agent analityka zabezpieczeń Microsoft Security Copilot

  • Dotyczy: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Ważna

Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.

Agent analityka zabezpieczeń w usłudze Defender pomaga analitykom zabezpieczeń szybko identyfikować, oceniać i ustalać priorytety zagrożeń, zapewniając:

  • Analiza elastyczna: Wykonaj gotowe do użycia lub niestandardowe analizy danych zabezpieczeń. Uzyskaj praktyczne i priorytetowe szczegółowe informacje, zalecenia i raporty, aby odkryć najważniejsze luki w zabezpieczeniach i zagrożenia.

  • Integracja danych: analizowanie danych z Microsoft Defender XDR, Sentinel Log Analytics lub Sentinel Data Lake na podstawie instrukcji. Możesz również przekazać pliki CSV na potrzeby niestandardowej analizy zestawu danych (dostępne obecnie w środowisku autonomicznym, ale wkrótce będą dostępne w usłudze Defender)

  • Interaktywna eksploracja: Wizualizuj dane, aby szybciej wykryć anomalie i zagrożenia.

  • Pomoc dotycząca konwersacji: Porozmawiaj z agentem, zadaj kolejne pytania i przeprowadź powiązane analizy, aby pogłębić swoją wiedzę

Użyj agenta analityka zabezpieczeń, jeśli chcesz wykonywać podstawowe zadania analizy, takie jak analiza wzorców, analiza trendów, szeregi czasowe i wizualizacje oraz bardziej złożone zadania analizy, takie jak wykrywanie anomalii, klastrowanie, klasyfikacja, ocenianie ryzyka i ustalanie priorytetów, prognozowanie i modelowanie predykcyjne w celu wykrycia ukrytych zagrożeń. Agent generuje szczegółowe informacje o priorytetach z pełnymi dowodami na defensybility. Jest to zaawansowana analiza oparta na języku Python w środowisku czatu, bez konieczności pisania kodu lub zapytań.

Agent może przeprowadzić analizę jedno- lub wieloetapową na dużych ilościach danych oraz iteracyjnie uzasadniać i odkrywać ukryte zagrożenia, ustalać priorytety tych zagrożeń ze szczegółowym śladem dowodów i uzasadnieniem.

Wymagania wstępne i wymagania dotyczące konfiguracji

Aby korzystać z agenta, musisz mieć dostęp do Security Copilot i Defender XDR lub Sentinel Log Analytics lub Sentinel Data lake.

Wymagania dotyczące dostępu i konfiguracji

  • Wymagania dotyczące dostępu

W zależności od wybranego źródła danych musisz mieć dostęp do odczytu do Microsoft Defender XDR, Microsoft Sentinel obszaru roboczego usługi Log Analytics lub Microsoft Sentinel Data Lake.

  • Kontrola dostępu oparta na rolach i konfiguracja specyficzna dla użytkownika

Podczas konfigurowania agenta jest on powiązany z twoją tożsamością i ma zastosowanie tylko do wystąpienia użytkownika.

  • Obsługa wielu użytkowników

Inni użytkownicy w tej samej dzierżawie mogą również skonfigurować agenta przy użyciu własnej tożsamości, pod warunkiem że mają wymagany dostęp do wybranych źródeł danych.

Źródła danych

Agent obsługuje obecnie trzy źródła danych:

Źródło danych Opis
Defender XDR (wartość domyślna) Microsoft Defender XDR telemetria
Sentinel Log Analytics Microsoft Sentinel obszar roboczy usługi Log Analytics
Sentinel Data Lake (obowiązkowy krok tylko dla usługi Sentinel Data Lake) Microsoft Sentinel Data Lake

Istnieją dwie metody określania źródła danych:

Monity dotyczące języka naturalnego: dodaj źródło danych do instrukcji. Przykład:

Analyze if there are privilege escalation or role elevation activities that are followed by sensitive data access in my enterprise. Please use Sentinel Log Analytics for this.

Po określeniu źródła danych w instrukcji agent pobiera i analizuje dzienniki zabezpieczeń z tego źródła. Jeśli istnieje wiele obszarów roboczych, agent prosi o określenie, którego obszaru użyć.

