Security Copilot Agent - Domande frequenti sull'intelligenza artificiale responsabile

Cosa sono gli agenti per Security Copilot? Qual è l'esperienza Amministrazione/utente finale e qual è l'esperienza sviluppatore?

Un agente di intelligenza artificiale Security Copilot è un sistema che percepisce l'ambiente digitale e fisico del cliente. Un agente prende decisioni e prende azioni per raggiungere un obiettivo, con l'autonomia concessa dal cliente Security Copilot. L'amministratore autorizzato del cliente installa tutti gli agenti Security Copilot dai portali Microsoft Defender XDR, Microsoft Entra, Intune, Purview e Security Copilot. L'amministratore imposta l'identità dell'agente e configura il controllo degli accessi in base al ruolo per l'agente. L'utente finale di un agente è un analista della sicurezza (Defender, Microsoft Entra, Threat Intel), un analista della privacy (Purview) o un amministratore IT (Microsoft Entra, Intune) e sperimenta principalmente gli agenti tramite i rispettivi portali. Per indicazioni sulla creazione di agenti personalizzati per clienti o partner, vedere Creare agenti personalizzati.

Cosa possono fare gli agenti Security Copilot?

• Tre agenti classificano e classificano in modo autonomo avvisi e eventi imprevisti: Valutazione del phishing, Valutazione avvisi per la prevenzione della perdita dei dati e Valutazione avvisi per Insider Risk Management.
• Tre agenti eseguono in modo autonomo attività di sicurezza proattive: correzione della vulnerabilità, briefing di Intelligence sulle minacce e deviazione dei criteri di accesso condizionale.
• Per la generazione e l'esecuzione del piano, ognuno di questi agenti usa:
  • Orchestrazione semplice fornita dallo sviluppatore dell'agente Microsoft, ovvero lo sviluppatore ha scritto codice per indirizzare l'agente o
  • Orchestrazione di intelligenza artificiale fornita dalla piattaforma, ovvero una combinazione di codice creato da Security Copilot e istruzioni LLM indirizza l'agente.

Quali sono le esperienze Security Copilot Agent previste per l'uso?

• Agente di valutazione del phishing: analizza in modo autonomo gli eventi di phishing segnalati dall'utente in Microsoft Defender XDR, eseguendo l'arricchimento sull'evento imprevisto e risolvendo potenzialmente l'evento imprevisto in base all'analisi dell'agente su testo e immagini.
• Valutazione degli avvisi per la prevenzione della perdita dei dati: analizza in modo autonomo gli avvisi DLP in Microsoft Purview, eseguendo l'arricchimento sull'avviso e risolvendo potenzialmente l'avviso in base all'analisi dell'agente.
• Valutazione degli avvisi per Insider Risk Management: analizza autonomamente gli avvisi IRM in Microsoft Purview, eseguendo l'arricchimento sull'avviso e potenzialmente risolvendo l'avviso in base all'analisi dell'agente.
• Correzione della vulnerabilità: crea in modo autonomo un gruppo di applicazione di patch per correggere le vulnerabilità pubblicate con patch applicabili all'ambiente del cliente. L'agente non applica patch all'ambiente.
• Briefing sulle intelligence sulle minacce: esegue ricerche e invia in modo autonomo al cliente un agente di informazioni sulle minacce settimanale.
• Deviazione dei criteri di accesso condizionale: crea in modo autonomo una modifica dei criteri che mantiene sincronizzati il sistema di identità e il sistema utente del cliente.

Come è stata valutata l'esperienza dell'agente Security Copilot? Quali metriche vengono usate per misurare le prestazioni?

• Per la fase di anteprima privata, ogni agente è stato valutato dal proprio prodotto e team di ricerca con il caso d'uso e l'input di progettazione dei clienti.
• La sicurezza del sistema è stata valutata tramite un esercizio di teaming rosso.

Quali sono le limitazioni degli agenti Security Copilot? In che modo gli utenti possono ridurre al minimo l'impatto delle limitazioni quando usano il sistema?

