Copilot for Security -初期設定と基本的な機能
2024/4/1 Copilot for Security がついに GA されました!
早速自分の検証環境にデプロイして設定手順や提供されている機能、あとは気になる SCU がどのような消費になるのか試してみました。
Learn もまだ更新が追いついていないようですので手探りでの検証や設定になりますがお気づきの点などがあれば是非コメントいただけますと幸いです
Copilot for Security 初期設定手順
- Securitycopilot.microsoft.com にアクセス
- テナントの接続を行う
- Azure Subscription 、リソースグループ、リソース名、プロンプトの評価場所、SCU の数を設定
4.データ保存についての承諾(データ保存場所は M365 テナントに準ずる)
5.Azure Portal にもリソースがデプロイされる
6.改善要望への協力などのガイダンスに回答する
7.アクセス権の設定
8.設定の完了
9.Microsoft Defender XDR (security.microsoft.com) にサインイン
10.Micorosft Defender XDR のインシデント画面に組込み型の Copilot が表示される
Copilot ボタンを押すとインシデントの概要がでる
Copilot for Security の利用方法
Copilot for Security では Standalone 型と組込み型の2つがあります
■Standalone 型
securitycopilot.microsoft.com でアクセスできるこちらの画面のことです
自身でプロンプトを投げるほか、プロンプトブックやコマンドを利用して調査などすることが可能です
プロンプト入力画面の✨ボタンを押すとプロンプトブックなどの確認が出来ます
プロンプトを投げたものについては右上の共有ボタンから組織のアクセス権がある人へ内容を共有することが可能です
共有された側にはメールでこのような案内が行きます
■組込み型
組込み型は Microsoft の管理ポータルに組込みで使えるような機能になっています
Microsoft Defender XDR ではインシデントの要約、レポートの作成、トリアージのサポートなどがボタン1つで行えます
その他 Purview や Entra, Intune の管理画面にも組込み型が提供されます(デプロイして 2 時間経ちますがまだ来ない)
プラグインの設定
Copilo for Security Standalone 画面のプロンプトを投げる窓に「ソース」がありますのでそこを押すとプラグインの設定が表示されます
Microsoft 製品についてはトグルで簡単に設定ができます
3rdParty に関しては 2024/4/1 現在以下が公開されているようです
・ServiceNOW
・Splunk
・Cyware Respond
・Netskope
・Tanium
・Vakence Security
その他、Web サイトやカスタムプラグインの設定画面が用意されています
内部ポリシーなどの学習
Copilo for Security Standalone 画面のプロンプトを投げる窓に「ソース」がありますのでそこを押すとファイルの設定が表示されます
ここからアップロードしたファイルで組織についての学習を行うことが出来るようです
管理者機能
Copilot for Security の Standalone 画面(securitycopilot.microsoft.com)の≡マークから管理者機能を利用することができる
最下部にはテナントの選択画面があり選択することが可能(現在はシングルテナントでの利用のみの模様)
設定の詳細では Teams のユーザー設定画面のようなポップアップが出てきて表示やプラグインの設定、ファイル操作などについて設定が可能
マイセッション
Copilot for Security 画面(Standalone 型)と Microsoft Defender XDR 画面(組込み型)で投げたプロンプトの履歴が見えるようになっています
Microsoft Defender XDR でインシデントの概要を押しただけですが複数のプロンプトが走っていることがわかります
表示されているものについてクリックすると Standalone 画面で詳細の確認ができます
マイセッションに表示されているものをクリックするのも新たにプロンプトを投げることになるので SCU の消費対象となりそうです
またマイセッションの名の通り、別ユーザーが投げたプロンプト履歴などは見ることが出来ません
プロンプトブックのライブラリ
Standalone 画面ではプロンプトブックというものが提供されています
これはよくある調査などについて既に最適なプロンプトがセットされており必要情報のみをいれることで簡単に利用することができます(プロンプトエンジニアリングのスキルが無くても利用できるのが良い点)
プロンプトブックのライブラリでは既定で Microsoft が提供しているもののほかに、カスタムプロンプトブックを公開する仕組みがあり公開されているものについて検索することが可能になっています。ただ、現状は Microsoft 公開のものしか見当たりません。。
所有者の設定
Azure Portal で作成したワークスペース(=容量の切替)や割り当てられているワークスペースに対して SCU の追加などが行える
ロールの割り当て
所有者と共同作成者の 2 種類のみ
初期設定のままだとテナント設定した人、セキュリティ管理者、グローバル管理者は所有者の権限、共同作成者にはセキュリティオペレーター、セキュリティリーダーの権限がそれぞれ付与されていました
基本的に権限管理は Microsoft Entra ID で行うようです
■所有者で利用できるメニュー
■共同作成者で利用できるメニュー ※共同作成者でもプラグイン設定は利用可能
SCU の消費について
Copilot for Security の Standalone 画面で SCU 消費量の確認が可能
※試しに Microsoft Defender XDR のインシデント画面でインシデント要約を依頼した際に以下がすぐ反映された
まだまだ検証が必要ですが 1 インシデントの要約で 5 プロンプト投げていて消費は 0.5 になっています。
SCU を割り当てた時間だけ課金がされるのか、プロンプトを投げる毎にプリペイドカード式に消費されていくのか等は調査中です
SCU を消したらどうなるの?
SCU を削除する際には Standalone 画面及び Azure Portal どちらから行っても同じ挙動になります。
削除する際に以下のアナウンスが出ることからデータ保持ポリシーによってなのか SCU を再割り当てすると管理者の設定やマイプロンプト履歴、プラグイン設定等は引き継がれていました(ただし30分ほどしか間が空いていないためかもしれないので、明日再度試します)
ただし、SCU 消費量が確認できるダッシュボードについては引き継がれませんでした
Discussion