お問い合わせ

資料ダウンロード

生成AIセキュリティ

SentinelOne Purple AIの進化:自動トリアージと自動調査でEDR運用を省力化

SentinelOneの生成AI機能「Purple AI」は、アラートの優先順位付けや調査を支援するAIアナリストへと進化しています。
本記事では、「自動トリアージ」と「自動調査」に焦点を当て、その運用メリットをわかりやすくご紹介します。

Purple AIについて

以前のブログでは、SentinelOneが提供する生成AI機能「Purple AI」について、自然言語でクエリを作成し、ログの要約やフォローアップ質問の提示、ノートブックへの保存などを行うAIアシスタントとしてご紹介しました。Purple AI概要についての記事はこちら

近年、SentinelOneはPurple AIを、単なるチャットインターフェースではなく、熟練アナリストの思考や調査フローを模したエージェント型AIへと進化させています。

実際のセキュリティ運用では、

「アラートの山の中から何を優先すべきか」

「どの順番で調査を進めるべきか」

といったプロセスそのものが大きな負荷になります。

本記事では、その中でも、アラートの重要度をAIが自動で見極める「自動トリアージ」と、優先度の高いアラートについてAIが人間のアナリストと同じような手順で調査を進める「自動調査」にフォーカスし、これらの機能がどのような運用課題を解消し、EDR/XDR運用の手間をどこまで減らせるのかを整理してご紹介します。

セキュリティ運用の課題

多くの情シスやSOCでは、次のような悩みを抱えています。

  • 毎日大量のアラートが発生し、一次仕分けだけで時間が消費される
  • 調査の進め方が担当者ごとに異なり、結果の品質やスピードにばらつきが出る
  • クエリ作成やログ分析のノウハウが一部メンバーに集中している

EDR/XDRの導入によって検知範囲は広がりましたが、すべてのアラートを同じ重みで確認していては、人手が追いつきません。

そこで重要になるのが、「まず確認すべきアラートを絞り込むこと」と、「ある程度定型化された調査の流れに沿って対応すること」です。

自動トリアージ(Auto-Triage)

AIがアラートの見る順番を決める

自動トリアージは、発生したアラートをPurple AIが評価し、どれから確認すべきかを自動で優先順位付けする機能です。

  • 過去の類似アラートとの近さ(AI Similarity Analysis)
  • グローバルなコミュニティインテリジェンスや専門家の判断

これらの情報をもとに、

「よくある事象なのか」

「新しい脅威の可能性があるのか」

「真陽性である可能性はどの程度か」

を推定し、優先度の高いものからリストアップします。

アナリストの視点で見ると、コンソールを開いた時点で、すでにAIが並べ替えたアラート一覧が用意されているようなイメージです。

これまで人が1件ずつ概要を開いて判断していた一次トリアージをPurple AIが肩代わりすることで、最初から重要度の高いアラートに集中できるようになります。

この結果、

  • 一次トリアージにかかる時間の削減
  • 担当者によらない、ある程度一貫した優先度付け
  • アラート疲れ(アラート・ファティーグ)の軽減

が期待できます。最終的な判断は人が行う必要がありますが、ゼロからすべてのアラートを人手で確認する状態から抜け出せるだけでも、運用負荷は大きく変わります。

自動トリアージの画面キャプチャ

UI上では、選択したアラートについて、どの程度本物の脅威である可能性が高いかを示すスコア(Community Verdict)や、同様のアラートがコミュニティ全体でどの程度発生しているかが表示されます(画面キャプチャ右側)。

自動調査(Auto-Investigations)

優先度の高いアラートに対する調査手順を、AIがたどる

自動トリアージによって、まず確認すべきアラートが絞り込まれた後は、その内容をどこまで掘り下げるかが重要になります。

自動調査は、この段階でPurple AIが人間のSOCアナリストのように関連情報を収集し、状況を整理してくれる機能です。

たとえば、「通常とは異なる場所からのログイン」というアラートが出た場合、Purple AIは次のような流れで調査を進めます。

  • 当該ユーザーにひもづく端末や直近の活動状況を確認

  • ネットワーク通信から、リモートアクセスツールの有無や利用状況を確認

  • 類似の挙動が他の端末やユーザーにも広がっていないかを確認

  • 集めた証跡をもとに、侵害の有無や影響範囲を評価し、推奨アクションを提示

本来であれば、アナリストが複数の画面やツールを行き来しながら進める作業を、Purple AIがあらかじめ用意された型に沿って自動で実行してくれるイメージです。

自動調査の結果は、ノートブック形式で確認できます。

下の画面では、対象アラートについてPurple AIが実行した調査内容が時系列で記録されています。関連データを取得するためのクエリや、「このユーザーに関連する端末を調べる」といったステップごとに、見つかった端末の台数や、共有端末ではなく個人利用の端末に注目した理由などが文章で残されます。

AIが裏側で自動的に調査するだけでなく、「何を調べて、どう判断したのか」がノートとして可視化されることで、調査の証跡が残り、説明もしやすくなります。

自動調査の画面キャプチャ

これにより、「最低限ここまでは調べる」というラインをAIが担保し、さらに調査の経緯が自動で残るため、後からのレビューや監査も行いやすくなります。

結果として、インシデント対応の品質とスピードの底上げが期待できます。

まとめ

AIアナリストでEDR運用を省力化

Purple AIは、自然言語クエリや要約機能に加え、

  • 自動トリアージで、アラートの見るべき順番をAIが提案
  • 自動調査で、優先アラートに対する調査の型をAIが実行し、結果を整理

することで、EDR運用の中でも特に負荷の高い「一次仕分け」と「調査プロセス」を支援する存在へと進化しています。

その結果、

  • 一次トリアージにかかる時間
  • 調査プロセスの属人化
  • 報告書作成やナレッジ共有の手間

を抑えつつ、限られたリソースでもセキュリティレベルを維持しやすくなることが期待できます。

ご興味がございましたら、お気軽にお問い合わせください。

Iida

この記事の投稿者Iida

WiFi製品 プリセールスエンジニア

この記事をシェア

  • X(旧twitter)
  • facebook

この記事に関連する製品・サービス

SentinelOne | SentinelOne Endpoint Protection Platform

この記事に関連する記事

SentinelOneにおける生成AIの活用

お問い合わせ

資料ダウンロード