重要
Microsoft Agent 365 の早期アクセスを利用するには、フロンティア プレビュープログラムに参加する必要があります。 フロンティアは、Microsoft の最新の AI イノベーションと直接接続します。 Frontier のプレビューは、お客様の契約書に記載されている既存のプレビュー利用規約に従います。 これらの機能は現在開発中であるため、提供状況や機能は今後変更される可能性があります。
Microsoft Defenderを使用してエージェントを監視する方法について説明します。
重要
この機能は段階的に展開されており、間もなく完了する見込みです。
Microsoft Defender
エージェント 365 は、すべてのエージェント アクティビティでMicrosoft Defenderの包括的な監視機能を提供し、セキュリティ チームが一元的な場所から動作を監視および追跡できるようにします。 この可視性は、プロアクティブな脅威の検出と対応をサポートします。
主要な機能
集中監視: 統合ビューで Defender のすべてのエージェント活動を追跡します。
すぐに使用できる脅威検出: リスクの高いエージェントの活動やユーザー対話に関するアラートを提供します。
プロアクティブな脅威ハンティング: セキュリティ アナリストは、Defender の詳細なクエリ ベースのハンティング機能を使用して、疑わしいパターンや異常をプロアクティブに特定できます。 詳細については、「Microsoft Defender で高度なハンティングを使用して脅威を検出する」を参照してください。
前提条件
監査ログが設定されていることを確認してください。 詳細については、監査のオンまたはオフ を参照してください。
Microsoft 365コネクタがMicrosoft Defenderで正しく設定されていることを確認します。 詳細については、「Get started - Microsoft Defender for Cloud Apps」を参照してください。
Defender で管理者アクセスを構成します。 詳細については、「管理者アクセスの構成 - Microsoft Defender for Cloud Apps」を参照してください。
サポートされているエージェントの種類。
注意
コネクタが設定されると、リスクの高いエージェント活動が発生したときにアラートが自動的にトリガーされます。 Microsoft Defenderでインシデントを調査する方法の詳細については、「Microsoft Defender ポータルでインシデントをinvestigate するを参照してください。
Microsoft Defenderで高度なハンティングを使用する方法
Microsoft Defender ポータルを開きます。
- Microsoft Defender XDR に移動します。
- 適切な認証情報でサインインし、必要なロールベースのアクセス権があることを確認します。 たとえば、セキュリティ管理者以上である必要があります。
左側のナビゲーション ウィンドウで ハンティング を選択して、詳細なハンティング ページを開きます。
スキーマを確認します。
- スキーマ タブを使用して、使用可能なテーブル (CloudAppEvents テーブルなど) を表示します。
- テーブル名の横にある縦の省略記号を選択すると、スキーマの詳細、サンプル データ、保持情報が表示されます。
クエリ エディターを使用して、Kusto 照会言語 (KQL) クエリで書き込みまたは貼り付けを行います。
例:
CloudAppEvents | where ActionType in ("InvokeAgent", "InferenceCall", "ExecuteToolBySDK", "ExecuteToolByGateway", "ExecuteToolByMCPServer")結果をレビューします。
- 結果はテーブル形式で表示されます。
- 結果をエクスポートするか、それらを使用してカスタム検出ルールを作成します。
Defender には、既知の脅威と危険な動作にフラグを設定する、一連のすぐに使用できる検出ルールが含まれており、手動構成なしでリアルタイムの保護を可能にします。 これらの機能により、組織はサイバー脅威に迅速に対応し、エージェントが関与するリスクの高い活動から保護された状態を維持できます。