Zusammenfassung

Abgeschlossen

In diesem Modul haben Sie erfahren, wie Sie Plug-In-Governance-Einstellungen konfigurieren und den Lebenszyklus von Security Copilot-Agent in der Arbeitsbereichsumgebung von Contoso verwalten.

Sie haben mit der Plugin-Verwaltung begonnen. Auf der Seite "Plug-In-Einstellungen" haben Sie Die Berechtigungen für den Benutzerbereich und den Organisationsbereich konfiguriert, um zu steuern, wer benutzerdefinierte Plug-Ins für ihre eigenen Sitzungen hinzufügen kann und wer Plug-Ins für alle Benutzer in der Organisation veröffentlichen kann. Sie haben gelernt, dass die Berechtigung für den Organisationsbereich nur verfügbar wird, wenn der Benutzerbereichszugriff auf Mitwirkende erweitert wird. Sie haben die Verfügbarkeit vorinstallierter Plug-Ins für bestimmte Arbeitsbereiche eingeschränkt und verstanden, warum sich diese Einschränkungen sofort auf eingebettete Erfahrungen in Defender und anderen Microsoft Portalen auswirken. Sie haben benutzerdefinierte Plug-Ins mithilfe der Formate Security Copilot Plug-Ins und OpenAI-Plug-Ins hinzugefügt, und Sie haben den Unterschied zwischen privatem und organisationsweitem Plug-In-Bereich verstanden.

Dann sind zur Agent-Bereitstellung übergegangen. Mithilfe der Agentbibliothek haben Sie Microsoft-erstellte und partnererstellte Agents durchstöbert. Anschließend haben Sie den vollständigen Einrichtungsablauf für einen von Microsoft erstellten Agenten abgeschlossen, bei dem Sie eine dedizierte Agentenidentität auswählen. Sie haben den Trigger und die Berechtigungen konfiguriert und den Agent für die erste Ausgabe ausgeführt. Sie haben verstanden, warum dedizierte Agentenidentitäten über freigegebene Benutzerkonten empfohlen werden. Sie haben gelernt, wie der Agent-Arbeitsbereichskontext bestimmt, welche Kapazität und Plug-Ins der Agent verwenden kann.

Sie haben einen Partner-Agent über den in Security Copilot integrierten Security Store erworben. Sie haben den Unterschied zwischen den Kosten für das Security Store-Abonnement und dem SCU-Verbrauch (Security Compute Unit) verstanden, und warum das Entfernen eines Agents aus Security Copilot kein Partnerabonnement storniert. Für einen Agent, der Zugriff auf Microsoft Defender Daten erfordert, haben Sie den Workflow für die Genehmigung des globalen Administrators abgeschlossen– den Genehmigungslink kopiert, auf die Administratorzustimmung warten und die Einrichtung nach der Genehmigung abgeschlossen. Anschließend haben Sie das abhängige Plug-In des Agents so konfiguriert, dass der Agent vollständig betriebsbereit ist.

Schließlich haben Sie die bereitgestellten Agents im Zeitverlauf verwaltet. Sie haben die Ausführung des Agents mithilfe von automatischen Triggern und manuellen einmaligen Ausführungen, bearbeiteter Agent-Konfiguration zum Anpassen von Parametern gesteuert und die Pause-Funktion verwendet, bevor Sie die Arbeitsbereichszuordnung planen. Sie haben gezieltes Feedback zur Verbesserung der Agentleistung bereitgestellt und die Speicherverwaltungsschnittstelle verwendet, um veraltete Feedbackeinträge zu überprüfen und zu entfernen.

Das Ergebnis von Contoso

Wenn Plug-in-Governance und -Agents eingerichtet sind, funktioniert die Security Copilot-Bereitstellung von Contoso in vollem Umfang:

Der SOC-Arbeitsbereich führt Agents zur Bedrohungssuche und Triage mit dediziertem Defender XDR und Microsoft Sentinel Plug-in-Zugriff aus. SOC-Analysten profitieren von der automatisierten Präanalyse und erhalten gleichzeitig einen Einblick in die Agentaktivität.

Der Compliance-Arbeitsbereich führt Governance-fokussierte Agents aus, die auf Purview begrenzt sind, wobei der Plugin-Zugriff auf compliancerelevante Datenquellen eingeschränkt ist. Das Complianceteam kann sich auf das Untersuchen von Warnungen konzentrieren, anstatt Daten manuell zu abfragen.

Der Sandkastenarbeitsbereich ermöglicht es dem Sicherheitsarchitekturteam, benutzerdefinierte Plug-Ins und experimentelle Agents isoliert zu testen. Plug-Ins, die ihren Wert im Sandkasten belegen, werden vom Security Architect in Produktionsarbeitsbereichen überprüft und veröffentlicht.

Nächste Schritte

Um Ihr Security Copilot Know-how weiter zu entwickeln, sollten Sie Folgendes untersuchen:

• Benutzerdefinierte Agents – Erstellen Sie Agents, die auf die spezifischen Sicherheits- und Betriebsworkflows Ihrer Organisation mit natürlicher Sprache, der Agent Builder-Schnittstelle oder YAML-Manifesten zugeschnitten sind.
• Custom plugins – Erweitern Sie die Funktionen Security Copilot, indem Sie Plug-Ins entwickeln, die eine Verbindung mit den proprietären Datenquellen und Sicherheitstools Ihrer Organisation herstellen.
• Beschreiben der eingebetteten Umgebungen von Microsoft Security Copilot – Verstehen Sie, wie Security Copilot in die Portale von Defender XDR, Purview, Intune und Microsoft Entra integriert ist, um kontextbezogene KI-Funktionen bereitzustellen.
• Erstellen Sie Ihre eigenen Promptbooks – Erstellen Sie automatisierte Workflows mit mehreren Schritten, um Untersuchungs- und Reaktionsverfahren in Ihren Arbeitsbereichen zu standardisieren.

Weitere Informationen

• Verwalten von Plug-Ins in Microsoft Security Copilot
• Übersicht über Plug-Ins
• Einrichtung und Verwaltung von Security Copilot-Agenten
• Agenten in Microsoft Security Copilot entdecken
• Microsoft Security Store in Microsoft Security Copilot
• Was ist der Microsoft Security Store?