• Si tratta di una versione di anteprima pubblica, quindi i clienti devono considerare gli agenti Security Copilot come una funzionalità preliminare. Ciò significa che i clienti devono esaminare il processo decisionale dell'agente prima di agire sui relativi output. Il processo decisionale dell'agente è disponibile nell'esperienza del prodotto.
• Gli agenti sono adatti solo per l'attività specifica che sono progettati per eseguire (vedere i casi d'uso previsti sopra). Gli agenti non sono adatti per altre attività.
• Quando gli utenti inviano commenti e suggerimenti a un agente da archiviare in memoria, l'agente non fornisce un riepilogo della relativa interpretazione del feedback. Ciò significa che gli utenti non riceveranno la convalida immediata del modo in cui è stato compreso il loro input. Per ridurre al minimo l'ambiguità, gli utenti devono inviare commenti chiari, concisi e specifici. Ciò consente di garantire che l'interpretazione dell'agente sia strettamente allineata alla finalità dell'utente, anche senza un riepilogo esplicito.
• L'interfaccia utente corrente non indica l'evento di segnalazione di commenti e suggerimenti in conflitto. Gli utenti devono esaminare regolarmente i commenti e suggerimenti per comprendere cosa è già stato inviato all'agente per assicurarsi che sia in linea con le proprie esigenze.
• La mappa del nodo dell'agente è progettata per fornire una visualizzazione generale dei passaggi eseguiti durante un processo dell'agente. Ogni nodo nella mappa dei nodi visualizza il titolo della competenza usata in ogni passaggio (ad esempio, 'UserPeers' o 'SummarizeFindingAgent'), insieme a informazioni di base come stato di completamento, durata e timestamp. Non fornisce un riepilogo approfondito delle azioni specifiche eseguite in ogni nodo. Gli utenti possono ridurre al minimo l'impatto esaminando attentamente i titoli dei nodi, mentre vengono scritti per descrivere l'azione eseguita. Possono quindi dedurre gli scopi di ogni passaggio, considerando i titoli nel contesto dell'attività più ampia dell'agente.
• Gli agenti usano la memoria per archiviare il feedback degli utenti autorizzati e applicare tali informazioni alle esecuzioni successive. Ad esempio, un analista della sicurezza potrebbe fornire il feedback seguente all'agente di valutazione del phishing inviato dall'utente: "I messaggi di posta elettronica provenienti da hrtools.com provengono dal fornitore di formazione delle risorse umane, quindi non contrassegnarli come attacchi di phishing a meno che non vi sia malware nell'endpoint di collegamento". Tale feedback viene archiviato in memoria e quindi si applica alle esecuzioni successive dell'agente in modo che il contesto aziendale del cliente venga acquisito in modo efficace. Per proteggere la memoria dall'avvelenamento da un aggiornamento dannoso o involontariamente errato, l'amministratore del cliente configura chi è autorizzato a fornire commenti e suggerimenti all'agente. Inoltre, l'amministratore può visualizzare, modificare ed eliminare il contenuto della memoria, accessibile dalle schermate di configurazione dell'agente nel prodotto.

Quali fattori operativi e impostazioni consentono un uso efficace e responsabile degli agenti Security Copilot?

• Ogni agente viene eseguito con un'identità gestita o come utente acquisito, consentendo all'amministratore di gestire i dati a cui ha accesso.
• Ogni agente dispone di controlli controllo degli accessi in base al ruolo e i due agenti Purview possono essere ulteriormente limitati in merito ai dati elaborati.
• Nessuno di questi sei agenti esegue azioni che non possono essere annullate. Ad esempio, tre agenti modificano lo stato degli eventi imprevisti o degli avvisi, un atto che può essere facilmente invertito.
• L'amministratore controlla chi nell'organizzazione può fornire commenti e suggerimenti all'agente.

Ricerca per categorie fornire feedback sugli agenti Security Copilot?

Ogni agente dispone di un meccanismo di feedback che consente ai clienti di fornire feedback in linguaggio naturale all'agente. L'agente incorpora tale feedback in un ciclo di apprendimento attivo.

Supporto del plug-in

Security Copilot agenti non supportano i plug-in.