします。その後 LLM からの応答を受け取り後処理を行い、Microsoft Security Copilot を通じてユーザーへ応答を返します。Microsoft Security Copilot はこれらの処理を繰り返しチューニングを行い、組織データに基づいた結果を生成できるようにします。
実際どんなシーンで使えるの?
現段階で考えられる活用例は以下のように言われています
本記事では Microsoft Ignite Osaka のミニセッションでお伝えさせていただいた内容で実際どのように動作していくのかご紹介いたします。
Microsoft Entra Identity Governance + Microsoft Security Copilot
ここでは Microsoft Entra Identity Governance (以降、IGA と記載) の設定を Microsoft Security Copilot に依頼してみたいと思います。
IGA は ID のライフサイクルを自動化する Entra に元々あった機能を拡張した新しいライセンスです。この機能を利用すると ID が作られてからリタイアするまでの入社~異動~退社といった場面で必ず出てくる作業(ID の有効化、アクセス権の付与/レビュー/削除、AI を利用した特権管理)を強力に支援してくれます。
今回、設定を依頼する内容は IGA の LCW (ライフサイクルワークフロー) 機能を用いて、マーケティング部門に新入社員が入ってきた際に
・ID の有効化
・Welcome メールの送信
・TAP (一時パスワード) の発行
を自動化するテンプレートの作成を依頼してみます
プロンプトの内容を元に Microsoft Security Copilot が作成するテンプレートの案を返してくれました。問題ないのでこのまま Create Draft を押しドラフトのテンプレートを作成します。
作成されたテンプレート内の設定値が問題ないかだけあとは確認をし (画面から切れていますが) Create ボタンを押しテンプレートの作成はこれで完了です。
Microsoft Defender EASM (External Attack Surface Management) + Microsoft Security Copilot
次は Microsoft Defender EASM は外部露出アセットの把握、脆弱性の確認や緩和策などを把握するためのソリューションで行う作業を Microsoft Security Copilot を通じて調査してみます。
今回は架空の会社である WoodgroveBank における外部露出アセットを把握し攻撃される可能性のあるアセットが無いかを調査し、レポートにまとめていきます
まずは外部アセットのサマリを取得し、次に期限切れのドメインが無いかを聞いてみます
Woodgrovebank.ws というドメインが期限切れのドメインだったため Whois の情報から誰が管理しているのか等を把握する問い合わせをします
次に攻撃対象領域における SSL 証明書の期限切れのあるアセット一覧をだし、その一覧の中で脆弱性が無いかを確認します(今回は 3 つの CVE が該当)
各 CVE に対して CVSS のスコアを確認し、それぞれの緩和策を確認していきます (スクショ上省いていますが CVE の数だけ緩和策を問い合わせ)
最終的に今回調査した内容をレポートにまとめる指示を出すと以下のようなレポートが作成されます
今回インシデント調査などといった王道の使い方ではなく Microsoft Ignite で発表された内容を取り込んでみましたがいかがでしたでしょうか?
細かなボタンの配置を覚える必要や特殊なスキルがなくても設定や調査ができるのでは?と私は期待を寄せています。Microsoft Ignite ではこのほかにも条件付きアクセスで現在どんなポリシーがあってバッティングする設定にならないか確認したり、Microsoft Purview で Insider Risk Management でアラートが上がってきたものに対して全体像の要約を指示したり等、様々なデモンストレーションが披露されていました。
Microsoft Security Copilot いつから使えるんだろう?
ここで気になるのがいつ使えるの?いくらなの?です。
Learn のよくある質問欄に記載がありましたが現在 GA 時期も価格も未定のようです。
さいごに
Microsoft Security Copilot はまだまだ謎のベールに包まれた製品ですが Microsoft Ignite の発表で外部攻撃に対する対処以外にも様々な設定や調査で利用できるシナリオが明かされてきました。
3rdParty との連携も発表されているので使い方ももっと広がると考えられるので私自身もワクワクしながら GA を待ちたいと思います。
Discussion