Microsoft Security Copilot Security Analyst Agent

  • Gilt für:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Security Analyst Agent in Defender hilft Sicherheitsanalysten, Risiken schnell zu identifizieren, zu bewerten und zu priorisieren, indem er Folgendes bereitstellt:

  • Flexible Analyse: Führen Sie sofort einsatzbereite oder benutzerdefinierte Analysen für Sicherheitsdaten durch. Erhalten Sie umsetzbare und priorisierte Erkenntnisse, Empfehlungen und Berichte, um die wichtigsten Sicherheitsrisiken und Risiken aufzudecken.

  • Datenintegration: Analysieren Sie Daten aus Microsoft Defender XDR, Sentinel Log Analytics oder Sentinel Data Lake basierend auf Ihren Anweisungen. Sie können auch CSV-Dateien für die benutzerdefinierte Datasetanalyse hochladen (derzeit in eigenständiger Umgebung verfügbar, wird aber in Kürze in Defender verfügbar sein).

  • Interaktive Erkundung: Visualisieren Sie Daten, um Anomalien und Risiken schneller zu erkennen.

  • Unterhaltungsunterstützung: Chatten Sie mit dem Agent, stellen Sie Folgefragen und führen Sie zugehörige Analysen durch, um Ihr Verständnis zu vertiefen

Verwenden Sie den Security Analyst-Agent, wenn Sie grundlegende Analyseaufgaben wie Musteranalyse, Trendanalyse, Zeitreihen- und Visualisierungsaufgaben und komplexere Analyseaufgaben wie Anomalieerkennung, Clustering, Rangfolge, Risikobewertung und Priorisierung, Vorhersage und Vorhersagemodellierung ausführen möchten, um versteckte Risiken aufzudecken. Der Agent generiert priorisierte Erkenntnisse mit vollständigen Beweisen für die Defensierbarkeit. Dies ist eine python-gestützte erweiterte Analyse in einem chat first-Erlebnis, ohne dass Code oder Abfragen geschrieben werden müssen.

Der Agent kann eine einzel- oder mehrstufige Analyse für große Datenmengen durchführen, iterativ gründe und versteckte Risiken aufdecken, priorisiert diese Risiken mit detaillierten Beweispfaden und Begründungen.

Voraussetzungen und Setupanforderungen

Sie müssen Zugriff auf Security Copilot und Defender XDR oder Sentinel Log Analytics oder Sentinel Data Lake haben, um den Agent verwenden zu können.

Zugriffs- und Setupanforderungen

  • Zugriffsanforderungen

Je nach ausgewählter Datenquelle benötigen Sie Lesezugriff auf Microsoft Defender XDR, Microsoft Sentinel Log Analytics-Arbeitsbereich oder Microsoft Sentinel Data Lake.

  • RBAC und benutzerspezifisches Setup

Wenn Sie den Agent konfigurieren, ist er an Ihre Identität gebunden und gilt nur für Ihren Benutzer instance.

  • Unterstützung mehrerer Benutzer

Andere Benutzer im selben Mandanten können den Agent auch mit ihrer eigenen Identität konfigurieren, sofern sie über den erforderlichen Zugriff auf die ausgewählten Datenquellen verfügen.

Datenquellen

Der Agent unterstützt derzeit drei Datenquellen:

Datenquelle Beschreibung
Defender XDR (Standard) Microsoft Defender XDR Telemetrie
Sentinel Log Analytics Microsoft Sentinel Log Analytics-Arbeitsbereich
Sentinel Data Lake (obligatorischer Schritt nur für Sentinel Data Lake) Microsoft Sentinel Data Lake

Es gibt zwei Methoden zum Angeben der Datenquelle:

Eingabeaufforderungen in natürlicher Sprache: Fügen Sie ihrer Anweisung die Datenquelle hinzu. Zum Beispiel:

Analyze if there are privilege escalation or role elevation activities that are followed by sensitive data access in my enterprise. Please use Sentinel Log Analytics for this.

Wenn Sie in Ihrer Anweisung eine Datenquelle angeben, ruft der Agent Sicherheitsprotokolle aus dieser Quelle ab und analysiert sie. Wenn mehrere Arbeitsbereiche vorhanden sind, fordert der Agent Sie auf, anzugeben, welche Arbeitsbereiche verwendet werden sollen.

