Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Security Copilot Agents sind KI-gestützte Prozesse, die Sie bei bestimmten rollenbasierten Aufgaben unterstützen. Microsoft Purview bietet einen Microsoft Purview Data Loss Prevention (DLP)-Selektierungs-Agent in der Vorschau. Dieser Agent stellt eine vom Agent verwaltete Warnungswarteschlange bereit, in der die Warnungen zu den Aktivitäten mit dem höchsten Risiko identifiziert und priorisiert werden. Der Agent analysiert den Inhalt und die potenzielle Absicht, die an der Aktivität beteiligt ist, basierend auf den vom organization ausgewählten Parametern und dem Grad der Risikotoleranz. Der Agent bietet eine umfassende Erklärung für die Logik hinter der Kategorisierung.
Der Agent ist in den eingebetteten Microsoft Purview-Umgebungen verfügbar. Weitere Informationen finden Sie unter Eingebettete Erfahrungen.
Das Selektieren und Zuweisen einer Priorität zu Warnungen kann komplex und zeitaufwändig sein. Wenn Sie über eine Agent-Selektierung und Priorisierung von Warnungen verfügen, wird gemäß den von Ihnen festgelegten Parametern der Zeitaufwand zum Abschließen der Aufgabe reduziert. Der Agent hilft Ihnen, sich auf die wichtigsten Warnungen zu konzentrieren, indem er sie aus dem Lärm von Warnungen mit geringerem Risiko heraussiebt. Dies verbessert Ihre Reaktionszeit und trägt dazu bei, die Effizienz und Effektivität Ihres Teams zu steigern.
Informationen zum Bereitstellen, Konfigurieren und Verwenden der Agents finden Sie unter Erste Schritte mit den Microsoft Purview-Agents.
Bevor Sie beginnen
Wenn Sie noch nicht mit Security Copilot oder Security Copilot Agents vertraut sind, sollten Sie sich mit den Informationen in diesen Artikeln vertraut machen:
- Übersicht über Microsoft Security Copilot-Agents
- Was ist Microsoft Security Copilot?
- Microsoft Security Copilot Erfahrungen
- Erste Schritte mit Microsoft Security Copilot
- Grundlegendes zur Authentifizierung in Microsoft Security Copilot
- Eingabeaufforderung in Microsoft Security Copilot
- Konfigurieren von Besitzereinstellungen
Security Copilot-Agent-Konzepte
Die Microsoft Purview-Selektierungs-Agents werden auf Security Compute Units (SCU) ausgeführt. Für Ihre organization müssen SCUs bereitgestellt werden, damit die Agents ausgeführt werden können. Weitere Informationen finden Sie unter Lizenzierung von SKU/Abonnements.
Auslöser
Trigger sind Gruppierungen von Parametern, deren Werte erfüllt werden müssen, damit der Agent eine bestimmte Warnung selektieren kann. Zu den Triggern gehören:
- Zeitrahmen: Sie können den Zeitbereich definieren, in dem Warnungen für die Selektierung generiert werden. Weitere Informationen finden Sie unter Auswählen des Zeitrahmens für Warnungen.
- Richtlinien: Sie können den Agent so konfigurieren, dass Warnungen aus von Ihnen ausgewählten Richtlinien selektieren. Weitere Informationen finden Sie unter Einrichten von Agents.
Wichtig
Agents sind der Verwaltungseinheit nicht bekannt. Wenn der Agent jedoch im Kontext eines Administrators mit eingeschränkten Verwaltungseinheiten ausgeführt wird und Richtlinien vorhanden sind, die auf diesen Administrator beschränkt sind, werden dem Agent nur Warnungen von den Richtlinien angezeigt, die auf die Verwaltungseinheit beschränkt sind.
Automatische oder manuelle Ausführung
Wenn Sie einen Agent bereitstellen und Trigger bearbeiten, können Sie auswählen, ob der Agent basierend auf einem festgelegten Zeitplan automatisch ausgeführt wird oder ob der Agent manuell bei einer Warnung ausgeführt wird . Wenn Sie Automatisch basierend auf einem festgelegten Zeitplan ausführen auswählen, selektieren Sie die Warnungen, die in der Einstellung Warnungszeitrahmen auswählen enthalten sind.
