hisashin0728/SecurityCopilot-ThreatHuntingAgentPromptSamples

# Security Copilot Threat Hunting Agent サンプルプロンプト集 (50選) ## カテゴリー 1: ID・認証セキュリティ (Entra ID) ### 1. 不審なサインイン失敗の検出 過去7日間で、同一ユーザーに対して10回以上のサインイン失敗が発生しているアカウントを、失敗回数の多い順に表示してください。 ### 2. 不可能な移動 (Impossible Travel) の検出 過去14日間で、同一ユーザーが物理的に移動不可能な距離から短時間にサインインしたケースを特定してください。異なる国からのサインインを対象とします。 ### 3. レガシー認証プロトコルの使用状況 過去30日間にレガシー認証プロトコル (IMAP、POP3、SMTP Auth) を使用してサインインしたユーザーとアプリケーションの一覧を表示してください。 ### 4. MFA なしのサインイン検出 過去7日間で、多要素認証 (MFA) を使用せずにサインインに成功したユーザーの一覧を、サインイン回数付きで表示してください。 ### 5. 条件付きアクセスポリシーの失敗 過去14日間で条件付きアクセスポリシーによってブロックされたサインイン試行を、ポリシー名とユーザー別に集計して表示してください。 ## カテゴリー 2: 特権アクセス・管理者監視 ### 6. 管理者ロールの変更追跡 過去30日間にグローバル管理者、セキュリティ管理者、Exchange管理者のロールが付与または削除されたイベントをすべて表示してください。変更を行ったユーザーも含めてください。 ### 7. 管理者アカウントの異常サインイン 今週、管理者アカウントに対して失敗したすべてのサインイン試行を、IPアドレス、国/地域、失敗理由と共に表示してください。 ### 8. サービスプリンシパルの不審な活動 過去14日間に新しく作成されたサービスプリンシパル (アプリ登録) と、それらに付与された権限の一覧を表示してください。高権限のものを優先してください。 ### 9. 特権アカウントの深夜・休日アクセス 過去30日間に管理者ロールを持つアカウントが、営業時間外 (22:00-06:00) または週末にサインインした記録を表示してください。 ### 10. ゲストユーザーの権限昇格 過去30日間にゲストユーザー (外部ユーザー) に対してディレクトリロールまたはグループメンバーシップが追加されたイベントを表示してください。 ## カテゴリー 3: エンドポイント脅威ハンティング (Defender for Endpoint) ### 11. 不審なプロセス実行チェーン 過去7日間で、cmd.exe または powershell.exe が子プロセスとして不審な実行ファイル (certutil, bitsadmin, mshta, regsvr32, rundll32) を起動したイベントを表示してください。 ### 12. Living-off-the-Land バイナリ (LOLBins) の検出 過去14日間に LOLBins (certutil, mshta, regsvr32, rundll32, wmic, msbuild, installutil) が実行されたデバイスとコマンドラインを表示してください。 ### 13. ランサムウェアの兆候検出 過去3日間に短時間で大量のファイル名変更や拡張子の変更が発生したデバイスを特定してください。ランサムウェアの暗号化活動の可能性を調査します。 ### 14. 永続化メカニズムの検出 過去7日間にレジストリの Run/RunOnce キー、スケジュールタスク、またはスタートアップフォルダへの変更が行われたイベントをデバイス別に表示してください。 ### 15. 資格情報ダンプの兆候 過去7日間で、LSASS プロセスへのアクセスが検出されたイベント、または Mimikatz に関連するプロセス名やコマンドラインパターンを表示してください。 ## カテゴリー 4: メールセキュリティ (Defender for Office 365) ### 16. フィッシングメールの傾向分析 過去30日間にフィッシングとして検出されたメールの日別の件数推移を表示してください。送信元ドメインの上位10件も含めてください。 ### 17. 大量メール送信者の検出 過去30日間に100件を超えるメールを送信したユーザーの一覧を、送信数の多い順に表示してください。 ### 18. 不審な添付ファイルの検出 過去14日間に実行可能ファイル (.exe, .dll, .scr, .bat, .ps1, .vbs, .js) が添付されたメールを受信したユーザーと送信者の一覧を表示してください。 ### 19. メール転送ルールの悪用検出 過去30日間に外部ドメインへのメール転送ルールが作成または変更されたイベントを、ユーザーと転送先アドレス付きで表示してください。 ### 20. URL クリック後のマルウェア検出 過去14日間にメール内のURLをクリックした後、同一デバイスでマルウェアアラートが発生したケースを時系列で表示してください。 ## カテゴリー 5: ネットワーク・通信分析 ### 21. 外部 C2 通信の兆候 過去7日間に既知の不審なIPアドレスまたはドメインと通信したデバイスを特定してください。脅威インテリジェンスでフラグされたインジケーターとの一致を確認します。 ### 22. 特定国への異常通信 過去24時間にフランス、ロシア、中国、北朝鮮のIPアドレスと通信したデバイスの一覧を、通信先IPと通信量付きで表示してください。 ### 23. DNS トンネリングの兆候 過去7日間に異常に長いDNSクエリ名 (50文字以上) や、単一ドメインへの大量DNSリクエスト (1000回以上) が発生したデバイスを表示してください。 ### 24. 非標準ポートの外部通信 過去7日間に非標準ポート (80, 443, 53, 25 以外) で外部IPアドレスへの接続を確立したデバイスとプロセスの一覧を表示してください。 ### 25. TOR ネットワークの使用検出 過去30日間に TOR の出口ノードまたは TOR 関連のプロセスが検出されたデバイスを表示してください。 ## カテゴリー 6: インシデント・アラート調査 ### 26. 重大度別アラートのサマリー 過去7日間のアラートを重大度 (High, Medium, Low) 別に集計し、カテゴリーごとの件数と共に表示してください。 ### 27. 未解決インシデントの優先順位付け 現在オープンステータスのインシデントを重大度の高い順に表示し、関連するアラート数と影響を受けたデバイス・ユーザー数を含めてください。 ### 28. 特定デバイスのタイムライン調査 過去48時間に高重大度アラートが発生したデバイスについて、そのデバイスのプロセス実行、ネットワーク接続、ファイル作成のタイムラインを時系列で表示してください。 ### 29. 横展開 (Lateral Movement) の検出 過去7日間に同一アカウントが複数の異なるデバイスにリモートでログオンしたケースを特定してください。特に短時間で3台以上のデバイスにアクセスしたものを優先します。 ### 30. アラートと MITRE ATT&CK のマッピング 過去14日間のアラートを MITRE ATT&CK のテクニック別に分類し、最も多く検出されたテクニックの上位10件を表示してください。 ## カテゴリー 7: データ流出・情報漏洩 ### 31. 大容量ファイルのアップロード検出 過去7日間に外部のクラウドストレージサービス (Dropbox, Google Drive, OneDrive Personal, Box) へ大容量ファイル (50MB以上) をアップロードしたイベントを表示してください。 ### 32. USB デバイスへのデータコピー 過去14日間にUSBリムーバブルデバイスが接続され、ファイルがコピーされたイベントをデバイスとユーザー別に表示してください。 ### 33. 機密ファイルへの異常アクセス 過去7日間に通常アクセスしないユーザーが機密ラベル付きのファイルにアクセスしたイベントを表示してください。 ### 34. 大量データのダウンロード 過去7日間にSharePointまたはOneDriveから1日に50ファイル以上をダウンロードしたユーザーを特定してください。 ### 35. 印刷操作の異常検出 過去14日間に通常と比較して大量の印刷ジョブを実行したユーザーを表示してください。 ## カテゴリー 8: 脅威インテリジェンス・IOC 調査 ### 36. 特定 IP アドレスの調査 IPアドレス 203.0.113.50 に関連するすべてのアクティビティを過去30日間で調査してください。通信したデバイス、ユーザー、関連アラートを含めてください。 ### 37. 