Compartir a través de

Agente de información de inteligencia sobre amenazas (versión preliminar)

Importante

Parte de la información de este artículo se refiere a un producto preliminar que podría modificarse sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Los analistas de inteligencia sobre amenazas se enfrentan a varios desafíos en la entrega de inteligencia detallada, accionable y contextualizada. La tarea de desarrollar sesiones informativas de inteligencia sobre amenazas implica recopilar información de varias fuentes de amenazas, herramientas y portales; filtrar y correlacionar esta información; y analizar y asignar riesgos organizativos. Estas actividades se producen antes de que los analistas puedan incluso empezar a desarrollar el propio informe y generar información para cuando entreguen el informe. Para entonces, dado que estos procesos pueden tardar entre horas y días, las amenazas a las que se enfrenta la organización ya han evolucionado, lo que puede hacer que la sesión informativa esté obsoleta.

Esta versión preliminar de Threat Intelligence Briefing Agent se desarrolló en respuesta a estos puntos de dolor. Threat Intelligence Briefing Agent en el portal independiente de Microsoft Security Copilot genera informes de inteligencia sobre amenazas basados en la última actividad del actor de amenazas e información de vulnerabilidades internas y externas, en cuestión de minutos. El agente puede ayudar a los equipos de seguridad a ahorrar tiempo mediante la creación de un informe personalizado y relevante que proporciona información situacional clave para los cisos y los administradores, y un punto de partida sólido para los analistas de inteligencia sobre amenazas para su trabajo de defensa contra amenazas.

El agente aprovecha la automatización dinámica y la inteligencia artificial generativa profunda junto con su gran cantidad de conocimientos y señales de inteligencia sobre amenazas. Al compilar la sesión informativa, el agente elige dinámicamente el siguiente paso en función del resultado del paso anterior, lo que le permite decidir en tiempo real qué inteligencia de amenazas debe incluir y priorizar. A continuación, el agente traduce esta información técnica en un informe digerible que puede ser consumido por varias audiencias.

Threat Intelligence Briefing Agent es más adecuado para los clientes que han activado Microsoft Defender Superficie de ataque externo y Microsoft Defender para punto de conexión, ya que el agente se basa en señales e información de estas integraciones de primera persona para ofrecer informes precisos y enriquecidos en el contexto.

Requisitos previos

Permissions

Este agente puede leer datos de Administración de superficie expuesta a ataques externos de Defender y Administración de vulnerabilidades de Defender.

Identidad

Este agente requiere conexión a una cuenta de usuario existente.

Productos

Microsoft Security Copilot es necesario para ejecutar este agente.

Complementos

Se necesita el siguiente complemento para ejecutar este agente:

  • Inteligencia sobre amenazas de Microsoft

El siguiente complemento es opcional para ejecutar este agente, pero puede agregar más contexto a la salida:

  • Administración de superficie expuesta a ataques externos de Microsoft Defender

Acceso basado en roles

El propietario y los colaboradores pueden ver el informe generado por threat Intelligence Briefing Agent en la página de la biblioteca del agente de Microsoft Security Copilot.

Trigger

Este agente se ejecuta en el intervalo de tiempo establecido cuando está activado o manualmente cuando desea ejecutarlo.

Configuración del agente

  1. Para ejecutar threat Intelligence Briefing Agent, vaya primero a la página Agentes del portal Microsoft Security Copilot independiente. Seleccione Ver detalles en Agente de información de inteligencia sobre amenazas.

    Captura de pantalla de Microsoft Security Copilot página de la biblioteca del agente.

  2. Revise los detalles del agente y seleccione Configurar. Captura de pantalla de la página de detalles de Threat Intelligence Briefing Agent.

  3. Para conectar una cuenta de usuario al agente, seleccione Siguiente para abrir una nueva ventana en la que puede seleccionar la cuenta de usuario. Después de esto, espere a que el agente termine de configurar. Captura de pantalla de la página de configuración del Agente de información sobre amenazas.

  4. Especifique los parámetros para personalizar la salida y, a continuación, seleccione Finalizar. Para editar estos parámetros más adelante, seleccione los tres puntos de la sección superior derecha de la página de información general del agente.

    Captura de pantalla de la página Configuración de parámetros del agente de información sobre amenazas.

    • Conclusiones para la investigación: el número de vulnerabilidades que el agente investiga para las amenazas activas
    • Echar un vistazo a los días anteriores: cuánto tiempo atrás el agente investiga las amenazas contra las vulnerabilidades
    • Email: dirección de correo electrónico del usuario o grupo de distribución al que se envía la sesión informativa
    • Región: ámbito del área geográfica en la que el agente comprueba si hay amenazas.
    • Sector: sector o sector en el que el agente comprueba si hay amenazas

  5. Una vez creado el agente, se le redirigirá a la página de información general del agente. Para ejecutar el agente, vaya a la esquina superior derecha de la página y seleccione Ejecutar agente. Seleccione En el desencadenador para programar que el agente se ejecute a la hora establecida o seleccione Una vez para ejecutar el informe a petición. Captura de pantalla de la página de información general de Threat Intelligence Briefing Agent.

Evaluar y proporcionar comentarios sobre la salida del agente

Los informes generados aparecen en la página Agente de información sobre amenazas en Actividad. Muestra el nombre del informe, la hora de inicio, el método de generación y el estado actual.

Captura de pantalla de la página de información general de Threat Intelligence Briefing Agent con los resultados.

Seleccione uno de los informes para evaluar la salida del agente.

Captura de pantalla del informe de ejemplo del Agente de información sobre amenazas.

El informe de inteligencia sobre amenazas contiene un resumen pertinente de la información sobre amenazas y un análisis técnico detallado, incluida cualquier vulnerabilidad explotada activamente y su posible impacto en la organización.

Threat Intelligence Briefing Agent elige dinámicamente el siguiente paso en función del resultado del paso anterior a medida que compila la sesión informativa. Para ver el progreso del agente hacia la generación de la información sobre amenazas, seleccione Ver actividad.

Captura de pantalla del botón Ver actividad.

Verá detalles de la actividad, lo que le proporcionará transparencia sobre los pasos realizados por el agente para generar la salida.

Captura de pantalla del mapa de actividad.

Puede proporcionar comentarios sobre la sesión informativa seleccionando el botón de pulgar hacia arriba o hacia abajo. Puede elaborarlo en el cuadro de texto que aparece después. Seleccione Enviar para enviar sus comentarios.

Vea también