Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Microsoft Security Copilot offre funzionalità di automazione avanzate che consentono di affrontare le sfide reali in materia di sicurezza e operazioni IT, tra cui promptbook Security Copilot e agenti Security Copilot.
Security Copilot promptbook possono essere sfruttati per creare automazioni che seguono un flusso di lavoro deterministico e lineare.
Security Copilot agenti possono essere sfruttati per creare automazioni per flussi di lavoro deterministici o non deterministici. Nei flussi di lavoro non deterministici, gli agenti sfruttano gli strumenti e le istruzioni per sviluppare un piano dinamico per raggiungere il risultato. Gli agenti offrono anche funzionalità aggiuntive, ad esempio la possibilità di attivare in base a una pianificazione e di apprendere dai commenti e suggerimenti degli utenti.
È possibile scegliere di creare promptbook o agenti a seconda degli scenari di sicurezza e delle operazioni IT e dei casi d'uso.
Casi d'uso per agenti personalizzati
Gli agenti Security Copilot personalizzati possono essere sviluppati per qualsiasi caso d'uso. Di seguito sono riportate alcune idee che è possibile prendere in considerazione per migliorare la sicurezza e le operazioni IT:
Agente che esegue un'analisi completa degli eventi imprevisti di sicurezza Microsoft Defender analizzando i dettagli degli eventi imprevisti, estraendo entità e correlando gli eventi imprevisti di Microsoft Sentinel per ottenere un contesto arricchito. Si conclude con un'analisi dettagliata del verdetto che determina se l'evento imprevisto è un vero positivo, falso positivo o richiede ulteriori indagini, insieme ai passaggi di follow-up consigliati.
Agente che analizza frammenti di codice o script sospetti per determinarne la natura dannosa ed estrae gli indicatori di compromissione ,ad esempio indirizzi IP e domini. L'agente raccoglie quindi informazioni sulle minacce sulle operazioni di I/O estratte e verifica se negli ultimi sette giorni i dispositivi dell'organizzazione hanno comunicato con questi indicatori potenzialmente dannosi.
Agente che genera report completi di intelligence sulle minacce in base all'input dell'utente e cerca vulnerabilità e esposizioni comuni associate nelle tabelle Microsoft Defender. Analizza gli attori delle minacce, gli strumenti e le vulnerabilità identificando al tempo stesso i dispositivi interessati nell'ambiente e fornendo strategie di mitigazione.
Agente che esegue indagini complete sulla posta elettronica analizzando i messaggi di posta elettronica sospetti in Microsoft Entra ID, Defender, Sentinel e Microsoft Defender Threat Intelligence piattaforma. Esamina i dettagli della posta elettronica, la cronologia del mittente, le interazioni con gli allegati, la selezione dell'URL, l'attività di accesso dell'utente e la reputazione dell'entità per fornire raccomandazioni sulla sicurezza e determinare gli indicatori di compromissione.
Agente che esegue indagini utente complete raccogliendo e analizzando i dati da più piattaforme di sicurezza, tra cui Entra ID, Intune e Microsoft Sentinel. Esamina i dettagli utente, i livelli di rischio, i log di controllo, i modelli di accesso, la conformità dei dispositivi, la reputazione IP e gli avvisi di sicurezza per produrre un riepilogo investigativo a livello esecutivo.