特定ドメインの影響範囲調査 ドメイン "suspicious-example.com" にアクセスしたすべてのデバイスとユーザーを過去30日間で特定し、アクセス日時と通信量を表示してください。 ### 38. ファイルハッシュの組織内影響 SHA256ハッシュ値で特定されるファイルが組織内のどのデバイスに存在するか、過去30日間のデータで調査してください。ファイルが実行された場合はその詳細も表示してください。 ### 39. 新しい脅威インジケーターとの突合 過去7日間に脅威インテリジェンスフィードで新しくフラグされたインジケーター (IP, ドメイン, ファイルハッシュ) と組織内の通信ログを突合し、一致するものを表示してください。 ### 40. 脆弱性の悪用試行 過去14日間に既知の脆弱性 (CVE) を悪用した攻撃の兆候が検出されたデバイスとアラートを、CVE番号と共に表示してください。 ## カテゴリー 9: 可視化・トレンド分析 ### 41. セキュリティイベントの日次トレンド 過去30日間のセキュリティアラートの日別推移を、重大度ごとに色分けしたグラフで表示してください。 ### 42. 攻撃元の地理的分布 過去30日間にブロックされた攻撃の送信元IPアドレスを国別に集計し、上位20か国を円グラフで表示してください。 ### 43. デバイスのリスクスコア分布 現在のデバイスのリスクレベル (High, Medium, Low, Informational) の分布を円グラフで表示し、高リスクデバイスの具体的な一覧も含めてください。 ### 44. サインインアクティビティのヒートマップ 過去14日間の全サインインイベントを曜日×時間帯別に集計して表示してください。異常な時間帯のアクティビティを識別しやすくしてください。 ### 45. アラートカテゴリーの比率分析 過去30日間のアラートを検出ソース (Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps) 別に集計し、各ソースの比率を円グラフで表示してください。 ## カテゴリー 10: コンプライアンス・監査 ### 46. 非準拠デバイスの一覧 過去7日間にオンボードされているが最新のセキュリティ更新プログラムが適用されていないデバイス、またはウイルス対策の定義が古いデバイスの一覧を表示してください。 ### 47. 管理者操作の監査ログ 過去30日間に管理者が実行した設定変更操作 (ポリシー変更、ルール作成・削除、ユーザー管理) を時系列で表示してください。 ### 48. 退職者アカウントのアクティビティ 過去30日間に無効化されたアカウントまたは削除されたアカウントに関連するサインイン試行やアクティビティを表示してください。 ### 49. 同意付与 (OAuth アプリ) の監査 過去30日間にユーザーまたは管理者が OAuth アプリケーションに同意を付与したイベントを、アプリ名・要求された権限・同意したユーザー付きで表示してください。高権限の同意を優先してください。 ### 50. パスワードリセットとアカウントロックアウト 過去14日間に発生したパスワードリセット (セルフサービスおよび管理者による) とアカウントロックアウトのイベントを、ユーザーと発生日時付きで表示してください。大量発生している場合はフラグしてください。 ## 使い方のヒント ### フォローアップの活用 エージェントの回答後、以下のようなフォローアップが効果的です： - 「この結果をユーザー別にグループ化してください」 - 「上位5件のデバイスの詳細なタイムラインを見せてください」 - 「この期間を過去60日間に拡張してください」 - 「結果を CSV でエクスポートできるようにしてください」 - 「このクエリを検出ルールとして保存したい」 ### グラフ表示の指定 可視化を依頼する場合、以下のキーワードが有効です： - `円グラフで表示` → 比率・分布の可視化 - `日別推移を表示` → タイムラインチャート - `棒グラフで表示` → カテゴリー比較 - `上位N件をグラフで` → ランキング可視化 ### 効果的なプロンプトのコツ 1. **期間を明示する** — 「過去7日間」「今週」「過去30日間」など 2. **具体的な条件を含める** — 回数、サイズ、国名などの閾値 3. **表示したい列を指定する** — 「ユーザー名、IPアドレス、日時を含めて」 4. **コンテキストを維持する** — フォローアップで前の結果を深掘り 5. **アクションにつなげる** — 「推奨される修復アクションも提示してください」