agente di analista della sicurezza Microsoft Security Copilot

  • Si applica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Importante

Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.

L'agente degli analisti della sicurezza in Defender aiuta gli analisti della sicurezza a identificare, valutare e assegnare priorità ai rischi rapidamente fornendo:

  • Analisi flessibile: Eseguire analisi pronte all'uso o personalizzate sui dati di sicurezza. Ottenere informazioni dettagliate, raccomandazioni e report interattivi e con priorità per individuare le principali vulnerabilità e rischi.

  • Integrazione dei dati: analizzare i dati da Microsoft Defender XDR, Sentinel Log Analytics o Sentinel Data Lake, in base alle istruzioni. È anche possibile caricare file CSV per l'analisi personalizzata del set di dati (attualmente disponibile nell'esperienza autonoma, ma sarà presto disponibile in Defender)

  • Esplorazione interattiva: Visualizzare i dati per individuare anomalie e rischi più velocemente.

  • Assistenza per la conversazione: Chattare con l'agente, porre domande di follow-up ed eseguire analisi correlate per approfondire la comprensione

Usare l'agente degli analisti di sicurezza se si vogliono eseguire attività di analisi di base, ad esempio analisi dei modelli, analisi delle tendenze, serie temporali e visualizzazioni e attività di analisi più complesse, ad esempio il rilevamento delle anomalie, il clustering, la classificazione, l'assegnazione dei punteggi dei rischi e la definizione delle priorità, la previsione e la modellazione predittiva per individuare i rischi nascosti. L'agente genera informazioni dettagliate con priorità con prove complete per la difendibilità. Si tratta di un'analisi avanzata basata su Python in una prima esperienza di chat, senza la necessità di scrivere codice o query.

L'agente può eseguire analisi in singolo o in più passaggi su volumi elevati di dati e motivi iterativi e individua i rischi nascosti, assegna priorità a questi rischi con un percorso di prova dettagliato e una giustificazione.

Prerequisiti e requisiti di configurazione

È necessario avere accesso a Security Copilot e Defender XDR o Sentinel Log Analytics o Sentinel Data Lake per usare l'agente.

Requisiti di accesso e configurazione

  • Requisiti di accesso

È necessario avere accesso in lettura a Microsoft Defender XDR, Microsoft Sentinel'area di lavoro Log Analytics o Microsoft Sentinel Data Lake, a seconda dell'origine dati scelta.

  • Controllo degli accessi in base al ruolo e configurazione specifica dell'utente

Quando si configura l'agente, l'agente è associato all'identità e si applica solo all'istanza utente.

  • Supporto per più utenti

Altri utenti nello stesso tenant possono anche configurare l'agente usando la propria identità, a condizione che dispongano dell'accesso necessario alle origini dati selezionate.

Origini dati

L'agente supporta attualmente tre origini dati:

Origine dati Descrizione
Defender XDR (impostazione predefinita) telemetria Microsoft Defender XDR
Sentinel Log Analytics Microsoft Sentinel'area di lavoro Log Analytics
Sentinel Data Lake (passaggio obbligatorio solo per Sentinel Data Lake) Microsoft Sentinel Data Lake

Esistono due metodi per specificare l'origine dati:

Richieste di linguaggio naturale: aggiungere l'origine dati all'istruzione. Ad esempio:

Analyze if there are privilege escalation or role elevation activities that are followed by sensitive data access in my enterprise. Please use Sentinel Log Analytics for this.

Quando si specifica un'origine dati nell'istruzione, l'agente recupera e analizza i log di sicurezza da tale origine. Se sono presenti più aree di lavoro, l'agente chiede di specificare quale usare.

Una volta configurata in un prompt, l'impostazione dell'origine dati viene mantenuta per l'intera sessione fino a quando non viene modificata. È consigliabile limitare le modifiche all'origine dati in una determinata sessione a tre per migliorare le prestazioni.

Impostazioni agente: è anche possibile specificare l'origine dati modificando le impostazioni dell'agente.

Importante

L'agente rispetta sempre le istruzioni. Se si verifica un conflitto tra le impostazioni dell'agente e un'istruzione prompt, l'istruzione prompt ha la precedenza.

Se non viene specificata alcuna origine dati usando uno dei due metodi, l'agente tenta innanzitutto di recuperare i dati da Defender XDR. Se l'errore non riesce a causa dell'indisponibilità dei dati o di un problema di autorizzazione, l'agente ritenta da Sentinel Log Analytics.

Configurare l'agente dell'analista della sicurezza (facoltativo)

È possibile eseguire l'agente di Security Analyst direttamente in Defender senza completare la configurazione. La configurazione dell'agente viene fornita per supportare scenari di configurazione facoltativi, ad esempio la definizione di un'identità dell'agente o la preconfigurazione delle origini dati. Non influisce sulla capacità di eseguire l'agente in Defender.

Importante

La configurazione dell'origine dati è facoltativa. È possibile specificare l'origine dati direttamente nel prompt e l'agente assegna la priorità a queste istruzioni basate su prompt durante l'esecuzione dell'analisi. Se nel prompt non viene specificata alcuna origine dati, l'agente usa l'origine dati configurata nelle impostazioni dell'agente.

