論文の概要: GenAI-Driven Threat Detection with Microsoft Security Copilot

• arxiv url: http://arxiv.org/abs/2605.20896v2
• Date: Fri, 22 May 2026 09:00:59 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-25 14:44:53.707469
• Title: GenAI-Driven Threat Detection with Microsoft Security Copilot
• Title（参考訳）: Microsoft Security CopilotによるGenAI駆動型脅威検出
• Authors: Scott Freitas, Amir Gharib,
• Abstract要約: 我々は、常時オン適応エージェントであるDynamic Threat Detection Agent (DTDA)を導入する。 Microsoft Defenderのセキュリティインシデントを継続的に調査し、隠れた脅威を明らかにする。 DTDAは、アタック・ストーリーのギャップが見つかったときに説明可能な検出を生成する。
• 参考スコア（独自算出の注目度）: 2.351111202908648
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Defending against today's increasingly sophisticated cyberattacks requires security analysts to continuously translate evolving attacker tradecraft into detection logic. This places defenders in a reactive posture, requiring constantly updated expertise across an increasingly fragmented security landscape. We introduce the Dynamic Threat Detection Agent (DTDA), an always-on adaptive agent that continuously investigates security incidents across Microsoft Defender to uncover hidden threats and generate explainable detections when attack-story gaps are found. DTDA combines: (1) a unified activity timeline spanning alerts, events, user and entity behavior analytics, and threat intelligence; (2) versioned LLM prompt contracts with schema validation, grounding requirements, bounded retries, and fail-closed suppression; (3) a planner-executor investigation loop that generates attack-specific hypotheses and gathers supporting and refuting evidence; and (4) dynamic alert generation with a context-relevant title, severity, MITRE mappings, remediation guidance, implicated entities, and natural-language attack description. Integrated into Microsoft Security Copilot and deployed across tens of thousands of Defender customers, DTDA operates continuously at industry scale. In a 120-day online evaluation, DTDA achieves 80.1% precision from customer feedback while generating novel alerts for approximately 15% of investigated incidents. In offline evaluation, DTDA recovers hidden malicious activity with 0.78 F1 using GPT-5.4, improving over GPT-4.1 by 0.12 F1 and outperforming the baseline by 0.26 F1 points. Operationally, DTDA processes single-incident investigations end-to-end in a median of 28 minutes at a median token cost of USD 2.04, with a 0.38% job-level failure rate. These results demonstrate that autonomous agents can identify missed malicious activity at a production scale.
• Abstract（参考訳）: 今日の高度なサイバー攻撃に対する防御のためには、セキュリティアナリストは進化する攻撃的取引を継続的に検出ロジックに翻訳する必要がある。 これによりディフェンダーはリアクティブな姿勢に置かれ、フラグメンテーションするセキュリティの状況に対して、常に専門知識を更新する必要がある。 我々は、常にオンの適応エージェントであるDynamic Threat Detection Agent (DTDA)を導入し、Microsoft Defenderのセキュリティインシデントを継続的に調査し、隠れた脅威を発見し、攻撃のストーリーギャップが見つかったときに説明可能な検出を生成する。 DTDAは、(1)アラート、イベント、ユーザおよびエンティティの行動分析、脅威インテリジェンスにまたがる統合されたアクティビティタイムライン、(2)バージョン管理されたLCMは、スキーマ検証、グラウンド化要求、制限付きリトライ、およびフェールクローズドインプレッションとの契約をプロンプトし、(3)攻撃固有の仮説を生成し、証拠を収集するプランナー・エグゼクタ調査ループ、(4)コンテキスト関連タイトル、重大性、MITREマッピング、修正ガイダンス、暗黙のエンティティ、自然言語攻撃記述を含む動的アラート生成を結合する。 Microsoft Security Copilotに統合され、数万のDefender顧客にデプロイされるDTDAは、業界規模で継続的に運用されている。 120日間のオンライン評価では、DTDAは顧客のフィードバックから80.1%の精度を達成し、調査対象の約15%の新規アラートを生成する。 オフライン評価では、DTDA は GPT-5.4 を用いて 0.78 F1 で隠れた悪意のある活動を回復し、GPT-4.1 を 0.12 F1 で改善し、ベースラインを 0.26 F1 で上回った。 運用面では、DTDAは、ジョブレベルの障害率0.38%のUSD 2.04の中央値トークンコストで、エンドツーエンドのシングルインシデント調査を中央値28分で処理する。 これらの結果は、自律的なエージェントが、プロダクションスケールで欠落した悪意のあるアクティビティを識別できることを実証している。

