biztonsági elemzőügynök Microsoft Security Copilot

  • A következőre érvényes:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Fontos

A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.

A Defender biztonsági elemzőügynöke az alábbiakkal segít a biztonsági elemzőknek a kockázatok gyors azonosításában, értékelésében és rangsorolásában:

  • Rugalmas elemzés: Használatra kész vagy egyéni elemzéseket végezhet a biztonsági adatokon. A leggyakoribb biztonsági rések és kockázatok feltárásához műveletekkel és rangsorolással kapcsolatos megállapításokat, javaslatokat és jelentéseket kaphat.

  • adatintegráció: Elemezheti a Microsoft Defender XDR, a Log Analytics Sentinel vagy a Data Lake Sentinel adatait az ön utasításai alapján. CSV-fájlokat is feltölthet egyéni adathalmaz-elemzéshez (jelenleg önálló felületen érhető el, de hamarosan elérhető lesz a Defenderben)

  • Interaktív feltárás: Az adatok vizualizációja az anomáliák és kockázatok gyorsabb észlelése érdekében.

  • Beszélgetési segítség: Csevegjen az ügynökkel, tegyen fel további kérdéseket, és végezzen kapcsolódó elemzéseket a megértés elmélyítése érdekében

Használja a Biztonsági elemzőügynököt, ha olyan alapszintű elemzési feladatokat szeretne végrehajtani, mint a mintaelemzés, a trendelemzés, az idősorok és a vizualizáció, valamint összetettebb elemzési feladatokat, például anomáliadetektálást, fürtözést, rangsorolást, kockázatpontozást és rangsorolást, előrejelzést és prediktív modellezést a rejtett kockázatok feltárásához. Az ügynök rangsoros megállapításokat hoz létre a defenzibilitás teljes bizonyítékával. Ez egy python-alapú speciális elemzés a csevegés első felületén, kód vagy lekérdezés írása nélkül.

Az ügynök egy- vagy többlépéses elemzést végezhet nagy mennyiségű adaton, és iteratív módon képes feltárni a rejtett kockázatokat, és ezeket a kockázatokat a részletes bizonyítékok nyomaival és indoklásával rangsorolja.

Előfeltételek és beállítási követelmények

Az ügynök használatához hozzáféréssel kell rendelkeznie Security Copilot és Defender XDR vagy Sentinel Log Analyticshez vagy Sentinel Data Lake-hez.

Hozzáférési és beállítási követelmények

  • Hozzáférési követelmények

A választott adatforrástól függően olvasási hozzáféréssel kell rendelkeznie Microsoft Defender XDR, Microsoft Sentinel Log Analytics-munkaterülethez vagy Microsoft Sentinel Data Lake-hez.

  • RBAC és felhasználóspecifikus beállítás

Az ügynök konfigurálásakor az identitáshoz van kötve, és csak a felhasználói példányra vonatkozik.

  • Többfelhasználós támogatás

Az ugyanabban a bérlőben lévő többi felhasználó saját identitással is konfigurálhatja az ügynököt, feltéve, hogy rendelkezik a szükséges hozzáféréssel a kiválasztott adatforrásokhoz.

Adatforrások

Az ügynök jelenleg három adatforrást támogat:

Adatforrás Leírás
Defender XDR (alapértelmezett) telemetria Microsoft Defender XDR
Sentinel Log Analytics Microsoft Sentinel Log Analytics-munkaterület
Sentinel Data Lake (kötelező lépés csak Sentinel Data Lake esetében) Microsoft Sentinel Data Lake

Az adatforrás megadásának két módja van:

Természetes nyelvi kérések: Adja hozzá az adatforrást az utasításhoz. Például:

Analyze if there are privilege escalation or role elevation activities that are followed by sensitive data access in my enterprise. Please use Sentinel Log Analytics for this.

Amikor megad egy adatforrást az utasításban, az ügynök lekéri és elemzi az adott forrásból származó biztonsági naplókat. Ha több munkaterület is van, az ügynök megkéri, hogy adja meg, melyiket használja.

