Overzicht
In deze module hebt u geleerd hoe u governance-instellingen voor invoegtoepassingen configureert en hoe u de levenscyclus van Security Copilot-agent beheert in de werkruimteomgeving van Contoso.
U bent begonnen met het beheer van uw plugins. Op de pagina Instellingen voor invoegtoepassingen hebt u machtigingen voor gebruikersbereik en organisatiebereik geconfigureerd om te bepalen wie aangepaste invoegtoepassingen voor hun eigen sessies kan toevoegen en wie invoegtoepassingen voor iedereen in de organisatie kan publiceren. U hebt geleerd dat de machtiging voor organisatiebereik alleen beschikbaar wordt zodra de toegang tot gebruikersbereik is uitgebreid tot inzenders. U beperkt de beschikbaarheid van vooraf geïnstalleerde invoegtoepassingen voor specifieke werkruimten en begrijpt waarom deze beperkingen onmiddellijk van invloed zijn op ingesloten ervaringen in Defender en andere Microsoft portals. U hebt aangepaste plugins toegevoegd met behulp van de Security Copilot-plugin en de OpenAI-pluginindelingen, en u hebt het verschil begrepen tussen het bereik van privé- en organisatiebrede plugins.
Vervolgens bent u overgegaan naar agentimplementatie. Met behulp van de agentbibliotheek hebt u door Microsoft gemaakte en door partners gebouwde agents bekeken. Vervolgens hebt u de volledige configuratiestroom voor een Microsoft-gebouwde agent voltooid. U selecteert een toegewezen agentidentiteit. Je hebt de trigger en machtigingen geconfigureerd en de agent voor de eerste keer uitgevoerd. U begrijpt waarom toegewezen agentidentiteiten worden aanbevolen voor gedeelde gebruikersaccounts. U hebt geleerd hoe de werkruimtecontext van de agent bepaalt welke capaciteit en invoegtoepassingen de agent kan gebruiken.
U hebt een partneragent aangeschaft via de Security Store die is geïntegreerd in Security Copilot. U hebt het onderscheid begrepen tussen de kosten van het Security Store-abonnement en het SCU-verbruik (Security Compute Unit) en waarom het verwijderen van een agent uit Security Copilot geen partnerabonnement annuleert. Voor een agent waarvoor toegang tot Microsoft Defender gegevens is vereist, hebt u de goedkeuringswerkstroom van de globale beheerder voltooid. U kopieert de goedkeuringskoppeling, wacht op toestemming van de beheerder en voltooit de installatie nadat goedkeuring is verleend. Vervolgens hebt u de afhankelijke invoegtoepassing van de agent geconfigureerd om de agent volledig operationeel te maken.
Tenslotte hebt u stapsgewijs agents ingezet en beheerd. U beheerde de uitvoering van agents met automatische triggers en handmatige eenmalige runs, paste agentconfiguraties aan om parameters te wijzigen, en gebruikte de pauzefunctie voordat u de werkruimte opnieuw toewijst. U hebt gerichte feedback gegeven om de prestaties van agents te verbeteren en de interface voor geheugenbeheer te gebruiken om verouderde feedbackvermeldingen te controleren en te verwijderen.
Het resultaat van Contoso
Met de implementatie van invoegtoepassingsgovernance en agents functioneert de Security Copilot-implementatie van Contoso op volle capaciteit.
De SOC-werkruimte draait dreigingsopsporing- en triageagents met toegewijde toegang tot Defender XDR en Microsoft Sentinel-plugins. SOC-analisten profiteren van geautomatiseerde vooranalyse terwijl ze de zichtbaarheid van agentactiviteiten behouden.
De compliancewerkruimte voert agents uit die gericht zijn op governance en Purview als focus hebben, met plugintoegang beperkt tot nalevingsgerelateerde gegevensbronnen. Het complianceteam kan zich richten op het onderzoeken van waarschuwingen in plaats van handmatig query's uit te voeren op gegevens.
Met de sandbox-werkruimte kan het beveiligingsarchitectuurteam aangepaste invoegtoepassingen en experimentele agents afzonderlijk testen. Invoegtoepassingen die hun waarde in de sandbox bewijzen, worden door de beveiligingsarchitect beoordeeld en gepubliceerd naar productie-omgevingen.
Volgende stappen
Als u uw Security Copilot expertise wilt blijven ontwikkelen, kunt u het volgende verkennen:
- Aangepaste agents : bouw agents die zijn afgestemd op de specifieke beveiligings- en operationele werkstromen van uw organisatie met behulp van natuurlijke taal, de interface van de agentbouwer of YAML-manifesten.
- Custom-invoegtoepassingen - Breid de mogelijkheden van Security Copilot uit door invoegtoepassingen te ontwikkelen die verbinding maken met de eigen gegevensbronnen en beveiligingshulpprogramma's van uw organisatie.
- Describeer de ingesloten ervaringen van Microsoft Security Copilot - Inzicht in hoe Security Copilot wordt geïntegreerd in Defender XDR, Purview, Intune en Microsoft Entra portals om ai-mogelijkheden in context te leveren.
- Uw eigen promptbooks bouwen: geautomatiseerde werkstromen met meerdere stappen maken om onderzoek- en responsprocedures in uw werkruimten te standaardiseren.