Po skonfigurowaniu w wierszu polecenia ustawienie źródła danych będzie trwać przez całą sesję do momentu zmiany. Zalecamy ograniczenie zmian źródła danych w danej sesji do trzech w celu zwiększenia wydajności.

Ustawienia agenta: możesz również określić źródło danych, edytując ustawienia agenta.

Ważna

Agent zawsze honoruje Twoje instrukcje. Jeśli występuje konflikt między ustawieniami agenta a instrukcją monitu, pierwszeństwo ma instrukcja monitu.

Jeśli żadne źródło danych nie zostanie określone przy użyciu żadnej z metod, agent najpierw spróbuje pobrać dane z Defender XDR. Jeśli to się nie powiedzie z powodu niedostępności danych lub problemu z uprawnieniami, agent ponawia próbę z usługi Sentinel Log Analytics.

Konfigurowanie agenta analityka zabezpieczeń (opcjonalnie)

Agenta analityka zabezpieczeń można uruchomić bezpośrednio w usłudze Defender bez ukończenia konfiguracji. Konfiguracja agenta jest udostępniana w celu obsługi opcjonalnych scenariuszy konfiguracji, takich jak definiowanie tożsamości agenta lub wstępne konfigurowanie źródeł danych. Nie ma to wpływu na możliwość uruchamiania agenta w usłudze Defender.

Ważna

Konfigurowanie źródła danych jest opcjonalne. Źródło danych można określić bezpośrednio w wierszu polecenia, a agent ustala priorytet tych instrukcji opartych na monitach podczas przeprowadzania analizy. Jeśli w wierszu polecenia nie określono źródła danych, agent używa źródła danych skonfigurowanego w ustawieniach agenta.

  1. Zaloguj się do Security Copilot (https://securitycopilot.microsoft.com).

  2. Wybierz ikonę menu głównego.

  3. Przejdź do obszaru Agenci.

  4. W sekcji Gotowe do instalacji wybierz pozycję Agent analityka zabezpieczeń.

  5. W przypadku konfiguracji po raz pierwszy znajdź agenta w sekcji Gotowe do instalacji i wybierz pozycję Skonfiguruj. Jeśli agent jest już skonfigurowany dla co najmniej jednego użytkownika, wyszukaj ciąg "Agent analityka zabezpieczeń" w sekcji "Agenci w użyciu" i kliknij pozycję "Przejdź do agenta".

    Obraz agenta analityka zabezpieczeń — przejdź do agenta

  6. Podaj szczegóły preferowanych źródeł danych, aby skonfigurować agenta:

    • Defender XDR: pozostaw wszystkie pola puste i określ Use Defender XDR je na końcu instrukcji.

    • Sentinel Data Lake (obowiązkowe):

      1. Wprowadź SentinelDataLake wartość w polu Źródło danych .
      2. Wprowadź nazwę obszaru roboczego w polu nazwa obszaru roboczego usługi Sentinel Data Lake.
      3. Pozostaw pozostałe pola puste.

    • Sentinel obszar roboczy usługi Log Analytics:

      1. Wprowadź SentinelLogAnalyticsWorkspace wartość w polu Źródło danych .
      2. Wypełnij następujące pole: Nazwa obszaru roboczego usługi Log Analytics.
      3. Pozostaw pole Sentinel Nazwa obszaru roboczego usługi Data Lake puste i zapisz ustawienia.

      Obraz agenta analityka zabezpieczeń — konfigurowanie czatu agenta

  7. Wybierz pozycję Czatuj z agentem u góry, aby wchodzić w interakcje z agentem.

    Obraz agenta analityka zabezpieczeń — czat z przyciskiem agenta

    Możesz rozpocząć nową rozmowę na potrzeby nowej analizy, wyświetlić i uzyskać dostęp do historycznych czatów oraz wyświetlić szczegóły ustawień agenta z dowolnej sesji agenta.

    Obraz agenta analityka zabezpieczeń — nowa sesja czatu

Korzystanie z agenta analityka zabezpieczeń

  1. Przejdź do Microsoft Defender pod adresem https://defender.microsoft.com, a następnie wybierz pozycję Zaawansowane wyszukiwanie zagrożeń w obszarze Badanie i odpowiedź.