A parancssorban való konfigurálás után az adatforrás-beállítás a teljes munkamenetben megmarad, amíg meg nem változik. A jobb teljesítmény érdekében javasoljuk, hogy egy adott munkamenetben az adatforrások változásait háromra korlátozza.

Ügynökbeállítások: Az adatforrást az Ügynök beállításainak szerkesztésével is megadhatja.

Fontos

Az ügynök mindig betartja az ön utasításait. Ha ütközés van az ügynök beállításai és a parancssori utasítás között, a parancssori utasítás elsőbbséget élvez.

Ha egyik módszerrel sem ad meg adatforrást, az ügynök először megpróbál adatokat lekérni Defender XDR. Ha ez az adatok elérhetetlensége vagy engedélyekkel kapcsolatos probléma miatt meghiúsul, az ügynök újrapróbálkozásokat tesz Sentinel Log Analyticsből.

A biztonsági elemzőügynök konfigurálása (nem kötelező)

A Biztonsági elemző ügynök közvetlenül a Defenderben is futtatható a telepítés befejezése nélkül. Az ügynök beállítása az opcionális konfigurációs forgatókönyvek, például az ügynökidentitás definiálása vagy az adatforrások előre konfigurálása támogatására szolgál. Ez nincs hatással az ügynök Defenderben való futtatásának képességére.

Fontos

Az adatforrás konfigurálása nem kötelező. Az adatforrást közvetlenül a parancssorban adhatja meg, és az ügynök rangsorolja ezeket a parancssori utasításokat az elemzés végrehajtásakor. Ha a parancssorban nincs megadva adatforrás, az ügynök az ügynök beállításaiban konfigurált adatforrást használja.

  1. Jelentkezzen be a Security Copilot (https://securitycopilot.microsoft.com) szolgáltatásba.

  2. Válassza a kezdőlapmenü ikont.

  3. Lépjen az Ügynökök elemre.

  4. A Beállításra kész szakaszban válassza a Biztonsági elemzőügynök lehetőséget.

  5. Az első telepítéshez keresse meg az ügynököt a Beállításra kész szakaszban, és válassza a Beállítás lehetőséget. Ha az ügynök már konfigurálva van legalább egy felhasználóhoz, keressen rá a "Biztonsági elemző ügynök" kifejezésre a "Használatban lévő ügynökök" szakaszban, és kattintson az "Ugrás az ügynökre" elemre.

    Biztonsági elemző ügynök képe – Ugrás az ügynökre

  6. Adja meg az előnyben részesített adatforrások adatait az ügynök konfigurálásához:

    • Defender XDR: Hagyja üresen az összes mezőt, és adja meg a értéket Use Defender XDR az utasítás végén.

    • Sentinel Data Lake (kötelező):

      1. A DataSource (Adatforrás) mezőbe írja be SentinelDataLake a következőt : .
      2. Adja meg a munkaterület nevét a Sentinel Data Lake-munkaterület neve mezőben.
      3. Hagyja üresen a többi mezőt.

    • Sentinel Log Analytics-munkaterület:

      1. A DataSource (Adatforrás) mezőbe írja be SentinelLogAnalyticsWorkspace a következőt : .
      2. Töltse ki a következő mezőt: Log Analytics-munkaterület neve.
      3. Hagyja üresen a Sentinel Data Lake-munkaterület neve mezőt, és mentse a beállításokat.

      Biztonsági elemző ügynök képe – Ügynökcsevegés beállítása

  7. Válassza a felül található Csevegés ügynökkel lehetőséget az ügynökkel való kommunikációhoz.

    A Biztonsági elemző ügynök képe – csevegés az ügynökkel gomb

    Új csevegést indíthat egy új elemzéshez, megtekintheti és elérheti az előzményalapú csevegéseket, és megtekintheti az ügynökbeállítás részleteit bármely ügynök-munkamenetből.

    A biztonsági elemző ügynök képe – új csevegési munkamenet

A biztonsági elemzőügynök használata

  1. Lépjen a Microsoft Defender a címen, https://defender.microsoft.commajd válassza a Speciális veszélyforrás-keresés lehetőséget a Vizsgálat és válasz területen.

