# 概要

> **SCU コスト見積もり**&#x20;
>
> このエージェントは通常、 **0,2～3 SCU** インシデントの複雑さ、関与するエンティティ数、および脅威インテリジェンス強化の深さに応じた、インシデントごとの分析。

### はじめに

Forensic Agent Core は、インシデントを自動で分析するエージェントです。Defender XDR のインシデントを見て「断片的なアラートではなく、全体像がほしい」と思ったことがあるなら、このエージェントはあなたのためのものです。インシデント ID を受け取り、関連するすべての情報を集約し、脅威インテリジェンスで強化し、分単位のタイムラインを作成し、通常なら数時間かかる手動調査に相当する包括的なフォレンジック レポートを提供します。

<figure><img src="/files/941f9266e94dac7c3bb3984713258fe2c951626f" alt=""><figcaption></figcaption></figure>

<div><figure><img src="/files/cc1708c52d71ac9a6c4236d05f6145c4615bcd66" alt=""><figcaption></figcaption></figure> <figure><img src="/files/e22185edbff683cb840535580360dc71981104ff" alt=""><figcaption></figcaption></figure> <figure><img src="/files/abd22620c5de13ccd4dbea30b26b4ec0b4f987ee" alt=""><figcaption></figcaption></figure></div>

### 機能

* **インシデントのタイムラインを再構築します** 断片的なアラートやイベントから分単位で
* **エンティティを抽出してマッピングします** （デバイス、ユーザー、IP、ドメイン、ファイル、ハッシュ）とそれらの関係
* **脅威インテリジェンスで強化します** 複数のソース（Shodan、SSL 証明書、WHOIS、CIRCL、レピュテーション サービス）を使用して
* **デバイスのセキュリティ態勢を分析します** 脆弱性、ソフトウェア、構成を表示し
* **ID のアクティビティを追跡します** リスク イベントと認証パターンを用いて
* **アナリストのコメントを相関付けます** 調査の文脈を提供するために
* **インシデントを分類します** True Positive、False Positive、または悪意のスコアリングに基づいてエスカレーションが必要かどうかとして
* **修復を推奨します** 優先順位付けされた実行可能な手順とともに
* **標準化されたレポートを生成します** 引き継ぎ、監査、またはエスカレーションの準備が整った状態で

### ユース ケース

#### 1. インシデントのトリアージと初期評価

新しい高重大度のインシデントが発生し、何が起きたのかをすばやく理解する必要があります。Forensic Agent Core はインシデントを分析し、タイムラインを作成し、主要なエンティティを特定し、信頼度スコア付きで分類（True/False Positive）を提供します。文脈の収集に 30～60 分費やす代わりに、数分で全体像を把握できます。

#### 2. 経営層向けインシデント レポートの準備

経営層がセキュリティ インシデントの明確な説明を求めています。エージェントは、エグゼクティブ サマリー、タイムライン、エンティティ マップ、脅威インテリジェンスの調査結果、修復の推奨事項を含む包括的なフォレンジック レポートを生成します。すべて標準化され、そのまま提示できるため、手作業でレポートを書く必要はありません。

#### 3. 脅威インテリジェンスの強化

インシデントに外部の IP やドメインが含まれていますが、それらが悪意のあるものかどうかは分かりません。Forensic Agent Core は、すべてのインジケーターをオープンソースおよび商用の脅威インテリジェンス（Shodan のポート スキャン、SSL 証明書分析、WHOIS データ、マルウェアとの関連、レピュテーション スコア）で強化します。実際に重要な点を浮き彫りにする、精選されたインテリジェンスを得られます。

#### 4. 深掘りフォレンジック分析

重大なインシデントでは、対応前に詳細な調査が必要です。エージェントは高度なハンティング クエリを実行し、関連するすべてのエンティティを抽出し、デバイスと ID の態勢を分析し、イベントを正確なタイムラインに相関付け、何が、いつ、どのように起きたのかについてフォレンジック レベルの詳細を提供します。手作業での相関作業に何時間も費やす必要はありません。