  2. Otwórz program Copilot, a następnie wybierz pozycję Agent analityka zabezpieczeń.

    Zrzut ekranu przedstawiający wybieranie agenta analityka zabezpieczeń w Microsoft Defender zaawansowane wyszukiwanie zagrożeń.

  3. Wprowadź monit analizy zabezpieczeń w języku naturalnym lub wybierz jeden z sugerowanych monitów.

  4. Jeśli zadanie jest szerokie, odpowiedz na pytania wyjaśniające agenta, aby agent mógł zawęzić zakres analizy.

  5. Opcjonalnie określ źródło danych w wierszu polecenia. Jeśli nie podano źródła danych, agent najpierw próbuje Defender XDR, a następnie Sentinel usługi Log Analytics w celu zidentyfikowania i pobrania wymaganych danych do analizy.

  6. Przejrzyj odpowiedź, w tym ustalenia o priorytetach, dowody potwierdzające i zalecenia.

    W poniższym przykładzie agent podsumowuje swoje ustalenia wraz z dowodami, a także udostępnia kontekstowe zalecenia dotyczące następnych kroków, dokładniejszego badania lub hermetyzacji. Odpowiedź zawiera również listę sugerowanych następnych monitów, które użytkownik może poprosić o kontynuowanie interakcji.

    Zrzut ekranu przedstawiający przykładową odpowiedź agenta analityka zabezpieczeń.

  7. Kontynuuj z monitami uzupełniającymi w tej samej sesji lub rozpocznij nową sesję w celu przeprowadzenia oddzielnego badania.

    Uwaga

    Wykonanie złożonych analiz przez agenta może potrwać kilka minut.

  8. Jeśli uruchomiono zapytanie KQL i chcesz przeanalizować wyniki w celu zrozumienia zagrożeń bezpieczeństwa, wybierz pozycję Analizuj za pomocą rozwiązania copilot poniżej karty wyników zapytania. Agent uzasadnia wygenerowane wyniki i przedstawia podsumowanie szczegółowych informacji o priorytetach wymagających pilnej uwagi.

    Zrzut ekranu przedstawiający akcję Analizuj za pomocą rozwiązania Copilot w wynikach zapytań wyszukiwania zaawansowanego wyszukiwania zagrożeń.

  9. Użyj przycisków opinii w odpowiedzi, aby określić, czy dane wyjściowe były pomocne.

Interpretowanie raportu

Podsumowanie dla kierownictwa

Ta sekcja zawiera jasną narrację dotyczącą sposobu wykonywania analizy, przedstawiającą podjęte kroki i rozważane dane. Objaśnia kryteria filtrowania, zakresy czasu i wszelkie zastosowane rankingi, a wszystko to w prostym języku, dzięki czemu czytelnicy mogą łatwo śledzić proces.

Kluczowe szczegółowe informacje

Tutaj znajdziesz najważniejsze wyniki analizy przedstawione w zwięzły i zrozumiały sposób. Każdy wgląd zawiera krótkie wyjaśnienie, dlaczego ma to znaczenie i, w stosownych przypadkach, odniesienia do dowodów potwierdzających.

Wizualizacje

Ta sekcja zawiera wykresy lub wykresy, które zwiększają głębię i przejrzystość raportu, pomagając czytelnikom szybko interpretować wzorce lub relacje w danych. Wizualizacje są uwzględniane tylko wtedy, gdy zapewniają unikatową wartość analizy.

Artefakty

Artefakty to pliki pomocnicze, które towarzyszą raportowi, takie jak kompleksowy wolumin CSV wszystkich analizowanych jednostek i, w stosownych przypadkach, szczegółowe pliki dowodów. Te zasoby umożliwiają czytelnikom eksplorowanie pełnego zestawu danych stojącego za ustaleniami. Artefakty obejmują zapytanie KQL używane przez agenta do pobierania danych (należy pamiętać, że agent używa tylko KQL do pobierania danych, analiza jest wykonywana w języku Python), kompleksowy plan, który został sformułowany na potrzeby wykonywania zadania.

  • Last updated on