Erste Schritte mit den Microsoft Security Copilot-Agents in Purview

Verwenden Sie diese Verfahren, um die Microsoft Purview-Agents bereitzustellen.

Bevor Sie beginnen

Wenn Sie noch nicht mit Microsoft Security Copilot Agents in Microsoft Purview vertraut sind, sollten Sie diese Artikel lesen.

• übersicht über Security Copilot Agents in Microsoft Purview (Vorschau)

SKU/Abonnement-Lizenzierung

Die Microsoft Purview-Agents erfordern sowohl das Standardlizenzmodell pro Arbeitsplatz als auch das Abrechnungsmodell mit nutzungsbasierter Bezahlung. Ihre organization muss für Folgendes lizenziert sein:

• Microsoft Purview Data Loss Prevention ( Purview DLP), um den Purview DLP-Selektierungs-Agent zu verwenden.

Die Microsoft Purview-Selektierungs-Agents nutzen Sicherheitscomputeeinheiten (SCUs), während sie ihre Aufgaben ausführen. Sie müssen SCUs bereitgestellt haben, damit die Selektierungs-Agents funktionieren. Die Anzahl der genutzten SCUs hängt von der Anzahl und dem Typ der verarbeiteten Warnungen ab. Weitere Informationen zu SCUs finden Sie unter Security Compute Units (SCUs). Sie können Ihren SCU-Verbrauch im Tool zur Nutzungsüberwachung nachverfolgen. Weitere Informationen zum Onboarding in Microsoft Security Copilot finden Sie unter Erste Schritte mit Microsoft Security Copilot.

Informationen zur Lizenzierung finden Sie unter

• Microsoft 365 Enterprise-Pläne
• Microsoft 365-Dienstbeschreibungen

Berechtigungen und Rollen

Es gibt verschiedene Berechtigungen und Rollen, die zum Ausführen verschiedener Funktionen mit den Microsoft Purview-Agents erforderlich sind. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Portal und Rollen und Rollengruppen in den Microsoft Purview-Portalen.

Wichtig

Agents werden im Sicherheitskontext des letzten Benutzers ausgeführt, der die Agent-Konfiguration gespeichert hat. Diese Authentifizierung ist 90 Tage lang gültig. Nach 90 Tagen wird der Agent nicht mehr ausgeführt, bis die Konfiguration manuell erneut gespeichert wird.

Berechtigungen zum Aktivieren des Purview DLP-Agents

Das Konto, das Sie zum Aktivieren und Verwalten des Purview-DLP-Agents verwenden, muss über alle folgenden Rollen verfügen:

• Information Protection Analyst OR Information Protection Investigator (Rollengruppe: Complianceadministrator oder Compliancedatenadministrator ODER Datensicherheitsverwaltung ODER Information Protection OR Information Protection Analysten ODER Information Protection Investigators)

• Purview Content Analyst (Rollengruppe: Purview Agent Management)

• Security Copilot Mitwirkender (verwaltet in Security Copilot)

Berechtigungen zum Anpassen und Konfigurieren des Purview-DLP-Agents

Das Konto, das Sie zum Anpassen und Konfigurieren des Purview DLP-Agents verwenden, muss über alle folgenden Rollen verfügen:

• Purview-Agent-Analyse (Rollengruppe: Information Protection Analysts OR Information Protection Investigators OR Information Protection OR Compliance Administrator OR Data Security Management)

• Security Copilot Mitwirkender (verwaltet in Security Copilot)

Berechtigungen zum Anzeigen selektierter Purview-DLP-Warnungen

Das Konto, das Sie zum Anzeigen der Purview-DLP-Selektierungs-Agent-Warnungsaktivität verwenden, muss auf Purview DLP-Warnungen zugreifen können, die folgenden Rollen zugewiesen werden:

• Purview-Agent-Analyse (Rollengruppe: Information Protection Analysts OR Information Protection Investigators OR Information Protection OR Compliance Administrator OR Data Security Management)

• Optional: Security Copilot Mitwirkender (verwaltet in Security Copilot)

Roadmap für Bereitstellung und Konfiguration

Die Implementierung der Microsoft Purview-Agents umfasst mehrere Phasen:

1. Infrastrukturvoraussetzungen
2. Aktivieren von Agents
3. Setup-Agents
4. Anhalten von Agents
5. Entfernen von Agents

Infrastrukturvoraussetzungen

Microsoft Purview-Selektierungs-Agents werden auf Microsoft Security Copilot ausgeführt.

1. Ihr Mandant muss in Microsoft Security Copilot integriert werden. Weitere Informationen zum Onboarding finden Sie unter Erste Schritte mit Microsoft Security Copilot.
2. Sie müssen die Microsoft 365-Datenfreigabe in Security Copilot aktivieren. Weitere Informationen finden Sie unter Zugreifen auf Daten aus Microsoft 365-Diensten .
3. Sie müssen das Microsoft Purview-Plug-In in Microsoft Security Copilot aktivieren. Weitere Informationen finden Sie unter Aktivieren der Microsoft Purview-Quelle in Microsoft Security Copilot.