  1. Accedere a Security Copilot (https://securitycopilot.microsoft.com).

  2. Selezionare l'icona del menu Home.

  3. Passare ad Agenti.

  4. Nella sezione Pronto per l'installazione selezionare Agente analista della sicurezza.

  5. Per la prima installazione, individuare l'agente nella sezione Pronto per l'installazione e selezionare Configura. Se l'agente è già configurato per almeno un utente, cercare "Agente analista della sicurezza" nella sezione "Agenti in uso" e fare clic su "Vai all'agente".

    Immagine dell'agente di analista della sicurezza - Passare all'agente

  6. Specificare i dettagli delle origini dati preferite per configurare l'agente:

    • Defender XDR: lasciare vuoti tutti i campi e specificare Use Defender XDR alla fine dell'istruzione.

    • Sentinel Data Lake (obbligatorio):

      1. Immettere SentinelDataLake nel campo DataSource .
      2. Immettere il nome dell'area di lavoro nel campo Sentinel Nome area di lavoro Data Lake.
      3. Lasciare vuoti i campi rimanenti.

    • Sentinel'area di lavoro Log Analytics:

      1. Immettere SentinelLogAnalyticsWorkspace nel campo DataSource .
      2. Compilare il campo seguente: Nome area di lavoro Log Analytics.
      3. Lasciare vuoto il campo Sentinel Data Lake Workspace Name (Nome area di lavoro Data Lake) e salvare le impostazioni.

      Immagine dell'agente di analista della sicurezza - Configurare la chat dell'agente

  7. Selezionare Chat con l'agente nella parte superiore per interagire con l'agente.

    Immagine dell'agente di analista della sicurezza - Chat con il pulsante dell'agente

    È possibile avviare una nuova chat per una nuova analisi, visualizzare e accedere alle chat cronologiche e visualizzare i dettagli dell'impostazione dell'agente da qualsiasi sessione dell'agente.

    Immagine dell'agente di analista della sicurezza - Nuova sessione di chat

Usare l'agente di analista della sicurezza

  1. Passare a Microsoft Defender in https://defender.microsoft.come quindi selezionare Ricerca avanzata in Analisi e risposta.

  2. Aprire Copilot e quindi selezionare Agente analista della sicurezza.

    Screenshot della selezione di Security Analyst Agent in Microsoft Defender Ricerca avanzata.

  3. Immettere il prompt di analisi della sicurezza in linguaggio naturale oppure selezionare una delle richieste suggerite.

  4. Se l'attività è ampia, rispondere alle domande di chiarimento dell'agente in modo che l'agente possa limitare l'ambito dell'analisi.

  5. Facoltativamente, specificare l'origine dati nel prompt. Se non viene specificata alcuna origine dati, l'agente tenta innanzitutto di Defender XDR e quindi Sentinel Log Analytics per identificare e recuperare i dati necessari per l'analisi.

  6. Esaminare la risposta, inclusi i risultati con priorità, le prove di supporto e le raccomandazioni.

    Nell'esempio seguente, l'agente riepiloga i risultati insieme alle prove e fornisce anche raccomandazioni contestuali sui passaggi successivi, ovvero indagini più approfondite o contenimento. La risposta contiene anche un elenco di richieste successive suggerite che l'utente può chiedere di continuare a interagire.

    Screenshot della risposta di esempio dell'agente di analista della sicurezza.

  7. Continuare con i prompt di completamento nella stessa sessione o avviare una nuova sessione per un'indagine separata.

    Nota

    L'agente può richiedere alcuni minuti per completare analisi complesse.

  8. Se è stata eseguita una query KQL e si sta cercando di analizzare i risultati per comprendere i rischi per la sicurezza, selezionare analizza con copilot sotto la scheda risultati della query. L'agente ragiona sui risultati generati e presenta un riepilogo delle informazioni dettagliate con priorità che richiedono un'attenzione urgente.

    Screenshot che mostra l'azione Analizza con Copilot nei risultati della query di ricerca avanzata.

  9. Usare i pulsanti di feedback nella risposta per condividere se l'output è stato utile.

Interpretazione del report

Riepilogo esecutivo

Questa sezione fornisce una descrizione chiara del modo in cui è stata eseguita l'analisi, delineando i passaggi eseguiti e i dati considerati. Spiega i criteri di filtro, gli intervalli di tempo e qualsiasi classificazione applicata, il tutto in un linguaggio semplice in modo che i lettori possano seguire facilmente il processo.

Informazioni dettagliate chiave

Qui sono disponibili i risultati più significativi dell'analisi, presentati in modo conciso e significativo. Ogni approfondimento include una breve spiegazione del motivo per cui è importante e, se pertinente, riferimenti a prove di supporto.

Visualizzazioni

Questa sezione contiene grafici o grafici che aggiungono profondità e chiarezza al report, consentendo ai lettori di interpretare rapidamente modelli o relazioni nei dati. Gli oggetti visivi vengono inclusi solo quando forniscono un valore univoco all'analisi.

Manufatti

Gli artefatti sono i file di supporto che accompagnano il report, ad esempio un csv completo di tutte le entità analizzate e, se applicabile, file di prova dettagliati. Queste risorse consentono ai lettori di esplorare il set di dati completo dietro i risultati. Gli artefatti includono la query KQL usata dall'agente per recuperare i dati (si noti che l'agente usa solo KQL per il recupero dei dati, l'analisi viene eseguita in Python), un piano completo formulato per l'esecuzione dell'attività.

  • Last updated on