Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Microsoft Security Copilot agentes são processos baseados em IA concebidos para o ajudar com tarefas específicas baseadas em funções. O Microsoft Purview oferece um agente de triagem Prevenção Contra Perda de Dados do Microsoft Purview (DLP) em pré-visualização. Este agente fornece uma fila de alertas gerida pelo agente onde os alertas sobre as atividades de maior risco são identificados e priorizados. O agente analisa o conteúdo e a potencial intenção envolvida na atividade com base nos parâmetros escolhidos pela organização e no nível de tolerância a riscos. O agente oferece uma explicação abrangente para a lógica subjacente à categorização.
O agente está disponível nas experiências incorporadas do Microsoft Purview. Para obter mais informações, veja experiências incorporadas.
A triagem e a atribuição de uma prioridade a alertas podem ser complexas e morosas. Quando tem uma triagem do agente e dá prioridade aos alertas, de acordo com os parâmetros que definiu, o tempo necessário para concluir a tarefa é reduzido. O agente ajuda-o a concentrar-se nos alertas mais importantes ao removê-los do ruído de alertas de menor risco. Isto melhora o tempo de resposta e ajuda a aumentar a eficiência e eficácia da sua equipa.
Para obter informações sobre como implementar, configurar e utilizar os agentes, consulte Introdução aos Agentes do Microsoft Purview.
Antes de começar
Se não estiver familiarizado com Security Copilot ou Security Copilot agentes, deve familiarizar-se com as informações nestes artigos:
- Descrição geral dos agentes do Microsoft Security Copilot
- O que é o Copilot da Segurança da Microsoft?
- experiências de Microsoft Security Copilot
- Introdução ao Microsoft Security Copilot
- Compreender a autenticação no Microsoft Security Copilot
- Pedido em Microsoft Security Copilot
- Configurar definições de Proprietário
Security Copilot conceitos do agente
Os Agentes de Triagem do Microsoft Purview são executados em Unidades de Computação de Segurança (SCU). A sua organização tem de ter SCUs aprovisionadas para que os agentes executem. Para obter mais informações, veja Licenciamento de SKU/subscrições.
Acionadores
Os acionadores são agrupamentos de parâmetros cujos valores têm de ser cumpridos para que o agente faça a triagem de um determinado alerta. Os acionadores incluem:
- Intervalo de tempo: pode definir o âmbito de tempo no qual os alertas são gerados para triagem. Veja Selecionar Período de tempo do alerta.
- Políticas: pode configurar o agente para fazer a triagem de alertas a partir das políticas que selecionar. Veja Agentes de configuração.
Importante
Os agentes não têm conhecimento da Unidade administrativa. No entanto, se o agente estiver em execução no contexto de um administrador restrito de unidade administrativa e existirem políticas com âmbito de unidade administrativa para esse administrador, o agente só verá alertas das políticas que estão confinadas à unidade de administração.
Executar automaticamente ou manualmente
Quando implementa um agente e quando edita acionadores, pode selecionar se o agente será executado automaticamente com base numa agenda definida ou se o Agente será executado manualmente num alerta de cada vez . Se selecionar Executar automaticamente com base numa agenda definida, o agente fará a triagem dos alertas incluídos na definição Selecionar período de tempo do Alerta .
Selecionar período de tempo do alerta
Quando implementa um agente e quando edita os acionadores de um agente, pode escolher o período de tempo que o agente irá utilizar para definir o âmbito dos alertas a fazer a triagem. As opções são:
- Apenas triagem de novos alertas
- Últimas 24 horas
- Últimas 48 horas
- Últimas 72 horas
- Últimos 7 dias
- Últimos 14 dias
- Últimos 21 dias
- Últimos 30 dias
Se selecionar Apenas a triagem de novos alertas, o agente apenas efetua a triagem de alertas que são gerados após a implementação do agente. O agente não efetuará a triagem de quaisquer alertas que tenham sido gerados antes da implementação do agente. Isto significa que todas as opções de Últimas horas ou dias são ignoradas.
Se selecionar qualquer uma das opções Últimas horas ou dias , o agente faz a triagem dos alertas que foram gerados no período de tempo selecionado. Isto permite-lhe fazer a triagem de tudo o que foi gerado antes da implementação do agente. Todos os alertas gerados recentemente também são triagem.
Importante
O âmbito do período de tempo para que os alertas sejam triagemdos está ancorado no momento da ativação bem-sucedida do agente. Essencialmente, o relógio começa a passar quando o agente está ativado. Assim, o Último número de horas ou dias refere-se ao período de tempo anterior à implementação do agente. Este não é um período de tempo sem interrupção.
Contexto de segurança
Os agentes são executados no contexto de segurança do utilizador que os configurou pela última vez. O contexto de segurança tem de ser renovado a cada 90 dias. O agente deixa de ser executado se o utilizador for removido ou eliminado do inquilino ou se o utilizador estiver desativado.
