agente de analista de seguridad de Microsoft Security Copilot

  • Se aplica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Security Analyst Agent in Defender ayuda a los analistas de seguridad a identificar, evaluar y priorizar rápidamente los riesgos proporcionando:

  • Análisis flexible: Realice análisis listos para usar o personalizados en los datos de seguridad. Obtenga información, recomendaciones e informes accionables y prioritarios para descubrir las principales vulnerabilidades y riesgos.

  • Integración de datos: analice los datos de Microsoft Defender XDR, Sentinel Log Analytics o Sentinel Data Lake, según sus instrucciones. También puede cargar archivos CSV para el análisis de conjuntos de datos personalizados (disponible actualmente en la experiencia independiente, pero estará disponible en breve en Defender).

  • Exploración interactiva: Visualice los datos para detectar anomalías y riesgos más rápido.

  • Asistencia para conversaciones: Chatee con el agente, haga preguntas de seguimiento y realice análisis relacionados para profundizar en su comprensión.

Use Security Analyst Agent si desea realizar tareas de análisis básicas, como análisis de patrones, análisis de tendencias, series temporales y visualización, y tareas de análisis más complejas, como la detección de anomalías, agrupación en clústeres, clasificación, puntuación de riesgos y priorización, previsión y modelado predictivo para descubrir riesgos ocultos. El agente genera información por orden de prioridad con pruebas completas para la defensa. Se trata de un análisis avanzado con tecnología python en una primera experiencia de chat, sin necesidad de escribir código ni consultas.

El agente puede realizar un análisis de un solo paso o varios pasos en grandes volúmenes de datos y razones iterativamente y descubrir riesgos ocultos, prioriza estos riesgos con pruebas detalladas y justificación.

Requisitos previos y requisitos de configuración

Debe tener acceso a Security Copilot y Defender XDR o Sentinel Log Analytics o Sentinel Data Lake para usar el agente.

Requisitos de acceso y configuración

  • Requisitos de acceso

Debe tener acceso de lectura a Microsoft Defender XDR, Microsoft Sentinel área de trabajo de Log Analytics o Microsoft Sentinel Data Lake, en función del origen de datos que elija.

  • RBAC y configuración específica del usuario

Al configurar el agente, está asociado a su identidad y solo se aplica a la instancia de usuario.

  • Compatibilidad con varios usuarios

Otros usuarios del mismo inquilino también pueden configurar el agente mediante su propia identidad, siempre que tengan el acceso necesario a los orígenes de datos seleccionados.

Orígenes de datos

Actualmente, el agente admite tres orígenes de datos:

Origen de datos Descripción
Defender XDR (valor predeterminado) telemetría de Microsoft Defender XDR
Sentinel Log Analytics Microsoft Sentinel área de trabajo de Log Analytics
Sentinel Data Lake (paso obligatorio solo para Sentinel Data Lake) Microsoft Sentinel Data Lake

Hay dos métodos para especificar el origen de datos:

Avisos de lenguaje natural: agregue el origen de datos a la instrucción. Por ejemplo:

Analyze if there are privilege escalation or role elevation activities that are followed by sensitive data access in my enterprise. Please use Sentinel Log Analytics for this.

Cuando se especifica un origen de datos en la instrucción, el agente recupera y analiza los registros de seguridad de ese origen. Si hay varias áreas de trabajo, el agente le pide que especifique cuál usar.

Una vez configurado en un símbolo del sistema, la configuración del origen de datos se conserva durante toda la sesión hasta que cambia. Se recomienda limitar los cambios del origen de datos en una sesión determinada a tres para mejorar el rendimiento.

Configuración del agente: también puede especificar el origen de datos editando la configuración del agente.

Importante

El agente siempre respeta sus instrucciones. Si hay un conflicto entre la configuración del agente y una instrucción de aviso, la instrucción de aviso tiene prioridad.

Si no se especifica ningún origen de datos mediante cualquiera de los métodos, el agente primero intenta recuperar datos de Defender XDR. Si se produce un error debido a una falta de disponibilidad de datos o a un problema de permisos, el agente vuelve a intentar desde Sentinel Log Analytics.

Configuración del agente de security analyst (opcional)

Puede ejecutar el agente de Security Analyst directamente en Defender sin completar la instalación. La configuración del agente se proporciona para admitir escenarios de configuración opcionales, como la definición de una identidad de agente o la preconfiguración de orígenes de datos. No afecta a la capacidad de ejecutar el agente en Defender.

Importante

La configuración del origen de datos es opcional. Puede especificar el origen de datos directamente en el símbolo del sistema y el agente da prioridad a estas instrucciones basadas en mensajes al realizar el análisis. Si no se especifica ningún origen de datos en el símbolo del sistema, el agente usa el origen de datos configurado en la configuración del agente.

  1. Inicie sesión en Security Copilot (https://securitycopilot.microsoft.com).

  2. Seleccione el icono del menú inicio.

  3. Vaya a Agentes.

  4. En la sección Listo para la instalación , seleccione Agente de analista de seguridad.

  5. Para la configuración por primera vez, busque el agente en la sección Listo para la instalación y seleccione Configurar. Si el agente ya está configurado para al menos un usuario, busque "Agente de analista de seguridad" en la sección "Agentes en uso" y haga clic en "Ir al agente".