Aktivieren von Agents

Dieses Verfahren gilt für Organisationen, die keine der Microsoft Purview-Agents aktiviert oder Agents entfernt haben und Sie sie erneut aktivieren möchten. Nachdem Sie die Agents aktiviert haben, sind sie für die Verwendung in Microsoft Purview verfügbar. Es kann nur eine instance jedes Agents in einem Mandanten geben.

1. Melden Sie sich beim Microsoft Purview-Portal mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
2. Wählen Sie im linken Navigationsbereich Agents aus.
3. Wählen Sie Agents erkunden aus.
4. Wählen Sie den Agent aus, den Sie aktivieren möchten, und wählen Sie Hinzufügen aus. Daraufhin wird eine Seite geöffnet, auf der die Anforderungen zum Aktivieren des Agents angezeigt werden.
5. Wählen Sie Setup aus. Daraufhin wird die Seite Globale Agent-Konfiguration bereitstellen geöffnet. Sie haben folgende Möglichkeiten:
   1. Wählen Sie die automatische Ausführung basierend auf einem festgelegten Zeitplan aus. Wenn Sie diese Option nicht auswählen, müssen Sie den Agent nacheinander manuell ausführen. Die geplante wird von Microsoft festgelegt und kann von Organisationen nicht konfiguriert werden. Sie können diese Einstellung später ändern, wenn Sie den Agent bearbeiten.
   2. Wählen Sie den Warnungszeitrahmen aus, d. h. wie weit der Agent nach Warnungen sucht, die selektiert werden sollen. Analysten können den Zeitrahmen verkürzen, wenn sie den Agent bearbeiten, aber nicht verlängern. Weitere Informationen finden Sie unter Auswählen des Zeitrahmens für Warnungen.
6. Wählen Sie Bereitstellen. Wenn der Agent erfolgreich bereitgestellt wurde, wird die Meldung Alert Triage Agent in <solution> is deployed angezeigt.

Setup-Agents

Sobald ein Agent aktiviert ist, müssen Sie bestimmte Trigger für den Agent festlegen. Die Trigger werden verwendet, um zu bestimmen, welche Warnungen der Agent selektierungen angibt. Sie können dies entweder auf der Seite Agents oder für die erste Ausführung auf der Seite Warnungen für die Lösung tun. Für dieses Verfahren verwenden wir die Erste-Ausführungs-Methode der Seite "Warnungen ". Bei diesem Verfahren wird davon ausgegangen, dass Das Microsoft Purview-Portal weiterhin für die Seite Agents erkunden aus dem vorherigen Verfahren geöffnet ist.

Wichtig

Die neueste Agent-Konfiguration wird immer verwendet.

1. Wählen Sie Zu Projektmappe wechseln <>aus. Daraufhin wird die Seite Warnungen für die Lösung geöffnet.

2. Da Sie sich in der ersten Ausführungsumgebung befinden, sehen Sie das Dialogfeld mit einer Schaltfläche Anpassen , die bei Auswahl das Flyout Zum Anpassen des Warnungstriage-Agents öffnet.

3. Wählen Sie hier entweder die globale Standardeinstellung für Warnungszeitrahmen auswählen aus , oder ändern Sie sie so, dass sie kürzer ist als das, was während der Agent-Bereitstellung konfiguriert wurde.

4. Wählen Sie Richtlinien auswählen aus, um die Richtlinien auszuwählen, deren Warnungen vom Agent selektiert werden. In der Vorschau sind alle Richtlinien standardmäßig ausgewählt. Sie können dies hier ändern.

   Wichtig

   In der öffentlichen Vorschau wird der Purview DLP-Agent nur Warnungen aus Richtlinien selektieren, die auf Exchange, Teams, OneDrive und SharePoint-Speicherorte festgelegt sind. Außerdem unterstützen die Selektierungs-Agents nur Richtlinien, die von Microsoft bereitgestellte TYPEN vertraulicher Informationen (SITs) und trainierbare Klassifizierer verwenden.

5. Wählen Sie Richtlinien auswählen aus.

6. Wählen Sie Überprüfen aus.

7. Wählen Sie Agent starten aus.

Warten Sie bis zu 2 Stunden, bis der Agent die Selektierung der Im-Bereich-Warnungen aus dieser anfänglichen Einrichtung abgeschlossen hat.

