Agent d’analyste de sécurité Microsoft Security Copilot

  • S’applique à: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Importante

Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.

L’agent d’analyste de sécurité dans Defender aide les analystes de sécurité à identifier, évaluer et hiérarchiser rapidement les risques en fournissant les éléments suivants :

  • Analyse flexible : Effectuer des analyses prêtes à l’emploi ou personnalisées sur les données de sécurité. Obtenez des informations, des recommandations et des rapports actionnables et hiérarchisés pour découvrir les vulnérabilités et les risques les plus importants.

  • Intégration de données : analysez les données de Microsoft Defender XDR, Sentinel Log Analytics ou Sentinel lac de données, en fonction de vos instructions. Vous pouvez également charger des fichiers CSV pour l’analyse de jeux de données personnalisée (disponible actuellement dans l’expérience autonome, mais sera bientôt disponible dans Defender)

  • Exploration interactive : Visualisez les données pour repérer les anomalies et les risques plus rapidement.

  • Assistance à la conversation : Discutez avec l’agent, posez des questions de suivi et effectuez des analyses connexes pour approfondir votre compréhension

Utilisez l’agent d’analyste de sécurité si vous souhaitez effectuer des tâches d’analyse de base telles que l’analyse des modèles, l’analyse des tendances, les séries chronologiques et la visualisation, ainsi que des tâches d’analyse plus complexes telles que la détection d’anomalies, la clustering, le classement, le scoring et la hiérarchisation des risques, la prévision et la modélisation prédictive pour découvrir les risques cachés. L’agent génère des insights hiérarchisés avec des preuves complètes de la défendabilité. Il s’agit d’une analyse avancée basée sur Python dans une première expérience de conversation, sans avoir besoin d’écrire du code ou des requêtes.

L’agent peut effectuer une analyse en une ou plusieurs étapes sur de grands volumes de données et expliquer de manière itérative les risques cachés, hiérarchise ces risques avec une piste de preuve détaillée et une justification.

Conditions préalables et configuration requise

Vous devez avoir accès à Security Copilot et Defender XDR ou Sentinel Log Analytics ou Sentinel Data Lake pour utiliser l’Agent.

Conditions d’accès et d’installation

  • Conditions d’accès

Vous devez disposer d’un accès en lecture à Microsoft Defender XDR, Microsoft Sentinel espace de travail Log Analytics ou Microsoft Sentinel lac de données, selon la source de données que vous avez choisie.

  • RBAC et configuration spécifique à l’utilisateur

Lorsque vous configurez l’agent, il est lié à votre identité et s’applique uniquement à votre instance utilisateur.

  • Prise en charge multiutilisateur

D’autres utilisateurs du même locataire peuvent également configurer l’agent à l’aide de leur propre identité, à condition de disposer de l’accès requis aux sources de données sélectionnées.

Sources de données

L’agent prend actuellement en charge trois sources de données :

Source de données Description
Defender XDR (par défaut) télémétrie Microsoft Defender XDR
Sentinel Log Analytics Microsoft Sentinel espace de travail Log Analytics
Sentinel lac de données (étape obligatoire pour Sentinel lac de données uniquement) Microsoft Sentinel lac de données

Il existe deux méthodes pour spécifier la source de données :

Invites en langage naturel : ajoutez la source de données à votre instruction. Par exemple :

Analyze if there are privilege escalation or role elevation activities that are followed by sensitive data access in my enterprise. Please use Sentinel Log Analytics for this.

Lorsque vous spécifiez une source de données dans votre instruction, l’agent récupère et analyse les journaux de sécurité de cette source. S’il existe plusieurs espaces de travail, l’agent vous demande de spécifier celui à utiliser.

Une fois configuré dans une invite, le paramètre de source de données persiste pour l’ensemble de la session jusqu’à ce qu’il soit modifié. Nous vous recommandons de limiter à trois les modifications apportées aux sources de données dans une session donnée pour améliorer les performances.

Paramètres de l’agent : vous pouvez également spécifier la source de données en modifiant les paramètres de l’agent.

Importante

L’agent respecte toujours vos instructions. En cas de conflit entre les paramètres de l’agent et une instruction d’invite, l’instruction d’invite est prioritaire.

Si aucune source de données n’est spécifiée à l’aide de l’une ou l’autre méthode, l’agent tente d’abord de récupérer des données à partir de Defender XDR. Si cela échoue en raison d’une indisponibilité des données ou d’un problème d’autorisation, l’agent effectue une nouvelle tentative à partir de Sentinel Log Analytics.

Configurer l’agent d’analyste de sécurité (facultatif)

Vous pouvez exécuter l’agent Analyste de sécurité directement dans Defender sans effectuer l’installation. La configuration de l’agent est fournie pour prendre en charge des scénarios de configuration facultatifs, tels que la définition d’une identité d’agent ou la préconfiguration de sources de données. Cela n’affecte pas votre capacité à exécuter l’agent dans Defender.

Importante

La configuration de la source de données est facultative. Vous pouvez spécifier la source de données directement dans votre invite, et l’agent hiérarchise ces instructions basées sur les invites lors de l’exécution de l’analyse. Si aucune source de données n’est spécifiée dans l’invite, l’agent utilise la source de données configurée dans les paramètres de l’agent.