#### 5. SOC チームへの引き継ぎとエスカレーション

インシデントを Tier 2 または外部のフォレンジック チームにエスカレーションする必要があります。エージェントの標準化されたレポートは、完全な文脈、タイムライン、エンティティの関係、脅威インテリジェンス、初期分析を提供します。受け取ったチームは、確認や再調査を求めることなく、すぐに対応を開始できます。

### なぜ Forensic Agent Core なのか？

| あなたが直面している問題                                                  | これがどう役立つか                                         |
| ------------------------------------------------------------- | ------------------------------------------------- |
| **あちこちに分散したアラート**： インシデントには多数のアラートがあり、関連性が不明                  | **完全なタイムライン**： イベントのつながりを示す分単位の再構築                |
| **不足している文脈**： アラートは何が起きたかは示しても、なぜ起きたのか、何を意味するのかは示さない          | **エンティティ マッピング**： デバイス、ユーザー、IP、ドメイン、およびそれらの関係の全体像 |
| **脅威インテリジェンスの手動検索**： 複数のツールにインジケーターをコピーするのは非常に手間がかかる          | **自動強化**： すべてのインジケーターを複数のソースからの精選されたインテリジェンスで強化   |
| **デバイスと ID のデータが分断されている**： ユーザーのアクティビティがデバイス イベントにどう関係するか見えない | **統合分析**： デバイスの態勢と ID のアクティビティを 1 つのビューで相関        |
| **レポート作成の時間的制約**： 経営層は詳細な分析を求めているが、手元には 30 分しかない              | **すぐ使えるレポート**： 包括的なフォレンジック レポートが自動生成される           |
| **ノイズの多いインテリジェンス フィード**： 情報が多すぎて、何が本当に重要か分からない                | **精選された調査結果**： エージェントが重要な点を強調し、ノイズを除外             |

### 仕組み

**入力内容：**

* Microsoft Defender XDR のインシデント ID
* 関連するアラート、エンティティ、証拠
* アナリストのコメントと調査メモ
* デバイスおよびユーザーのアクティビティ データ
* 脅威インテリジェンス フィード（Shodan、CIRCL、レピュテーション サービス）

**動作内容：**

* すべてのアラートとエンティティを含む完全なインシデント データを取得します
* 関連アクティビティを見つけるために高度なハンティング クエリを実行します
* すべてのエンティティ（デバイス、ユーザー、IP、ドメイン、ファイル、ハッシュ）を抽出します
* エンティティの関係マップを作成します
* イベントから分単位のタイムラインを再構築します
* 外部インジケーターを脅威インテリジェンスで強化します
* デバイスのセキュリティ態勢（脆弱性、ソフトウェア、構成）を分析します
* ID のアクティビティとリスク イベントを追跡します
* アナリストのコメントをタイムラインと相関付けます
* 悪意のスコアリングでインシデントを分類します
* 優先順位付きの是正推奨を生成

**出力内容：**

* 主要な調査結果と分類を含むエグゼクティブ サマリー
* インシデント進行の分単位タイムライン
* 関係性付きのエンティティ一覧（誰が、何を、どこで、いつ）
* デバイスのセキュリティ態勢の要約（脆弱性、ソフトウェア、セキュリティ制御）
* ID アクティビティの要約（認証、リスク イベント、行動）
* 脅威インテリジェンスの調査結果：
  * 開いているポート/サービス/脆弱性（Shodan）
  * SSL 証明書のメタデータと検証
  * WHOIS 登録データ
  * マルウェアとの関連とファイル レピュテーション（CIRCL）
  * IP/ドメインのレピュテーション スコア
* インシデント分類（True Positive、False Positive、Escalate）
* 悪意のある意図の信頼度スコア
* 具体的なアクションを含む優先順位付き修復推奨事項


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://agents.glueckkanja.com/jp/agents/forensic-agent-core/overview.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.