Compartir a través de

Security Copilot Agent en Microsoft Purview Overview (versión preliminar)

Microsoft Security Copilot agentes son procesos con tecnología de inteligencia artificial que están diseñados para ayudarle con tareas específicas basadas en roles. Microsoft Purview ofrece un agente de triaje de Prevención de pérdida de datos de Microsoft Purview (DLP) en versión preliminar. Este agente proporciona una cola de alertas administrada por el agente donde se identifican y priorizan las alertas sobre las actividades de mayor riesgo. El agente analiza el contenido y la intención potencial implicados en la actividad en función de los parámetros elegidos por la organización y el nivel de tolerancia al riesgo. El agente ofrece una explicación completa de la lógica detrás de la categorización.

El agente está disponible en las experiencias insertadas de Microsoft Purview. Para obtener más información, consulte experiencias insertadas.

La evaluación y asignación de una prioridad a las alertas puede ser compleja y lleva mucho tiempo. Cuando tiene una evaluación de prioridades de agente y alertas de prioridad, según los parámetros que establezca, se reduce la cantidad de tiempo necesario para completar la tarea. El agente le ayuda a centrarse en las alertas más importantes si las elimina del ruido de las alertas de menor riesgo. Esto mejora el tiempo de respuesta y ayuda a aumentar la eficacia y la eficacia de su equipo.

Para obtener información sobre cómo implementar, configurar y usar los agentes, consulte Introducción a los agentes de Microsoft Purview.

Antes de empezar

Si no está familiarizado con Security Copilot o Security Copilot agentes, debe familiarizarse con la información de estos artículos:

conceptos del agente de Security Copilot

Los agentes de triaje de Microsoft Purview se ejecutan en unidades de proceso de seguridad (SCU). La organización debe tener las SCU aprovisionadas para que se ejecuten los agentes. Para obtener más información, consulte Licencias de SKU o suscripciones.

Desencadenantes

Los desencadenadores son agrupaciones de parámetros cuyos valores deben cumplirse para que el agente triaje cualquier alerta determinada. Los desencadenadores incluyen:

Importante

Los agentes no tienen en cuenta la unidad administrativa. Sin embargo, si el agente se ejecuta en el contexto de un administrador restringido de unidad administrativa y hay directivas que tienen como ámbito la unidad administrativa a ese administrador, el agente solo verá las alertas de las directivas que se limitan a la unidad de administración.

Ejecución automática o manual

Al implementar un agente y al editar desencadenadores, puede seleccionar si el agente se ejecutará automáticamente en función de una programación establecida o si el agente se ejecutará manualmente en una alerta a la vez . Si selecciona Ejecutar automáticamente según una programación establecida, el agente evaluará las alertas que se incluyen en la configuración Seleccionar período de tiempo de alerta .

Seleccionar período de tiempo de alerta

Al implementar un agente y al editar los desencadenadores de un agente, puede elegir el período de tiempo que usará el agente para definir el ámbito de las alertas que se van a evaluar. Las opciones son:

  • Evaluar solo las nuevas alertas
  • Últimas 24 horas
  • Últimas 48 horas
  • Últimas 72 horas
  • Últimos 7 días
  • Últimos 14 días
  • Últimos 21 días
  • Últimos 30 días

Si selecciona Solo evaluar las nuevas alertas, el agente solo evaluará las alertas que se generan después de implementar el agente. El agente no evaluará las alertas que se generaron antes de implementar el agente. Esto significa que se omiten todas las opciones Últimas horas o días .

Si selecciona cualquiera de las opciones Últimas horas o días , el agente evalúa las alertas que se generaron en el período de tiempo seleccionado. Esto permite evaluar todas las opciones que se generaron antes de implementar el agente. También se evalúan todas las alertas recién generadas.

Importante

El ámbito del período de tiempo para las alertas que se van a evaluar se delimita en el momento de la habilitación correcta del agente. Básicamente, el reloj empieza a marcar y, a continuación, cuando el agente está habilitado. Por lo tanto, El último número de horas o días hace referencia al período de tiempo anterior a la implementación del agente. Este no es un período de tiempo gradual.

Contexto de seguridad

Los agentes se ejecutan en el contexto de seguridad del usuario que los configuró por última vez. El contexto de seguridad se debe renovar cada 90 días. El agente deja de ejecutarse si el usuario se quita o elimina del inquilino o si el usuario está deshabilitado.

Alertas de evaluación por evaluación

El agente evaluará las alertas en función de la configuración del desencadenador. El agente evaluará las alertas que se generan en el período de tiempo seleccionado y que proceden de las directivas seleccionadas. No todas las alertas se evalúan. Para obtener más información, consulte Agentes de instalación.

