Security Copilot - 初心者ガイド

■重要なポイント

①めっちゃお金かかる

②スタンドアロン型と組み込み型の役割や出来ることが大幅に異なる

③役割が異なるが横断して使用することでSecurity Copilotの実力が発揮される

■Security Copilotとは

またSecurity Copilotのユーザーエクスペリエンスの種類として２種類あります。

（１）スタンドアロン型

・Security Copilotポータルを中心に複数のMicrosoft製品や3rdパーティ製品に対して横断的なプロンプト及びプロンプトブック（複数のプロンプトの組み合わせ）を作成できる

・組織が所有するMicrosoft365製品のデータをプロンプトのコンテキストとして使用することができる

（２）組み込み型

・Microsoftセキュリティソリューション毎に独立している

・各ソリューションの業務補助を行うような役割

　例）XDRのインシデントレポート作成やスクリプト解析

■初期セットアップ

組織の容量をプロビジョニングします。容量のプロビジョニングには、次の 2 つのオプションがあります。

・Security Copilot 内で容量をプロビジョニングする (推奨)

・Azure による容量のプロビジョニング

本手順は、グローバル管理者もしくはセキュリティ管理者のロールを持つユーザーで実行します。

（１）Microsoft Security Copilotのポータルサイトにアクセスし、ログインします。（https://securitycopilot.microsoft.com/）

（２）中央の[Get started]を押下します。

（３）以下の項目を選択します。

・Azureサブスクリプション

・リソースグループ

・容量名

・プロンプト評価場所

・容量領域

（４）「ユニットの数を選択します」は使用するSCUの数を入力します。

また、2025年6月18日時点では、1ユニットあたり約30万円／月 です。

「利用規約を読み、理解し、同意したことを認めます」のボックスを選択し、[続行]を押下します。

（５）前手順で設定したデータの保持地域が表示されます。[続行]を押下します。

（６）Copilotの改善に関するオプションが表示されます。[続行]を押下します。

（７）Copilotへのアクセス権に関する表示があります。[続行]を押下し、[完了]を押下します。

※既定ではすべてのユーザーにCopilotへのアクセス権限が割り当てられているため、後で変更することも可能です

■スタンドアロン型

（１）セッション

最近のセッションが表示されます。

押下するとセッションの内容が表示されます。

・プロンプト（ブック）名

・入力した要素

・行程

・回答内容

（２）プロンプトブック

プロンプトブックの一部が表示されます。

押下すると、プロンプトブックの詳細が表示されます。

・プロンプトブック名

・作成者

・プロンプトの数

・タグ

・説明

・インプット要素

・使用するプラグイン

・構成されているプロンプトの内容

右上のアイコンから、プロンプトブックのコピーやリンクを共有することが可能です。

（３）プロンプトバー

直接プロンプトを入力して始めることができます。

「プロンプト」アイコンを押下すると、プロンプト例が表示されます。

「ソース」を押下すると、「ソースの管理」が開きます。

・プラグイン

　Microsoft製品のプラグインと3rdパーティ製品のプラグインの管理が可能です。

・ファイル

　ファイルをアップロードしてプロンプトのコンテキストを提供することが可能です。

　対応している拡張子：docx、pdf、txt、md

　サイズ制限：20MB

　ファイル数制限：全セッションで最大20個まで

（４）ハンバーガーメニュー

プロンプトライブラリやアクセス制限、環境設定ができます。

①マイセッション

・すべて、最近のセッションをフィルタ表示

・セッションの削除

・新しいセッションの作成

・セッションの最終更新日

・セッションの作成日

②プロンプトライブラリ

・すべて、ユーザー、テナント、Microsoftが作成したプロンプトをフィルタ表示

・プロンプト名と説明

・インプット元

・使用しているプラグイン

・タグ

・プロンプトの数

・所有者

③所有者設定

・Azureリソースのリンク

・SCUの数

　[変更]を押下するとSCUの数を増減することができます

　[使用状況を見る]を押下すると後述する[使用状況の監視]画面に遷移します

・Security Copilot用のプラグイン

　プラグインを追加もしくは管理できる権限を設定します

・ファイル

　ファイルをアップロードできる権限を設定します

④ロールの割り当て

・メンバーの追加

・所有者

　Entraロールであるグローバル管理者とセキュリティ管理者は自動的に割り当てられます

・共同作成者

　すべてのユーザーが自動的に割り当てられます

⑤使用状況の監視

・プロビジョニングしたSCUの数

・１時間ごとの使用量

使用量が上限に達した場合、すぐに追加のSCUを購入することができ、スケーラブルでユーザーフレンドリーなエクスペリエンスとなっています。

■組み込み型

（１）Microsoft Defenderポータル

①[調査と対応] > [インシデントとアラート] > [インシデント]を順に押下します。

②インシデントを一つ押下してインシデントページを開きます。

インシデントページを開くと、「インシデントの概要」と「ガイド付き応答」が自動生成されます。

・インシデントの概要

　初期アクセスから流出までのインシデントの流れが説明されています。

・ガイド付き応答

　インシデントのトリアージや封じ込め、調査、修復をサポートするアクションが推奨表示されています。

他に要約できるものとして、アラート、デバイス、ユーザーID、スクリプトに対するCopilotの要約も可能です。

アラートのプロセスツリーにあるスクリプトを押下します。

インシデントの[証拠と対応]ページにある[ファイル]の要約も可能です。

また、応用にはなりますが、Copilotで要約した内容をスタンドアロンエクスペリエンスで開くことにより、自然言語プロンプトやその他のプラグインを使用して、Security Copilotで調査を拡張することが可能です。

■まとめ

スタンドアロン型、組み込み型はそれぞれ異なった役割がありますが、横断して使用することでSecurity Copilotの実力が発揮されると思います。