Auswählen des Warnungszeitrahmens
Wenn Sie einen Agent bereitstellen und die Trigger eines Agents bearbeiten, können Sie den Zeitrahmen auswählen, mit dem der Agent festlegen soll, welche Warnungen selektiert werden sollen. Mögliche Optionen:
- Nur neue Warnungen selektieren
- Letzte 24 Stunden
- Letzte 48 Stunden
- Letzte 72 Stunden
- Die letzten 7 Tage
- Letzte 14 Tage
- Letzte 21 Tage
- Die letzten 30 Tage
Wenn Sie Nur neue Warnungen selektieren auswählen, selektieren Sie nur Warnungen, die nach der Bereitstellung des Agents generiert werden. Der Agent selektieren keine Warnungen, die vor der Bereitstellung des Agents generiert wurden. Dies bedeutet, dass alle Optionen Letzte Stunden oder Tage ignoriert werden.
Wenn Sie eine der Optionen Letzte Stunden oder Tage auswählen, wählt der Agent Warnungen aus, die im ausgewählten Zeitrahmen generiert wurden. Auf diese Weise können Sie alle selektieren, die vor der Bereitstellung des Agents generiert wurden. Alle neu generierten Warnungen werden ebenfalls selektiert.
Wichtig
Der Zeitrahmenbereich für Die Selektierung von Warnungen ist auf den Zeitpunkt der erfolgreichen Agent-Aktivierung festgelegt. Im Wesentlichen beginnt die Uhr zu ticken, wenn der Agent aktiviert ist. Daher bezieht sich Letzte Anzahl von Stunden oder Tagen auf den Zeitraum vor der Agent-Bereitstellung. Dies ist kein rollierender Zeitrahmen.
Sicherheitskontext
Agents werden im Sicherheitskontext des Benutzers ausgeführt, der sie zuletzt konfiguriert hat. Der Sicherheitskontext muss alle 90 Tage erneuert werden. Der Agent wird nicht mehr ausgeführt, wenn der Benutzer aus dem Mandanten entfernt oder gelöscht wird oder wenn der Benutzer deaktiviert ist.
Selektierung von Warnungen
Der Agent selektieren Warnungen basierend auf der Triggerkonfiguration. Der Agent selektieren Warnungen, die in dem von Ihnen ausgewählten Zeitrahmen generiert werden und aus den von Ihnen ausgewählten Richtlinien stammen. Nicht alle Warnungen werden selektiert. Weitere Informationen finden Sie unter Setup-Agents.
Selektierungswarnungen sind in vier Kategorien unterteilt:
Alle: Diese Kategorie enthält alle Warnungen, die der Agent selektiert hat. Die in der Kategorie angegebene Anzahl spiegelt möglicherweise nicht genau die tatsächliche Anzahl von Warnungen wider, bis Sie in diese Ansicht wechseln und nach unten scrollen, um alle Warnungen zu laden. Wenn sich die Bedingungen geändert haben, die dazu geführt haben, dass die Warnung ausgelöst wurde, oder wenn die Warnung noch nicht selektiert wurde, können Sie die Warnung auswählen und dann Agent ausführen auswählen, um den Agent für die Warnung manuell auszuführen.
Erfordert Aufmerksamkeit: Dies sind die Warnungen, die der Agent überlegt und festgestellt hat, dass sie das größte Risiko für Ihre organization darstellen. Wenn Sie eine dieser Warnungen auswählen, wird das Details-Flyout geöffnet, um eine Zusammenfassung der Warnung und andere Details anzuzeigen.
Weniger dringend: Dies sind die Warnungen, die der Agent überlegt und festgestellt hat, dass sie ein geringeres Risiko für Ihre organization darstellen. Wenn Sie eine dieser Warnungen auswählen, wird das Details-Flyout geöffnet, um eine Zusammenfassung der Warnung und andere Details anzuzeigen.
Nicht kategorisiert: Dies sind die Warnungen, dass der Agent die Selektierung nicht erfolgreich durchführen konnte. Dies kann aus einer Reihe von Gründen auftreten, z. B.: - Serverfehler - In Bearbeitung der Überprüfung - anderer Fehler - Nicht unterstützter Fehler für Warnungen, die Aktivitäten enthalten, die der Agent nicht unterstützt.
