Copilot for Securityでの調査:Intune編

皆さんこんにちは。国井です。
今日は連投です。2024年4月1日から提供開始となったCopilot for Securityについて。Copilot for SecurityはMicrosoft Defender XDRやEntra ID, Intuneなど、いわゆるMicrosoft 365セキュリティ系の様々なサービスに対する生成AIの機能を提供してくれるSaaS型サービスです。ただ、インスタンスを作成するとお金の熔けるスピードが尋常じゃないので、さっさと検証して備忘録を残しておこうと思い、このポストを書いています。
インスタンスの作り方とかはこちらで詳しく紹介してくれているので、ここではちょうど私がトラブっていたIntuneでの活用について見てみたいと思います。

組み込み型Copilotから調査を開始

Copilot for Securityには組み込み型とスタンドアロン型の2種類があり、組み込み型は従来の管理センター画面内にあるCopilotボタンを押してスタートできるタイプのものです。
例えばIntuneであれば、Intuneで調べ物をしたいときにすぐ近くにあるボタンを押せば、直感的に使い始められるって感じです。

image

Intuneだと設定項目が何を意味しているのか分からないときって今までだとツールチップ(丸印に i のマークのアイコン)をクリックして今にも消えてしまいそうな説明を頑張って読みますが、そんなことをしなくてもより詳細な説明を画面右側に表示してくれます。
ここからが本題なのですが、Intuneでは既に作成した構成プロファイルに対してCopilotで問い合わせることができます。
ここにある画面では構成プロファイルの設定に失敗したことを表す画面がありますが、

image

この場合、[Copilotに集計する]をクリックしてエラーの原因を調べていくことができます。
実行した結果がこちら。

image

Oh.. まさかの英語です。
MDEなどの他のサービスでもそうなのですが、ローカライズが当面の課題のようです。
ちなみに英語はDeepLに翻訳させたら、こんな感じのことが書いてありました。

提供された情報によると、Intune ポリシー「CIS Benchmarks 2.3.11」にはいくつかの設定があります。以下に詳細を示します:

OMA-URI 設定値
2.3.11.1 1
2.3.11.2 0
2.3.11.3 1
2.3.11.4 5
2.3.11.5 537395200
このポリシーは “All Devices” グループに割り当てられています。このポリシーから除外されるグループはありません。

設定の値は、セキュリティ上の理由から暗号化されていることに注意してください。実際の値はあなたの環境では異なるかもしれません。実際の値は Intune コンソールで確認することをお勧めします。

リスク分析と競合分析については、今回は要求されていません。このポリシーに関連する潜在的なリスクや競合についてより詳細な情報が必要な場合は、次のリクエストで指定してください。

うーん。わからん。
ちなみに関連した質問項目は画面下のところにリンクで出てくるので押して追加の質問をすることもできます。大した結果を知ることはできなかったけど。

スタンドアロン型で調査

次はスタンドアロン型で調査をしてみましょう。スタンドアロン型とは独立したWebページが用意されたCopilot for Securityで、Chat GPTのような使い勝手で問い合わせることができます。URLは https://securitycopilot.microsoft.com/ です。
聞いてみた結果はこちら。

image

image

OMA-URIで設定した内容とその設定の影響について解説し、さらにどのポリシーと競合が発生するかについてまで解説してくれています。(OMA-URIの設定について個別に問い合わせたければ、プロンプト画面で個別に聞いても良いと思います)
ただ、それは私の知りたい答じゃないんだよな。
よし、こうなったらダイレクトに聞いちゃえ!

image

image

今度は選択肢を示してくれました。障害の切り分けをするのに役立ちそうです。
私がCopilot for Securityを利用したのはここまでなのですが、ここまで使って思うことは「ヒントはくれた気がするけど、答えにはたどり着かないなあ」と感じです。それを嘆く声もあるかもしれないですが、そのあたりがAutopilotではなくCopilotとネーミングされている理由なのだと思います。いうなればシャーロックホームズのアシスタント、ドクターワトソンって感じでしょうか。
課金の状況についてはCopilot for Securityに紐づけたAzureサブスクリプションで確認できます。
それによると、ここまでで発生したコストは
・調査時間:60分(途中で業務の割り込みが入りながら調査でしたが)
・コスト:1000円程度
という感じでした。

image

時給1000円でこの程度のことをしてくれると思ったら私は決して高くないと思います。
ただCopilot for Securityって使ってなくても課金は発生するので、利用頻度なども採用の可否につながってくるように思いました。
あと、これは次回以降に書こうと思っているのですが、私がCopilot for Securityで一番有益だと思っているのはMDE分野です。MDEって機能を知ってるレベルと実際の運用ができるレベルには相当なギャップがあるので、そこを埋めてくれるのに役立つからです。
ですので、そのあたりでの使用頻度も踏まえて考えてみると、より現実的になってくるかと思います。

【おまけ】プロンプトブック

プロンプトブックはスタンドアロン型で利用可能な想定問答集のようなもので、
問い合わせをするときに利用可能な問い合わせのひな型を提供してくれます。
これを使ってIntuneの問い合わせをしようと思ったのですが、現時点ではIntune用プロンプトブックはありませんでした。
こちらも数が多くないので今後に期待なのと、プロンプトブック自体は自作可能っぽい(マイブックというカテゴリはあるけど MS Learnに作り方とかは書いてなかった)ので、このあたりを使って問い合わせ方の工夫とかを試行錯誤し、社内でプロンプトブックとして共有していく形でノウハウをためていくと良いのでは?と思いました。

image