Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Microsoft Security Copilot предоставляет расширенные возможности автоматизации, помогающие решать реальные проблемы в области безопасности и ИТ-операций, включая Security Copilot сборники подсказок и агенты Security Copilot.
Security Copilot модули командной строки можно использовать для создания автоматизации, которые следуют детерминированному и линейному рабочему процессу.
Security Copilot агенты можно использовать для создания автоматизации детерминированных или недетерминированных рабочих процессов. В недетерминированных рабочих процессах агенты используют инструменты и инструкции для разработки динамического плана для достижения результата. Агенты также предоставляют дополнительные функции, такие как возможность запуска по расписанию и изучения отзывов пользователей.
Вы можете создавать модули командной строки или агенты в зависимости от сценариев безопасности и ИТ-операций и вариантов использования.
Варианты использования пользовательских агентов
Пользовательские агенты Security Copilot можно разработать для любого варианта использования. Ниже приведены некоторые идеи, которые можно рассмотреть для повышения безопасности и ИТ-операций с помощью:
Агент, выполняющий комплексное исследование инцидентов безопасности Microsoft Defender путем анализа сведений об инциденте, извлечения сущностей и корреляции с инцидентами Microsoft Sentinel для обогащенного контекста. Он завершается подробным анализом вердикта, который определяет, является ли инцидент истинным положительным, ложноположительным или требует дальнейшего изучения, а также рекомендуемых дальнейших действий.
Агент, который анализирует подозрительные фрагменты кода или скрипты для определения их вредоносной природы и извлекает индикаторы компрометации ,такие как IP-адреса и домены. Затем агент собирает аналитику угроз по извлеченным ioCs и проверяет, взаимодействовали ли какие-либо организационные устройства с этими потенциально вредоносными индикаторами за последние семь дней.
Агент, который создает исчерпывающие отчеты об аналитике угроз на основе введенных пользователем данных и выполняет поиск связанных распространенных уязвимостей и уязвимостей (CVE) в Microsoft Defender таблицах. Он анализирует субъектов угроз, инструменты и уязвимости, выявляя затронутые устройства в среде и предоставляя стратегии их устранения.
Агент, который проводит комплексное исследование электронной почты путем анализа подозрительных сообщений электронной почты на Microsoft Entra id, Defender, Sentinel и Аналитика угроз Microsoft Defender платформе. Он проверяет сведения о электронной почте, журнал отправителей, взаимодействия с вложениями, выбор URL-адреса, действия входа пользователей и репутацию сущностей, чтобы предоставить рекомендации по безопасности и определить индикаторы компрометации.
Агент, выполняющий комплексное исследование пользователей путем сбора и анализа данных с нескольких платформ безопасности, включая Entra ID, Intune и Microsoft Sentinel. В нем рассматриваются сведения о пользователях, уровни риска, журналы аудита, шаблоны входа, соответствие устройств, репутация IP-адресов и оповещения системы безопасности для создания сводки расследований на уровне руководителей.