Las alertas por evaluación se agrupan en cuatro categorías:

Todos: esta categoría incluye todas las alertas que el agente ha evaluado. Es posible que el recuento indicado en la categoría no refleje con precisión el número real de alertas hasta que entre en esa vista y desplácese hacia abajo para cargar todas las alertas. Si las condiciones que provocaron que la alerta se generara en primer lugar han cambiado, o si aún no se ha evaluado la alerta, puede seleccionar la alerta y, a continuación, seleccionar Ejecutar agente para ejecutar manualmente el agente en la alerta.

Necesita atención: estas son las alertas que el agente ha razonado y han determinado que suponen el mayor riesgo para su organización. Al seleccionar una de estas alertas, se abre el control flotante de detalles para mostrar un resumen de la alerta y otros detalles.

Menos urgentes: estas son las alertas que el agente ha razonado y han determinado que suponen un riesgo menor para su organización. Al seleccionar una de estas alertas, se abre el control flotante de detalles para mostrar un resumen de la alerta y otros detalles.

No clasificado: estas son las alertas que el agente no pudo evaluar correctamente. Esto puede ocurrir por varias razones, entre las que se incluyen: - Error del servidor - En proceso de revisión- otro error: error no admitido para las alertas que contienen actividades que el agente no admite.

Los agentes evalúan los archivos con un tamaño de hasta dos MB.

Cómo priorizan los agentes

El agente de evaluación de prioridades dlp da prioridad a las alertas en función de estos factores de riesgo:

  • Riesgo de contenido: este es el factor de riesgo principal que se usa durante la evaluación de prioridades del agente, abarca el contenido confidencial en función de los SIT proporcionados por Microsoft, clasificadores entrenables y etiquetas de confidencialidad predeterminadas. Para obtener más información, consulte etiquetas de confidencialidad predeterminadas.
  • Riesgo de filtración: filtración de datos confidenciales compartidos externamente.
  • Riesgo de directiva: el modo de directiva y las reglas con acciones afectan a la priorización de alertas.
  • Riesgo de contenido: etiqueta eliminada o degradada. 
  • Riesgo de filtración: filtración de datos confidenciales.

Detalles de la evaluación de la evaluación de alertas

Importante

El agente de evaluación de prioridades dlp solo admite alertas de directivas que están en modo activo. El agente de evaluación de prioridades de alertas DLP no evalúa las alertas de las directivas DLP que se ejecutan en modo de simulación.

Los agentes pueden revisar las alertas que se generaron hasta 30 días antes de la habilitación del agente si el inquilino tiene suficienteSUS. Las alertas que se generaron más de 30 días antes de la habilitación del agente están fuera del ámbito.

El agente de triaje DLP evalúa las alertas de Exchange, SharePoint, OneDrive y Teams.

En DLP, el agente no evalúa las alertas desencadenadas por tipos de información confidencial (SIT) personalizados y condiciones de clasificador que se pueden entrenar personalizadas únicamente. Las alertas desencadenadas por condiciones de directiva de clasificador que no son de SIT o que no se pueden entrenar solo como Email subject match , por ejemplo, no se clasifican.

Debe realizar un análisis manual de las alertas que el agente no puede evaluar por completo.

Alertas de evaluación parcial

Estos son algunos ejemplos de situaciones en las que las alertas se pueden evaluar parcialmente.

  • La regla DLP contiene algunas condiciones que no se admiten, como The user accessed a sensitive site from Edge
  • La regla DLP incluye ciertas condiciones, pero el sistema no puede recuperar las propiedades correspondientes del correo electrónico o archivos como Document couldn't be scanned.

Análisis de contenido

Hay algunas situaciones en las que el análisis de contenido puede ser limitado.

La priorización del riesgo de contenido de una alerta se basa en los SIT proporcionados por Microsoft, clasificadores entrenables y etiquetas de confidencialidad en el contenido. Cuando un agente evalúa el riesgo de contenido, solo busca SIT proporcionados por Microsoft y clasificadores entrenables definidos en la directiva.

Cuando una alerta DLP está asociada a cero a nueve archivos, el agente examina todos los archivos y los usa en el resumen de contenido. Cuando una alerta tiene más de 10 o más archivos, los 10 archivos potencialmente principales se usan para generar el resumen de riesgo de archivos. En DLP, el agente de evaluación de prioridades selecciona los 10 archivos de riesgo principales según el número de aciertos del clasificador de directivas, el tamaño del archivo y la última vez que se obtuvo acceso al archivo. Cuando esto sucede, el agente proporciona una nota que indica que todos los archivos de la alerta no se incluyeron en el resumen de contenido.