Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Что такое агенты для Security Copilot? Что такое Администратор/взаимодействие с конечным пользователем и что такое интерфейс разработчика?
Агент ИИ Security Copilot — это система, которая воспринимает цифровую и физическую среду клиента. Агент принимает решения и принимает меры для достижения цели с автономией, предоставляемой ей Security Copilot клиентом. Авторизованный администратор клиента устанавливает все агенты Security Copilot на порталах Microsoft Defender XDR, Microsoft Entra, Intune, Purview и Security Copilot. Администратор задает удостоверение агента и настраивает управление доступом на основе ролей (RBAC) для агента. Конечным пользователем агента является аналитик безопасности (Defender, Microsoft Entra, Intel по угрозам), аналитик конфиденциальности (Purview) или ИТ-администратор (Microsoft Entra, Intune), и он в основном взаимодействует с агентами через соответствующие порталы. Рекомендации по созданию настраиваемых агентов для клиентов или партнеров см. в статье Создание пользовательских агентов.
Что могут Security Copilot агенты?
- Три агента автономно анализируют и классифицируют оповещения и инциденты: проверка фишинга, рассмотрение оповещений для защиты от потери данных и рассмотрение оповещений для управления внутренними рисками.
- Три агента автономно выполняют упреждающие задачи безопасности: исправление уязвимостей, инструктаж аналитики угроз и смещение политики условного доступа.
- Для создания и выполнения плана каждый из этих агентов использует один из следующих:
- Простая оркестрация, предоставляемая разработчиком агента Майкрософт, означающее, что разработчик написал код, чтобы направить агент или
- Оркестрация ИИ, предоставляемая платформой, означает, что сочетание кода, созданного Security Copilot, и инструкций LLM направляет агент.
Какие возможности агента Security Copilot предназначены для использования?
- Агент проверки фишинга: автономно выполняет проверку зарегистрированных пользователем фишинговых инцидентов в Microsoft Defender XDR, обогащение инцидента и потенциальное разрешение инцидента на основе анализа агентом текста и изображений.
- Рассмотрение оповещений для защиты от потери данных: автономно выполняет проверку оповещений защиты от потери данных в Microsoft Purview, обогащая оповещение и потенциально разрешая оповещение на основе анализа агента.
- Рассмотрение оповещений для управления внутренними рисками: автономно выполняет проверку оповещений IRM в Microsoft Purview, обогащая оповещение и потенциально разрешая оповещение на основе анализа агента.
- Исправление уязвимостей: автономно создает группу исправлений для устранения опубликованных уязвимостей с помощью исправлений, которые применяются к среде клиента. Агент не применяет исправления к среде.
- Аналитика угроз: автономно исследует и отправляет клиенту еженедельный агент аналитики угроз.
- Смещение политики условного доступа: автономно создает изменение политики, которое обеспечивает синхронизацию системы удостоверений и пользовательской системы клиента.
Как оценивается взаимодействие с агентом Security Copilot? Какие метрики используются для измерения производительности?
- На этапе закрытой предварительной версии каждый агент был оценен его продуктами и исследовательской группой с использованием варианта использования и конструктора от клиентов.
- Мы оценили безопасность системы с помощью красного упражнения по объединяемой команде.
Каковы ограничения агентов Security Copilot? Как пользователи могут свести к минимуму влияние своих ограничений при использовании системы?
- Это общедоступный предварительный выпуск, поэтому клиенты должны рассматривать Security Copilot агентов как предварительную версию. Это означает, что клиенты должны проверить принятие решения агентом, прежде чем действовать на основе его выходных данных. Принятие решений агентом доступно в интерфейсе продукта.
- Агенты подходят только для конкретной задачи, для выполнения которых они предназначены (см. предполагаемые варианты использования выше). Агенты не подходят для каких-либо других задач.
- Когда пользователи передают отзыв агенту для хранения в памяти, агент не предоставляет сводку по его интерпретации обратной связи. Это означает, что пользователи не получат немедленную проверку того, как были поняты их входные данные. Чтобы свести к минимуму неоднозначность, пользователи должны отправлять четкие, краткие и конкретные отзывы. Это помогает обеспечить тесное соответствие интерпретации агента намерениям пользователя, даже без явной сводки.
- Текущий пользовательский интерфейс не указывает на событие сообщения о конфликтующих отзывах. Пользователи должны регулярно просматривать отзывы, чтобы понять, что уже отправлено агенту, чтобы убедиться, что они соответствуют их потребностям.
- Схема узла агента предназначена для предоставления высокоуровневого представления о действиях, выполненных во время процесса агента. Каждый узел в карте узлов отображает заголовок навыка, используемого на каждом шаге (например, UserPeers или SummarizeFindingAgent), а также основные сведения, такие как состояние завершения, длительность и метка времени. В нем не приводится подробная сводка по конкретным действиям, выполняемым на каждом узле. Пользователи могут свести к минимуму влияние, внимательно просмотрив заголовки узлов, так как они написаны для описания выполненных действий. Затем они могут определить цели каждого шага, рассмотрев названия в контексте более широкой задачи агента.
- Агенты используют память для хранения отзывов авторизованных пользователей и применяют эти сведения к последующим запускам. Например, аналитик по безопасности может предоставить следующий отзыв агенту проверки фишинга, отправленному пользователем: "Сообщения электронной почты от hrtools.com от моего поставщика обучения кадров, поэтому не помечайте их как фишинговые атаки, если в конечной точке ссылки нет вредоносных программ". Эта обратная связь хранится в памяти, а затем применяется к последующим запускам агента, чтобы бизнес-контекст клиента эффективно фиксировался. Чтобы защитить память от отравления вредоносным или непреднамеренно ошибочным обновлением, администратор клиента настраивает, кто имеет право предоставлять отзыв агенту. Кроме того, администратор может просматривать, изменять и удалять содержимое памяти, доступное на экранах конфигурации агента в продукте.
Какие операционные факторы и параметры позволяют эффективно и ответственно использовать агенты Security Copilot?
- Каждый агент выполняется под управляемым удостоверением или в качестве записанного пользователя, что позволяет администратору управлять данными, к которым у него есть доступ.
- Каждый агент имеет элементы управления RBAC, и два агента Purview могут быть ограничены в том, какие данные они обрабатывают.
- Ни один из этих шести агентов не выполняет действий, которые невозможно отменить. Например, три агента изменяют состояние инцидентов или оповещений, что можно легко отменить.
- Администратор управляет тем, кто в организации может предоставлять отзыв агенту.
Разделы справки предоставить отзыв об Security Copilot агентах?
У каждого агента есть механизм обратной связи, позволяющий клиентам предоставлять агенту обратную связь на естественном языке. Агент включает эти отзывы в активный цикл обучения.
Поддержка подключаемого модуля
Security Copilot агенты не поддерживают подключаемые модули.