  1. Connectez-vous à Security Copilot (https://securitycopilot.microsoft.com).

  2. Sélectionnez l’icône du menu Accueil.

  3. Accédez à Agents.

  4. Dans la section Prêt pour l’installation , sélectionnez Agent d’analyste de sécurité.

  5. Pour la première installation, recherchez l’agent dans la section Prêt pour l’installation , puis sélectionnez Configurer. Si l’agent est déjà configuré pour au moins un utilisateur, recherchez « Agent d’analyste de sécurité » sous la section « Agents en cours d’utilisation », puis cliquez sur « Accéder à l’agent ».

    Image de l’agent d’analyste de sécurité - Accéder à l’agent

  6. Fournissez les détails de vos sources de données préférées pour configurer l’agent :

    • Defender XDR : laissez tous les champs vides et spécifiez Use Defender XDR à la fin de votre instruction.

    • Sentinel lac de données (obligatoire) :

      1. Entrez SentinelDataLake dans le champ Source de données .
      2. Entrez le nom de votre espace de travail dans le champ Sentinel Nom de l’espace de travail lac de données.
      3. Laissez les champs restants vides.

    • Sentinel espace de travail Log Analytics :

      1. Entrez SentinelLogAnalyticsWorkspace dans le champ Source de données .
      2. Renseignez le champ suivant : Nom de l’espace de travail Log Analytics.
      3. Laissez le champ Sentinel Nom de l’espace de travail lac de données vide et enregistrez vos paramètres.

      Image de l’agent d’analyste de sécurité - Configurer la conversation de l’agent

  7. Sélectionnez Conversation avec l’agent en haut pour interagir avec l’agent.

    Image de l’agent d’analyste de sécurité - discuter avec le bouton de l’agent

    Vous pouvez démarrer une nouvelle conversation pour une nouvelle analyse, afficher et accéder aux conversations historiques, et afficher les détails des paramètres de l’agent à partir de n’importe quelle session d’agent.

    Image de l’agent d’analyste de sécurité - nouvelle session de conversation

Utiliser l’agent d’analyste de sécurité

  1. Accédez à Microsoft Defender à l’adresse https://defender.microsoft.com, puis sélectionnez Repérage avancé sous Investigation et réponse.

  2. Ouvrez Copilot, puis sélectionnez Agent d’analyste de sécurité.

    Capture d’écran de la sélection de l’agent d’analyste de sécurité dans Microsoft Defender repérage avancé.

  3. Entrez votre invite d’analyse de la sécurité en langage naturel ou sélectionnez l’une des invites suggérées.

  4. Si la tâche est vaste, répondez aux questions de clarification de l’agent afin que l’agent puisse limiter l’étendue de l’analyse.

  5. Spécifiez éventuellement la source de données dans votre invite. Si aucune source de données n’est fournie, l’agent tente d’abord d’Defender XDR, puis Sentinel Log Analytics pour identifier et récupérer les données nécessaires à l’analyse.

  6. Passez en revue la réponse, y compris les résultats hiérarchisés, les preuves à l’appui et les recommandations.

    Dans l’exemple suivant, l’agent résume ses résultats avec des preuves et fournit également des recommandations contextuelles sur les étapes suivantes, qu’il s’agirait d’une investigation plus approfondie ou d’un confinement. La réponse contient également une liste d’invites suivantes suggérées que l’utilisateur peut demander de continuer à interagir.

    Capture d’écran de l’exemple de réponse de l’agent Analyste de sécurité.

  7. Poursuivez avec les invites de suivi dans la même session ou démarrez une nouvelle session pour une investigation distincte.

    Remarque

    L’agent peut prendre quelques minutes pour effectuer des analyses complexes.

  8. Si vous avez exécuté une requête KQL et que vous cherchez à analyser les résultats pour comprendre les risques de sécurité, sélectionnez l’option Analyser avec copilote sous l’onglet résultats de la requête. L’agent raisonné sur les résultats générés et présente un résumé des insights hiérarchisés nécessitant une attention urgente.

    Capture d’écran montrant l’action Analyser avec Copilot dans résultats de la requête de chasse avancée.

  9. Utilisez les boutons de commentaires sur la réponse pour indiquer si la sortie a été utile.

Interprétation du rapport

Synthèse

Cette section fournit une description claire de la façon dont l’analyse a été effectuée, en décrivant les étapes prises et les données prises en compte. Il explique les critères de filtrage, les intervalles de temps et tout classement appliqué, le tout dans un langage simple afin que les lecteurs puissent facilement suivre le processus.

Insights clés

Vous trouverez ici les résultats les plus significatifs de l’analyse, présentés de manière concise et significative. Chaque insight comprend une brève explication de son importance et, le cas échéant, des références à des preuves à l’appui.

Visualisations

Cette section contient des graphiques ou des graphiques qui ajoutent de la profondeur et de la clarté au rapport, ce qui permet aux lecteurs d’interpréter rapidement les modèles ou les relations dans les données. Les visuels sont inclus uniquement lorsqu’ils fournissent une valeur unique à l’analyse.

Artefacts

Les artefacts sont les fichiers de prise en charge qui accompagnent le rapport, tels qu’un fichier CSV complet de toutes les entités analysées et, le cas échéant, des fichiers de preuve détaillés. Ces ressources permettent aux lecteurs d’explorer le jeu de données complet derrière les résultats. Les artefacts incluent la requête KQL qui a été utilisée par l’agent pour récupérer les données (notez que l’agent utilise uniquement KQL pour la récupération des données, l’analyse est effectuée en Python), plan complet qui a été formulé pour l’exécution de la tâche.

  • Last updated on