Nach der Konfiguration in einer Eingabeaufforderung wird die Datenquelleneinstellung für die gesamte Sitzung beibehalten, bis sie geändert wird. Es wird empfohlen, Datenquellenänderungen in einer bestimmten Sitzung auf drei zu beschränken, um die Leistung zu verbessern.

Agent-Einstellungen: Sie können die Datenquelle auch angeben, indem Sie die Agent-Einstellungen bearbeiten.

Wichtig

Der Agent berücksichtigt immer Ihre Anweisungen. Wenn ein Konflikt zwischen den Agent-Einstellungen und einer Eingabeaufforderungsanweisung besteht, hat die Eingabeaufforderungsanweisung Vorrang.

Wenn keine Datenquelle mit einer der beiden Methoden angegeben wird, versucht der Agent zunächst, Daten aus Defender XDR abzurufen. Wenn dies aufgrund der Nichtverfügbarkeit von Daten oder eines Berechtigungsproblems fehlschlägt, wiederholt der Agent Sentinel Log Analytics.

Konfigurieren des Security Analyst-Agents (optional)

Sie können den Security Analyst-Agent direkt in Defender ausführen, ohne das Setup abzuschließen. Das Agent-Setup wird bereitgestellt, um optionale Konfigurationsszenarien zu unterstützen, z. B. das Definieren einer Agent-Identität oder das Vorkonfigurieren von Datenquellen. Dies wirkt sich nicht auf Ihre Fähigkeit aus, den Agent in Defender auszuführen.

Wichtig

Das Konfigurieren der Datenquelle ist optional. Sie können die Datenquelle direkt in Ihrer Eingabeaufforderung angeben, und der Agent priorisiert diese eingabeaufforderungsbasierten Anweisungen beim Durchführen der Analyse. Wenn in der Eingabeaufforderung keine Datenquelle angegeben ist, verwendet der Agent die datenquelle, die in den Agent-Einstellungen konfiguriert ist.

  1. Melden Sie sich bei Security Copilot (https://securitycopilot.microsoft.com) an.

  2. Wählen Sie das Startmenüsymbol aus.

  3. Navigieren Sie zu Agents.

  4. Wählen Sie im Abschnitt Bereit für das Setup die Option Security Analyst Agent aus.

  5. Suchen Sie für die erstmalige Einrichtung den Agent im Abschnitt Bereit für setup , und wählen Sie Einrichten aus. Wenn der Agent bereits für mindestens einen Benutzer konfiguriert ist, suchen Sie im Abschnitt "Verwendete Agents" nach "Security Analyst Agent", und klicken Sie auf "Zum Agent wechseln".

    Abbildung des Security Analyst-Agents : Zum Agent wechseln

  6. Geben Sie details ihrer bevorzugten Datenquellen an, um den Agent zu konfigurieren:

    • Defender XDR: Lassen Sie alle Felder leer, und geben Sie Use Defender XDR am Ende der Anweisung an.

    • Sentinel Data Lake (obligatorisch):

      1. Geben Sie SentinelDataLake in das Feld Datenquelle ein.
      2. Geben Sie den Namen Ihres Arbeitsbereichs in das Feld Name des Sentinel Data Lake-Arbeitsbereichs ein.
      3. Lassen Sie die übrigen Felder leer.

    • Sentinel Log Analytics-Arbeitsbereich:

      1. Geben Sie SentinelLogAnalyticsWorkspace in das Feld Datenquelle ein.
      2. Füllen Sie das folgende Feld aus: Name des Log Analytics-Arbeitsbereichs.
      3. Lassen Sie das Feld Name des Sentinel Data Lake-Arbeitsbereichs leer, und speichern Sie Ihre Einstellungen.

      Abbildung des Security Analyst-Agents – Einrichten des Agent-Chats

  7. Wählen Sie oben Chat with agent (Mit Agent chatten) aus, um mit dem Agent zu interagieren.

    Abbildung des Security Analyst-Agents – Schaltfläche

    Sie können einen neuen Chat für eine neue Analyse starten, verlaufsbezogene Chats anzeigen und darauf zugreifen sowie Details zur Agent-Einstellung aus jeder Agent-Sitzung anzeigen.