Agents selektieren Dateien mit einer Größe von bis zu zwei MB.
Priorisieren von Agents
Der DLP-Selektierungs-Agent priorisiert Warnungen basierend auf diesen Risikofaktoren:
- Inhaltsrisiko: Dies ist der primäre Risikofaktor, der bei der Agent-Selektierung verwendet wird. Er deckt vertrauliche Inhalte basierend auf von Microsoft bereitgestellten SITs, trainierbaren Klassifizierern und Standard-Vertraulichkeitsbezeichnungen ab. Weitere Informationen finden Sie unter Standard-Vertraulichkeitsbezeichnungen.
- Exfiltrationsrisiko: Exfiltration vertraulicher Daten, die extern freigegeben werden.
- Richtlinienrisiko: Der Richtlinienmodus und Regeln mit Aktionen wirken sich auf die Priorisierung von Warnungen aus.
- Inhaltsrisiko: Bezeichnung entfernt oder herabgestuft.
- Exfiltrationsrisiko: Exfiltration vertraulicher Daten.
Details zur Warnungs selektierung
Wichtig
Der DLP-Selektierungs-Agent unterstützt nur Warnungen von Richtlinien, die sich im aktiven Modus befinden. Der DLP-Warnungs-Selektierungs-Agent selektieren keine Warnungen aus DLP-Richtlinien, die im Simulationsmodus ausgeführt werden.
Agents können Warnungen überprüfen, die bis zu 30 Tage vor der Aktivierung des Agents generiert wurden, wenn der Mandant über ausreichende SCUs verfügt. Warnungen, die mehr als 30 Tage vor der Agent-Aktivierung generiert wurden, liegen außerhalb des Bereichs.
Der DLP-Selektierungs-Agent selektieren Warnungen aus Exchange, SharePoint, OneDrive und Teams.
In DLP selektiert der Agent keine Warnungen, die nur durch benutzerdefinierte Typen vertraulicher Informationen (SIT) und benutzerdefinierte trainierbare Klassifiziererbedingungen ausgelöst werden. Warnungen, die von Nicht-SITs/nicht trainierbaren Klassifizierungsrichtlinienbedingungen ausgelöst werden, z Email subject match . B. werden nicht selektiert.
Sie sollten eine manuelle Analyse von Warnungen durchführen, die vom Agent nicht vollständig ausgewertet werden können.
Teilweise selektierte Warnungen
Im Folgenden finden Sie einige Beispiele für Situationen, in denen Warnungen teilweise selektiert werden können.
- DLP-Regel enthält einige Bedingungen, die nicht unterstützt werden, z. B.
The user accessed a sensitive site from Edge - Die DLP-Regel enthält bestimmte Bedingungen, aber das System kann die entsprechenden Eigenschaften der E-Mail oder Dateien wie
Document couldn't be scannednicht abrufen.
Inhaltsanalyse
Es gibt einige Situationen, in denen die Inhaltsanalyse eingeschränkt sein kann.
Die Inhaltsrisikopriorisierung einer Warnung basiert auf von Microsoft bereitgestellten SITs, trainierbaren Klassifizierern und Vertraulichkeitsbezeichnungen in Inhalten. Wenn ein Agent das Inhaltsrisiko auswertet, sucht er nur nach von Microsoft bereitgestellten SITs und trainierbaren Klassifizierern, die in der Richtlinie definiert sind.
Wenn eine DLP-Warnung null bis neun Dateien zugeordnet ist, werden alle Dateien vom Agent überprüft und in der Inhaltszusammenfassung verwendet. Wenn eine Warnung mehr als 10 oder mehr Dateien enthält, werden die potenziell obersten 10 Dateien verwendet, um die Dateirisikozusammenfassung zu generieren. In DLP wählt der Selektierungs-Agent die 10 risikobehafteten Dateien basierend auf der Anzahl der Richtlinienklassifizierertreffer, der Dateigröße und dem zeitpunkt des letzten Zugriffs auf die Datei aus. In diesem Fall stellt der Agent eine Notiz bereit, die besagt, dass nicht alle Dateien in der Warnung in der Inhaltszusammenfassung enthalten waren.