Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Abyste získali přednostní přístup k Microsoft Agentu 365, musíte být součástí programu Frontier Preview. Hranice vás spojuje přímo s nejnovějšími inovacemi umělé inteligence Microsoftu. Verze Preview hranice podléhají stávajícím podmínkám verze Preview vašich smluv se zákazníkem. Vzhledem k tomu, že tyto funkce jsou stále ve vývoji, jejich dostupnost a možnosti se můžou v průběhu času měnit.
Zjistěte, jak monitorovat agenty pomocí Programu Microsoft Defender.
Důležité
Tato funkce se zavádí ve fázích a očekává se dokončení zavedení do konce prosince.
Microsoft Defender
Agent 365 poskytuje komplexní pozorovatelnost v Programu Microsoft Defender napříč všemi aktivitami agentů, což týmům zabezpečení umožňuje monitorovat a sledovat chování z centralizovaného umístění. Tato viditelnost podporuje proaktivní detekci hrozeb a reakci.
Klíčové funkce
Centralizované monitorování: Sleduje veškerou aktivitu agenta v programu Defender pro jednotné zobrazení.
Předběžné detekce hrozeb: Poskytuje výstrahy na rizikové aktivity agenta a interakce uživatelů.
Proaktivní proaktivní vyhledávání hrozeb: Analytici zabezpečení můžou používat pokročilé možnosti proaktivního vyhledávání na základě dotazů k proaktivní identifikaci podezřelých vzorů a anomálií. Další informace najdete v tématu Proaktivní vyhledávání hrozeb s pokročilým vyhledáváním v programu Microsoft Defender.
Předpoklady
Ujistěte se, že jsou nastavené protokoly auditu. Další informace najdete v tématu Zapnutí nebo vypnutí auditování.
Ujistěte se, že je v programu Microsoft Defender správně nastavený konektor Microsoft 365. Další informace najdete v tématu Rozhraní Microsoft Defender for Cloud Apps REST API.
Nakonfigurujte přístup správce v programu Defender. Další informace najdete v tématu Konfigurace přístupu správce – Microsoft Defender for Cloud Apps.
Podporované typy událostí
Poznámka:
Po nastavení konektoru se výstrahy aktivují automaticky, když dojde k rizikovým aktivitám agenta. Další informace o vyšetřování incidentů v programu Microsoft Defender najdete v tématu Zkoumání incidentů na portálu Microsoft Defender.
Jak používat rozšířené proaktivní vyhledávání v programu Microsoft Defender
Otevřete portál Microsoft Defenderu.
- Microsoft Defender XDR
- Přihlaste se pomocí příslušných přihlašovacích údajů, abyste měli jistotu, že máte potřebný přístup na základě role. Měli byste být například správcem zabezpečení nebo novějším.
V levém navigačním podokně vyberte Proaktivní vyhledávání a otevřete stránku Rozšířené vyhledávání .
Prozkoumejte schéma.
- Pomocí karty Schéma můžete zobrazit dostupné tabulky, například tabulku CloudAppEvents.
- Výběrem svislých tří teček vedle názvu tabulky zobrazíte podrobnosti schématu, ukázková data a informace o uchovávání informací.
Pomocí editoru dotazů můžete psát nebo vkládat do dotazu dotazovací jazyk Kusto (KQL).
Příklad:
CloudAppEvents | where ActionType in ("InvokeAgent", "InferenceCall", "ExecuteToolBySDK", "ExecuteToolByGateway", "ExecuteToolByMCPServer")Kontrola výsledků:
- Výsledky se zobrazí ve formátu tabulky.
- Exportujte výsledky nebo je použijte k vytvoření vlastních pravidel detekce.
Defender obsahuje sadu předem připraveného pravidla detekce, která označují známé hrozby a rizikové chování a zajišťují ochranu v reálném čase bez ruční konfigurace. Tyto funkce pomáhají organizacím rychle reagovat na kybernetické hrozby a zůstat chráněny před rizikovými aktivitami zahrnujícími agenty.