Alertas triagemdos
O agente fará a triagem de alertas com base na configuração do acionador. O agente irá fazer a triagem de alertas que são gerados no período de tempo que selecionou e são das políticas que selecionou. Nem todos os alertas são triagados. Para obter mais informações, veja Setup agents (Agentes de configuração).
Os alertas triagados são agrupados em quatro categorias:
Tudo: esta categoria inclui todos os alertas que o agente triagou. A contagem indicada na categoria pode não refletir com precisão o número verdadeiro de alertas até aceder a essa vista e deslocar para baixo para carregar todos os alertas. Se as condições que fizeram com que o alerta fosse gerado em primeiro lugar tiverem sido alteradas ou se o alerta ainda não tiver sido triagem, pode selecionar o alerta e, em seguida, selecionar Executar agente para executar manualmente o agente no alerta.
Precisa de atenção: estes são os alertas que o agente motivou e determinou que representam o maior risco para a sua organização. Quando seleciona um destes alertas, a lista de opções de detalhes é aberta para mostrar um resumo do alerta e outros detalhes.
Menos Urgente: estes são os alertas que o agente motivou e determinou que representam um risco menor para a sua organização. Quando seleciona um destes alertas, a lista de opções de detalhes é aberta para mostrar um resumo do alerta e outros detalhes.
Não categorizado: estes são os alertas que o agente não conseguiu fazer a triagem com êxito. Isto pode ocorrer por vários motivos, incluindo: – Erro do servidor – Em processo de revisão – outro erro – Erro não suportado para alertas que contêm atividades que o agente não suporta.
Os agentes triagem ficheiros até dois MB de tamanho.
Como os agentes priorizam
O agente de triagem DLP prioriza os alertas com base nestes fatores de risco:
- Risco de Conteúdo: este é o principal fator de risco utilizado durante a triagem do agente, abrange conteúdos confidenciais com base em SITs fornecidos pela Microsoft, classificadores treináveis e etiquetas de confidencialidade predefinidas. Para obter mais informações, veja etiquetas de confidencialidade predefinidas.
- Risco de Exfiltração: exfiltração de dados confidenciais partilhados externamente.
- Risco de Política: o modo de política e as regras com ações afetam a atribuição de prioridades de alertas.
- Risco de Conteúdo: etiqueta removida ou reduzida para uma versão anterior.
- Risco de Exfiltração: exfiltração de dados confidenciais.
Detalhes da Triagem de Alertas
Importante
O agente de triagem DLP só suporta alertas de políticas que estão no modo ativo. O agente de triagem de alertas DLP não faz a triagem de alertas de políticas DLP em execução no modo de simulação.
Os agentes podem rever alertas que foram gerados até 30 dias antes da ativação do agente se o inquilino tiver SCUs suficientes. Os alertas que foram gerados mais de 30 dias antes da ativação do agente estão fora do âmbito.
O agente de triagem DLP faz a triagem de alertas do Exchange, SharePoint, OneDrive, Teams.
No DLP, o agente não faz a triagem de alertas que são acionados apenas por tipos de informações confidenciais personalizados (SIT) e condições personalizadas do classificador treinável. Os alertas acionados por condições de política de classificadores não-SITs/não treináveis apenas, como Email subject match não são triagem.
Deve efetuar análises manuais em alertas que não podem ser totalmente avaliados pelo agente.
Alertas parcialmente triagemdos
Eis alguns exemplos de situação em que os alertas podem ser parcialmente triagemdos.
- A regra DLP contém algumas condições que não são suportadas, como
The user accessed a sensitive site from Edge - A regra DLP inclui determinadas condições, mas o sistema não consegue obter as propriedades correspondentes do e-mail ou ficheiros, como
Document couldn't be scanned.
Análise de Conteúdo
Existem algumas situações em que a análise de conteúdos pode ser limitada.
A atribuição de prioridades de risco de conteúdo de um alerta baseia-se em SITs fornecidos pela Microsoft, classificadores treináveis e etiquetas de confidencialidade no conteúdo. Quando um agente avalia o risco de conteúdo, procura apenas SITs fornecidos pela Microsoft e classificadores treináveis definidos na política.
Quando um alerta DLP está associado a zero a nove ficheiros, todos os ficheiros são analisados pelo agente e utilizados no resumo do conteúdo. Quando um alerta tem mais de 10 ou mais ficheiros, os 10 ficheiros potencialmente principais são utilizados para gerar o resumo do risco de ficheiro. No DLP, o agente de triagem escolhe os 10 principais ficheiros de risco com base no número de acessos do classificador de política, no tamanho do ficheiro e na última vez que o ficheiro foi acedido. Quando isto acontece, o agente fornece uma nota a indicar que todos os ficheiros no alerta não foram incluídos no resumo do conteúdo.