  2. Nyissa meg a Copilotot, majd válassza a Biztonsági elemzőügynök lehetőséget.

    Képernyőkép a Biztonsági elemzőügynök kiválasztásáról Microsoft Defender Speciális veszélyforrás-keresés területen.

  3. Adja meg a biztonsági elemzési kérést természetes nyelven, vagy válassza ki a javasolt kérések egyikét.

  4. Ha a feladat széles körű, válaszoljon az ügynök tisztázó kérdéseire, hogy az ügynök szűkítse az elemzés hatókörét.

  5. Igény szerint megadhatja az adatforrást a parancssorban. Ha nincs megadva adatforrás, az ügynök először megpróbálja Defender XDR, majd Sentinel Log Analyticset az elemzéshez szükséges adatok azonosításához és lekéréséhez.

  6. Tekintse át a választ, beleértve a rangsorban szereplő megállapításokat, a bizonyítékokat és a javaslatokat.

    A következő példában az ügynök összegzi az eredményeket a bizonyítékokkal együtt, és környezeti javaslatokat is ad a következő lépésekre, akár mélyebb vizsgálatra, akár elszigetelésre vonatkozóan. A válasz tartalmazza azoknak a javasolt következő kéréseknek a listáját is, amelyeket a felhasználó megkérhet, hogy folytassa az interakciót.

    Képernyőkép a Biztonsági elemző ügynöktől kapott mintaválaszról.

  7. Folytassa a nyomon követési kérésekkel ugyanabban a munkamenetben, vagy indítson el egy új munkamenetet egy külön vizsgálathoz.

    Megjegyzés:

    Az ügynök összetett elemzések elvégzése eltarthat néhány percig.

  8. Ha KQL-lekérdezést futtatott, és a biztonsági kockázatok megértéséhez szeretné elemezni az eredményeket, válassza az Elemzés a copilottal lehetőséget a lekérdezés eredménylapja alatt. A generált eredmények ügynökkel kapcsolatos okai és a sürgős beavatkozást igénylő rangsorolt megállapítások összegzése.

    Képernyőkép az Elemzés a Copilottal műveletről a Speciális veszélyforrás-keresési lekérdezés eredményei között.

  9. A válasz visszajelzési gombjaival megoszthatja, hogy a kimenet hasznos volt-e.

A jelentés értelmezése

Összefoglaló

Ez a szakasz az elemzés végrehajtásának világos elbeszélését mutatja be, amely ismerteti a végrehajtott lépéseket és a figyelembe vett adatokat. Ismerteti a szűrési feltételeket, az időtartományokat és az alkalmazott rangsorolásokat, mindezt egyszerű nyelven, hogy az olvasók könnyen követhessek a folyamatot.

Főbb megállapítások

Itt megtalálja az elemzés legfontosabb megállapításait, amelyek tömören és érthetően jelennek meg. Minden megállapítás tartalmaz egy rövid magyarázatot arról, hogy miért számít, és adott esetben hivatkozik a bizonyítékra.

Képi

Ez a szakasz olyan diagramokat vagy grafikonokat tartalmaz, amelyek mélységet és érthetőséget adnak a jelentésnek, így az olvasók gyorsan értelmezik az adatok mintázatait és kapcsolatait. A vizualizációk csak akkor jelennek meg, ha egyedi értéket biztosítanak az elemzéshez.

Leletek

Az összetevők a jelentéshez tartozó kiegészítő fájlok, például az összes elemzett entitás átfogó CSV-fájlja és adott esetben részletes bizonyítékfájlok. Ezek az erőforrások lehetővé teszik az olvasók számára, hogy felfedezzék az eredmények mögötti teljes adathalmazt. Az összetevők közé tartozik az ügynök által az adatok lekéréséhez használt KQL-lekérdezés (vegye figyelembe, hogy az ügynök csak a KQL-t használja az adatlekéréshez, az elemzés a Pythonban történik), a feladat végrehajtásához kialakított átfogó tervet.

  • Last updated on