Руководство по планированию разработки агента Security Copilot

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Microsoft Security Copilot (Security Copilot) — это решение для обеспечения безопасности на основе искусственного интеллекта, которое помогает повысить эффективность и возможности защитников, чтобы повысить результаты безопасности на скорости и масштабировании компьютера. Security Copilot агенты используют ИИ для выполнения рутинных задач и сбора аналитических сведений с некоторым уровнем автономности, чтобы вы могли сосредоточиться на высокоценной работе. Вы можете создавать агенты, которые настраивают и улучшают Security Copilot интерфейс в соответствии с уникальными бизнес-потребностями вашей организации.

Планирование — это важный первый шаг в разработке и создании агентов безопасности. Разработка эффективных Security Copilot агентов требует вдумчивого планирования, итеративной разработки и строгого согласования с принципами ответственного использования ИИ. Это руководство служит для структурирования процесса планирования для создания агентов, которые понимают уникальный бизнес-контекст.

Независимо от того, разрабатываете ли вы различные комплексные сценарии, такие как реагирование на инциденты, охота на угрозы, сбор аналитических сведений, управление состоянием и т. д., ниже приведены основные принципы, которые помогут вам в этом процессе.

Определение четкой цели

Начните с формулировки цели агента:

• Заявление о проблеме. Какую конкретную задачу безопасности или операционной задачи решает агент? Например, агент, который отслеживает оповещения конечных точек и автоматически дополняет их аналитикой угроз, чтобы уменьшить рабочую нагрузку аналитика.
• Целевые пользователи. Это аналитики центра управления безопасностью (SOC), ИТ-администраторы, администраторы соответствия требованиям или разработчики? Дополнительные сведения см. в разделе Security Copilot персон.
• Метрики успеха. Определите измеримые результаты, например сокращение времени рассмотрения, повышение точности обнаружения или автоматическое исправление.

Подробные рекомендации по выбору интерфейса, наиболее подходящего для ваших агентов, см. в разделе Пользовательские агенты.

Определение необходимых возможностей

Разбейте средства, необходимые для успешного выполнения агентом.

• Cognitive: классификация оповещений, обобщение инцидентов, корреляция сигналов.
• Беседа: интерпретируйте запросы пользователей, создавайте четкие объяснения. Сведения о рабочих процессах, требующих взаимодействия аналитиков с агентом, см. в разделе Создание интерактивных агентов.
• Рабочая. Активируйте рабочие процессы, вызывайте API, извлекаете журналы или документы.

Используйте средство Security Copilot (навык) для определения этих возможностей. Средства можно использовать повторно или объединить в агенты с помощью манифеста YAML. Сведения о том, как отправить средство или подключаемый модуль, см. в разделе Манифест агента сборки.

Понимание уникального контекста и экосистемы

Security Copilot агенты работают в безопасной расширяемой среде, адаптированной к конкретным потребностям вашей организации:

• Источники данных. Определите системы, оповещения или API, к которые агенту требуется доступ (например, Microsoft Defender, Microsoft Sentinel, Microsoft Graph). Сведения об интеграции с этими источниками см. в разделе Подключаемые модули.
• Безопасность и соответствие требованиям. Определите доступ пользователей к платформе Security Copilot с помощью контроль доступа на основе ролей (RBAC), проверки подлинности от имени и на уровне покрытия безопасности политиками условного доступа. Дополнительные сведения см. в разделе RBAC.
• Управление состояниями. Применяйте обратную связь агента через воспоминания, чтобы сохранять релевантную информацию в сеансах.

Определение приоритета этических и ответственных ИИ

Security Copilot агенты должны придерживаться принципов ответственного использования ИИ в следующих измерениях:

1. Прозрачность.

   • Разрешить пользователям проверять источники информации.
   • Четко сообщить, какие данные хранятся в памяти и как они используются.
   • Ознакомьтесь с ограничениями и возможностями агента.
   • Показать, как принимались решения (например, какое средство использовалось, какие данные были извлечены).

2. Соответствующие ожидания:

   • Предоставьте четкое обоснование действий, выполняемых агентом.
   • Определите область способностей агента к рассуждениям.

3. Предотвращение чрезмерной зависимости:

   • Убедитесь, что пользователи могут идентифицировать ошибки в выходных данных агента.
   • Поощряйте пользователей проверять результаты на точность.
   • Параметр для отклонения неверных результатов или вводящих в заблуждение выходных данных.

4. Безопасность и конфиденциальность:

   • Маскирование конфиденциальных данных и соблюдение границ клиента.
   • Убедитесь, что агенты работают в соответствии с политиками организации, сохраняя целостность данных.
   • Обеспечение доступа к внутренним системам с минимальными привилегиями.

5. Управление и соответствие требованиям.

   • Используйте соглашения об именовании и заявления об отказе от ответственности, чтобы обеспечить ясность и соответствие требованиям.

6. Обратная связь:

   • Разрешить пользователям оставлять отзывы о созданных выходных данных.
   • Используйте обратную связь для выявления проблем и постоянного повышения производительности и надежности агента.

Дальнейшие действия

• Общие сведения о вариантах использования

См. также

• Ответственное применение ИИ
• Чрезмерная зависимость от ИИ