    Abbildung des Security Analyst-Agents – neue Chatsitzung

Verwenden des Security Analyst-Agents

  1. Wechseln Sie zu Microsoft Defender unter https://defender.microsoft.com, und wählen Sie unter Untersuchung und Antwort die Option Erweiterte Suche aus.

  2. Öffnen Sie Copilot, und wählen Sie dann Security Analyst Agent aus.

    Screenshot der Auswahl des Security Analyst-Agents in Microsoft Defender Erweiterten Suche.

  3. Geben Sie ihre Eingabeaufforderung für die Sicherheitsanalyse in natürlicher Sprache ein, oder wählen Sie eine der vorgeschlagenen Eingabeaufforderungen aus.

  4. Wenn die Aufgabe allgemein ist, beantworten Sie die klärenden Fragen des Agents, damit der Agent den Analysebereich einschränken kann.

  5. Geben Sie optional die Datenquelle in Der Eingabeaufforderung an. Wenn keine Datenquelle angegeben wird, versucht der Agent zuerst Defender XDR und dann Sentinel Log Analytics, um die erforderlichen Daten für die Analyse zu identifizieren und abzurufen.

  6. Überprüfen Sie die Antwort, einschließlich priorisierter Ergebnisse, unterstützender Beweise und Empfehlungen.

    Im folgenden Beispiel fasst der Agent seine Ergebnisse zusammen mit Beweisen zusammen und gibt auch kontextbezogene Empfehlungen für die nächsten Schritte, entweder eine tiefere Untersuchung oder eindämmung. Die Antwort enthält auch eine Liste der vorgeschlagenen nächsten Eingabeaufforderungen, die der Benutzer möglicherweise auffordert, die Interaktion fortzusetzen.

    Screenshot der Beispielantwort des Security Analyst-Agents.

  7. Fahren Sie mit Folgeaufforderungen in derselben Sitzung fort, oder starten Sie eine neue Sitzung für eine separate Untersuchung.

    Hinweis

    Der Agent kann einige Minuten dauern, um komplexe Analysen durchzuführen.

  8. Wenn Sie eine KQL-Abfrage ausgeführt haben und die Ergebnisse analysieren möchten, um Sicherheitsrisiken zu verstehen, wählen Sie analysieren mit Copilot unterhalb der Registerkarte Ergebnisse der Abfrage aus. Der Agent begründet die generierten Ergebnisse und stellt eine Zusammenfassung priorisierter Erkenntnisse dar, die dringende Aufmerksamkeit erfordern.

    Screenshot: Aktion

  9. Verwenden Sie die Feedbackschaltflächen für die Antwort, um zu teilen, ob die Ausgabe hilfreich war.

Interpretieren des Berichts

Kurzfassung

Dieser Abschnitt enthält eine klare Beschreibung der Durchführung der Analyse, wobei die ausgeführten Schritte und die berücksichtigten Daten beschrieben werden. Es werden die Filterkriterien, Zeitbereiche und alle angewendeten Rangfolgen in einfacher Sprache erläutert, damit die Leser den Prozess problemlos verfolgen können.

Wichtige Erkenntnisse

Hier finden Sie die wichtigsten Ergebnisse aus der Analyse, die kurz und aussagekräftig dargestellt werden. Jede Erkenntnis enthält eine kurze Erklärung, warum sie wichtig ist, und, falls relevant, Verweise auf unterstützende Beweise.

Visualisierungen

Dieser Abschnitt enthält Diagramme oder Diagramme, die dem Bericht Tiefe und Klarheit verleihen und lesern dabei helfen, Muster oder Beziehungen in den Daten schnell zu interpretieren. Visuals sind nur enthalten, wenn sie einen eindeutigen Wert für die Analyse bereitstellen.

Artefakte

Artefakte sind die unterstützenden Dateien, die dem Bericht beiliegen, z. B. eine umfassende CSV-Datei aller analysierten Entitäten und ggf. detaillierte Beweisdateien. Mit diesen Ressourcen können Leser das vollständige Dataset hinter den Ergebnissen untersuchen. Artefakte umfassen die KQL-Abfrage, die vom Agent zum Abrufen der Daten verwendet wurde (beachten Sie, dass der Agent nur KQL für den Datenabruf verwendet, die Analyse erfolgt in Python), ein umfassender Plan, der für die Ausführung der Aufgabe formuliert wurde.

  • Last updated on