Anhalten von Agents

1. Melden Sie sich beim Microsoft Purview-Portal mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
2. Wählen Sie im linken Navigationsbereich Agents aus.
3. Wählen Sie Agents erkunden aus.
4. Wählen Sie Agent anzeigen für den Agent aus, den Sie anhalten möchten. Dadurch wird die Übersichtsseite des Agents geöffnet.
5. Wählen Sie rechts oben auf der Agent-Übersichtsseite die Auslassungspunkte (drei Punkte) aus, die sich neben der Schaltfläche Agent bearbeiten befinden.
6. Wählen Sie Agent deaktivieren aus. Das Anhalten des Agents verhindert, dass der Agent Warnungen selektieren kann. Der Agent wird nicht entfernt, und der Referenzpunkt für den Zeitrahmen warnungsauswahl wird nicht zurückgesetzt.

Entfernen von Agents

1. Melden Sie sich beim Microsoft Purview-Portal mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
2. Wählen Sie im linken Navigationsbereich Agents aus.
3. Wählen Sie Agents erkunden aus.
4. Wählen Sie Agent anzeigen für den Agent aus, den Sie anhalten möchten. Dadurch wird die Übersichtsseite des Agents geöffnet.
5. Wählen Sie rechts oben auf der Agent-Übersichtsseite die Auslassungspunkte (drei Punkte) aus, die sich neben der Schaltfläche Agent bearbeiten befinden.
6. Wählen Sie Agent entfernen aus. Wenn Sie den Agent entfernen, wird er aus Microsoft Purview gelöscht. Wenn Sie es erneut verwenden möchten, müssen Sie die Prozeduren Agents aktivieren und Agents einrichten erneut durchlaufen. Entfernen der Agent-Zurücksetzungen Wählen Sie Den Warnungszeitrahmen referenz point in time aus.

Bearbeiten von Agents

1. Melden Sie sich beim Microsoft Purview-Portal mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
2. Wählen Sie im linken Navigationsbereich Agents aus.
3. Wählen Sie Agents erkunden aus.
4. Wählen Sie Agent für den Agent anzeigen aus, den Sie bearbeiten möchten. Dadurch wird die Übersichtsseite des Agents geöffnet.
5. Wählen Sie Agent bearbeiten aus. Dadurch wird die Seite Agent bearbeiten geöffnet.
6. Wählen Sie Trigger aus.
7. Hier können Sie ändern, wann der Agent ausgeführt wird. Entweder wird der Agent bei einer Warnung manuell ausgeführt , oder der Agent wird automatisch basierend auf einem festgelegten Zeitplan ausgeführt.
8. Wählen Sie Bearbeiten aus, um den Wert warnungszeitrahmen auswählen und die Richtlinien zu ändern, aus denen der Agent Warnungen selektieren wird.
9. Wenn Sie Agent wird für eine Warnung manuell ausgeführt auswählen, können Sie auf der Seite Warnungen für die Lösung eine einzelne Warnung auswählen. Legen Sie die Umschaltfläche auf Warnung Selektierungs-Agent (Vorschau ) fest, und wählen Sie Run Agent (Agent ausführen) aus.

Überwachen der SCU-Nutzung

1. Melden Sie sich beim Microsoft Purview-Portal mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
2. Wählen Sie im linken Navigationsbereich Agents aus.
3. Wählen Sie Agents erkunden aus.
4. Wählen Sie Agent für den Agent anzeigen aus, den Sie bearbeiten möchten. Dadurch wird die Übersichtsseite des Agents geöffnet.
5. Wählen Sie Agent bearbeiten aus. Dadurch wird die Seite Agent bearbeiten geöffnet.
6. Wählen Sie "Nutzungsüberwachung" aus.
7. Sie können Ihren SCU-Verbrauch im Tool zur Nutzungsüberwachung nachverfolgen.

Übersicht über die Seite "Warnungen"

1. Melden Sie sich beim Microsoft Purview-Portal mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
2. Öffnen Sie die Projektmappe, für die Sie die selektierten Warnungen anzeigen möchten.
3. Öffnen Sie die Seite Warnungen für die Projektmappe.
4. Im oberen rechten Bereich der Seite gibt es eine neue Umschaltfläche, mit der Sie zwischen der Standard Ansicht der Warnungsseite und einer Ansicht des Warnungstriage-Agents (Vorschau) der Warnungsseite wählen können. Legen Sie den Umschalter auf die Ansicht Warnungstriage-Agent (Vorschau) fest. In dieser Ansicht werden die Warnungen angezeigt, die vom Agent selektiert wurden. Die Warnungen werden vom Agent in vier Kategorien gruppiert:
   • All
   • Erfordert Maßnahmen
   • Weniger dringend
   • Nicht kategorisiert

Nächste Schritte

Informationen zum Überprüfen der selektierten Warnungen finden Sie in lösungsspezifischen Artikeln.

• Informationen zur Untersuchung von Warnungen zur Verhinderung von Datenverlust
• Erste Schritte mit dem Dashboard