    Imagen del agente de analista de seguridad: ir al agente

  6. Proporcione los detalles de los orígenes de datos preferidos para configurar el agente:

    • Defender XDR: deje todos los campos en blanco y especifique Use Defender XDR al final de la instrucción.

    • Sentinel Data Lake (obligatorio):

      1. Escriba SentinelDataLake en el campo DataSource .
      2. Escriba el nombre del área de trabajo en el campo Sentinel Nombre del área de trabajo de Data Lake.
      3. Deje los campos restantes vacíos.

    • Sentinel área de trabajo de Log Analytics:

      1. Escriba SentinelLogAnalyticsWorkspace en el campo DataSource .
      2. Rellene el campo siguiente: Nombre del área de trabajo de Log Analytics.
      3. Deje en blanco el campo Nombre del área de trabajo de Data Lake Sentinel y guarde la configuración.

      Imagen del agente de analista de seguridad: configuración del chat del agente

  7. Seleccione Chatear con el agente en la parte superior para interactuar con el agente.

    Imagen del agente de analista de seguridad: botón chatear con el agente

    Puede iniciar un nuevo chat para un nuevo análisis, ver y acceder a los chats históricos y ver los detalles de la configuración del agente desde cualquier sesión del agente.

    Imagen del agente de analista de seguridad: nueva sesión de chat

Uso del agente de analista de seguridad

  1. Vaya a Microsoft Defender en https://defender.microsoft.comy, a continuación, seleccione Búsqueda avanzada en Investigación y respuesta.

  2. Abra Copilot y, a continuación, seleccione Agente de analista de seguridad.

    Captura de pantalla de la selección de Security Analyst Agent en Microsoft Defender búsqueda avanzada.

  3. Escriba el símbolo del sistema de análisis de seguridad en lenguaje natural o seleccione una de las solicitudes sugeridas.

  4. Si la tarea es amplia, responda a las preguntas aclarantes del agente para que el agente pueda restringir el ámbito del análisis.

  5. Opcionalmente, especifique el origen de datos en el símbolo del sistema. Si no se proporciona ningún origen de datos, el agente primero intenta Defender XDR y, a continuación, Sentinel Log Analytics para identificar y recuperar los datos necesarios para su análisis.

  6. Revise la respuesta, incluidos los resultados prioritarios, las pruebas complementarias y las recomendaciones.

    En el ejemplo siguiente, el agente resume sus conclusiones junto con pruebas y también proporciona recomendaciones contextuales sobre los pasos siguientes, ya sea una investigación o una contención más profundas. La respuesta también contiene una lista de los siguientes avisos sugeridos que el usuario puede pedir para continuar con la interacción.

    Captura de pantalla de la respuesta de ejemplo del agente de Security Analyst.

  7. Continúe con los mensajes de seguimiento en la misma sesión o inicie una nueva sesión para una investigación independiente.

    Nota:

    El agente puede tardar unos minutos en completar análisis complejos.

  8. Si ejecutó una consulta KQL y está buscando analizar los resultados para comprender los riesgos de seguridad, seleccione Analizar con copiloto debajo de la pestaña de resultados de la consulta. Los motivos del agente sobre los resultados generados y presentan un resumen de la información prioritaria que necesita atención urgente.

    Captura de pantalla que muestra la acción Analizar con Copilot en resultados de consulta de búsqueda avanzada.

  9. Use los botones de comentarios de la respuesta para compartir si la salida fue útil.

Interpretación del informe

Resumen ejecutivo

En esta sección se proporciona una narración clara de cómo se realizó el análisis, en la que se describen los pasos realizados y los datos considerados. Explica los criterios de filtrado, los intervalos de tiempo y cualquier clasificación aplicada, todo en un lenguaje sencillo para que los lectores puedan seguir fácilmente el proceso.

Información clave

Aquí encontrará los resultados más significativos del análisis, presentados de forma concisa y significativa. Cada información incluye una breve explicación de por qué importa y, si procede, referencias a pruebas complementarias.

Visualizaciones

Esta sección contiene gráficos o gráficos que agregan profundidad y claridad al informe, lo que ayuda a los lectores a interpretar rápidamente patrones o relaciones en los datos. Los objetos visuales solo se incluyen cuando proporcionan un valor único al análisis.

Artefactos

Los artefactos son los archivos auxiliares que acompañan al informe, como un CSV completo de todas las entidades analizadas y, cuando corresponda, archivos de evidencia detallados. Estos recursos permiten a los lectores explorar el conjunto de datos completo detrás de los hallazgos. Los artefactos incluyen la consulta KQL que usó el agente para recuperar los datos (tenga en cuenta que el agente solo usa KQL para la recuperación de datos, el análisis se realiza en Python), un plan completo que se formuló para realizar la tarea.

  • Last updated on