Microsoft (有志)Publicationへの投稿
🤖

Copilot Agent + Security Copilot で月次セキュリティ レポートを作成したい

k.sato
に公開
Security
Microsoft
Copilot
Copilot Studio
zennfes2025infra
tech

はじめに

セキュリティ運用において、経営層や管理者層への報告のためのセキュリティレポート作成は重要な業務の一つとなっています。しかしながら、これらのレポート作成には、以下のような課題があります:

  • セキュリティデータの集計や分析に多大な時間を要する
  • レポートの作成・フォーマット調整に工数がかかる

Microsoft Security Copilot は、セキュリティ分析の強力なツールですが、単体では集計レポートの作成はあまり得意ではありません。しかし、最近のアップデートで Copilot Studio のコネクタとしてSecurity Copilotが利用できるようになりました。

この記事では、Copilot Studioを活用して、月次セキュリティレポートを自動生成できるカスタムエージェントの作成を検討します。

Copilot Studio の Security Copilot コネクタ

Copilot Studio で Security Copilot を実行できるコネクタがプレビューでリリースされています。今回はこちらを使用します。
https://learn.microsoft.com/en-us/copilot/security/connector-copilot-studio

設定方法

Copilot Studio にエージェントを追加し、[ツール] から [+ツールを追加する] をクリックします。

[Security Copilot] で検索し、[Submit a Security Copilot prompt] を選択します。

[未接続] > [新しい接続を作成する] をクリックします。

[作成] をクリックします。 (OAuth しか選択肢がありません)

[エージェントに追加する] をクリックします。

同様に [Fetch Prompt status] を追加します。

動作確認

まずプロンプトには Session Id, Evaluation Id, and Prompt Id という文言を含める必要があるようです。こちらを含めないと正常に動作しませんでした。

Security Copilot で [最新 1 件のインシデントのサマリを作成してください] をプロンプトとして送信してください。次を含めます。Session Id, Evaluation Id, and Prompt Id

次に結果を取得します。一応結果を取得できました。

このプロンプトのステータスをフェッチしてください。

次にシステム プロンプトで指示します。ちなみに GPT-4o だとどのように指示をしても Security Copilot コネクタを呼び出してくれなかったので、GPT-4.1 に変更しました。

実行結果は以下です。若干怪しいですが、とりあえず想定通り動いているかとは思います。

セキュリティ レポート作成エージェント

次に目的のセキュリティ レポート作成エージェントを構築していきます。
まず、Security Copilot の動作を明確化するため、以下のようにプロンプト入力のツールを分けて、インシデント一覧と各インシデント概要を取得するスキルを指定しています。


次にシステム プロンプトで以下のように指示します。

以下の処理を実行します。
---

1. ユーザーの入力したチャットからレポートの対象とする期間 (例: 2025 年 9 月 や 過去 1 か月) を決定します。
2. [List Incidents from Security Copilot] に 1. で決定した期間をプロンプトとして送信してください。次を含めます。Session Id, Evaluation Id, and Prompt Id
3. このプロンプトのステータスを [Fetch prompt status] でフェッチしてください。この処理を evaluationState が取得できるまで繰り返します。
4. 取得した個々のインシデントに対して [Get Incident from Security Copilot] を実行します。次を含めます。Session Id, Evaluation Id, and Prompt Id
5. このプロンプトのステータスを [Fetch prompt status] でフェッチしてください。この処理を evaluationState が取得できるまで繰り返します。
6. すべてのインシデントに対して、4. と 5. を繰り返します。
7. 取得したインシデント一覧と要約に基づき、以下の観点でエグゼクティブ向けのレポートを作成してください。
 - 重要度別のインシデント発生状況の集計
 - インシデント発生状況の傾向
 -  特にフォーカスする必要があるインシデントの詳細解説
 - 注意すべきエンティティ (ユーザー、コンピュータなど) の分析
 - 所感

テストします。

最近一か月間のセキュリティレポートを作成してください。

以下のように詳細なレポートが作成できました。今回はレポートのフォーマットを指定していませんが、ナレッジなどでフォーマットや集計方法を指定することでより目的に沿ったレポートの出力が可能かと思います。

なお、PowerPoint への出力を試しましたが、こちらは意図した通りの動作をせず課題が残りました。

まとめ

セキュリティ運用において、レポート作成は重要な業務である一方、データ集計や分析に多大な時間を要する課題がありました。この課題に対し、最近プレビューリリースされた Copilot Studio の Security Copilot コネクタを活用したソリューションを検討しました。
コネクタの設定は比較的シンプルで、Security Copilot の機能を効果的に活用できることが確認できました。これを基に、月次セキュリティレポート作成用のカスタムエージェントを構築し、インシデントの一覧取得から詳細な分析まで自動化することができそうです。

補足

今回、Copilot Studio で作成しましたが、2025/10 に Sentinel MCP サーバーやカスタム Security Copilot エージェントの作成が発表されました。Copilot Studio と同等のエクスペリエンスでエージェントが作成できるようになる見込みのため、こちらを待つのも選択肢かと思います。
https://learn.microsoft.com/en-us/copilot/security/developer/custom-agent-overview
https://learn.microsoft.com/en-us/copilot/security/developer/agent-standalone-overview

Microsoft (有志)
Microsoft (有志)Publication

Microsoft Azureをはじめとする最新技術情報をお届けします。 ※このPublicationは日本マイクロソフトまたは米Microsoft所属社員による個人の見解であり、所属する組織の公式見解ではありません。 ※Publicationに参加希望の社員は @07JP27までご連絡ください。

Discussion