関連論文リスト

• ADR: An Agentic Detection System for Enterprise Agentic AI Security [20.27419618676411]
  我々は,モデルコンテキストプロトコル(MCP)を介して運用されるAIエージェントをセキュアにするための,最初の大規模かつ実運用可能なエンタープライズフレームワークを提示する。 1) 制限された可観測性 -- 既存のツールはファイル書き込みを見るが、エージェントの推論、プロンプト、あるいは因果連鎖は実行にリンクする。 2) 事前定義されたルールで制約された静的な防御は、様々な攻撃技術や企業コンテキストにまたがる一般化に失敗し、(3) 高い検出コスト -- LLMベースの推論は、スケールにおいて違法に高価である。 Uberに10ヶ月以上デプロイされたADRは、信頼性の高い本番環境での検出を継続し、採用数は7200以上のユニークなホストに到達した。
  論文  参考訳（メタデータ） (2026-05-17T10:49:07Z)
• Can LLM Agents Respond to Disasters? Benchmarking Heterogeneous Geospatial Reasoning in Emergency Operations [55.251494694783894]
  災害対応エージェントベンチマーク(DORA)は、エンド・ツー・エンドの災害対応のための最初のエージェントベンチマークである。 タスクは、災害認識、空間関係分析、救助・避難計画、時間的進化推論、マルチモーダルレポート合成という、災害対応パイプラインをカバーする5つの次元にまたがる。 DORAは、運用上の信頼性の高い災害対応エージェントのための厳格なテストベッドを確立する。
  論文  参考訳（メタデータ） (2026-05-12T06:57:41Z)
• OccuBench: Evaluating AI Agents on Real-World Professional Tasks via Language Environment Simulation [57.505743202759646]
  OccuBenchは10の業界カテゴリと65の専門ドメインにわたる100の現実のプロフェッショナルタスクシナリオをカバーするベンチマークである。 我々のマルチエージェント合成パイプラインは, 可溶性, 校正困難, 文書基底の多様性を保証した評価インスタンスを自動生成する。
  論文  参考訳（メタデータ） (2026-04-13T00:27:32Z)
• Re-Evaluating EVMBench: Are AI Agents Ready for Smart Contract Security? [10.248746359119625]
  EVMbenchは、スマートコントラクトセキュリティに関するAIエージェントのための最初の大規模なベンチマークである。 その成果は、完全に自動化されたAI監査が到達範囲内にあるという期待を後押しした。 これらの発見は、完全に自動化されたAI監査が差し迫っているという物語に挑戦する。
  論文  参考訳（メタデータ） (2026-03-11T14:07:16Z)
• ThreatFormer-IDS: Robust Transformer Intrusion Detection with Zero-Day Generalization and Explainable Attribution [0.0]
  IoTおよび産業ネットワークの侵入検出には、進化するトラフィックと限定されたラベルの下で信頼性を維持しながら、低い偽陽性率で稀な攻撃を検出できるモデルが必要である。 本研究では,トランスフォーマーをベースとしたシーケンシャルモデリングフレームワークThreatFormer-IDSを提案する。 時系列評価を備えたToN IoTベンチマークでは、ThreatFormer-IDSがAUCROC 0.994、AUC-PR 0.956、Recall@1%FPR 0.910を達成した。
  論文  参考訳（メタデータ） (2026-02-26T23:20:42Z)
• AI Security Beyond Core Domains: Resume Screening as a Case Study of Adversarial Vulnerabilities in Specialized LLM Applications [71.27518152526686]
  大きな言語モデル(LLM)はテキストの理解と生成に優れており、コードレビューやコンテンツモデレーションといった自動タスクに最適である。 LLMは履歴書やコードなどの入力データに隠された「逆命令」で操作でき、意図したタスクから逸脱する。 本稿では,特定の攻撃タイプに対して80%以上の攻撃成功率を示すとともに,この脆弱性を再開スクリーニングで評価するためのベンチマークを提案する。
  論文  参考訳（メタデータ） (2025-12-23T08:42:09Z)
• An Automated Attack Investigation Approach Leveraging Threat-Knowledge-Augmented Large Language Models [17.220143037047627]
  Advanced Persistent Threats (APTs) は高価値システムを侵害してデータを盗んだり、操作を妨害したりする。 既存の手法では、プラットフォーム全般性の貧弱さ、進化的戦術への一般化の制限、アナリスト対応のレポート作成が不可能なことなどに悩まされている。 動的に適応可能なKil-Chain対応脅威知識ベースを組み込んだLDMを利用した攻撃調査フレームワークを提案する。
  論文  参考訳（メタデータ） (2025-09-01T08:57:01Z)
• Security Challenges in AI Agent Deployment: Insights from a Large Scale Public Competition [101.86739402748995]
  44の現実的なデプロイメントシナリオを対象とした,22のフロンティアAIエージェントを対象にしています。 Agent Red Teamingベンチマークを構築し、19の最先端モデルで評価します。 私たちの発見は、今日のAIエージェントの重要かつ永続的な脆弱性を浮き彫りにしたものです。
  論文  参考訳（メタデータ） (2025-07-28T05:13:04Z)
• Robust Synthetic Data-Driven Detection of Living-Off-the-Land Reverse Shells [14.710331873072146]
  LOTL(Living-off-the-land)技術は、セキュリティ運用において大きな課題となる。 セキュリティ情報およびイベント管理(SIEM)ソリューションとして,サイバー防衛システムのための堅牢な拡張フレームワークを提案する。
  論文  参考訳（メタデータ） (2024-02-28T13:49:23Z)
• Malicious Agent Detection for Robust Multi-Agent Collaborative Perception [52.261231738242266]
  多エージェント協調(MAC)知覚は、単エージェント認識よりも敵攻撃に対して脆弱である。 MAC知覚に特異的な反応防御であるMADE(Malicious Agent Detection)を提案する。 我々は、ベンチマーク3DデータセットV2X-simとリアルタイムデータセットDAIR-V2Xで包括的な評価を行う。
  論文  参考訳（メタデータ） (2023-10-18T11:36:42Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。