Поделиться через

Агент брифинга аналитики угроз (автономный интерфейс)

Примечание.

В этой статье рассматривается автономный интерфейс агента аналитики угроз в Security Copilot. Дополнительные сведения о встроенном интерфейсе на портале Microsoft Defender см. в статье Microsoft Security Copilot агента аналитики угроз в Microsoft Defender.

Аналитики аналитики угроз сталкиваются с рядом проблем при предоставлении аналитических, практических и контекстуализированных аналитических данных. Задача разработки инструктажа по аналитике угроз включает сбор информации из различных каналов угроз, инструментов и порталов; фильтрация и сопоставление этой информации; и анализ и сопоставление организационных рисков. Эти действия происходят до того, как аналитики могут даже начать разработку самого отчета и генерировать аналитические сведения о том, когда они будут выступать на брифинге. К тому времени, поскольку эти процессы могут занять от нескольких часов до дней, угрозы, стоящие перед организацией, уже эволюционировали, что может привести к устареваниям брифинга.

Агент брифинга аналитики угроз был разработан в ответ на эти болезненные точки. Агент аналитики угроз на автономном портале Microsoft Security Copilot за считанные минуты создает брифинги аналитики угроз на основе последних действий субъектов угроз, а также внутренних и внешних сведений об уязвимостях. Агент может помочь группам безопасности сэкономить время, создав настраиваемый, релевантный отчет, который предоставляет cisos, менеджеров по безопасности и аналитиков с ключевой ситуационной осведомленностью и прочной основой для оборонной работы.

Агент использует динамическую автоматизацию и глубокий генеративный ИИ, а также множество знаний и сигналов об аналитике угроз. При создании брифинга агент динамически выбирает следующий шаг на основе результатов предыдущего шага, позволяя ему в режиме реального времени решать, какую аналитику угроз следует включить и приоритизировать. Затем агент преобразует эту техническую информацию в доступный для чтения отчет, который может быть использован различными аудиториями.

Агент аналитики угроз лучше всего подходит для клиентов, которые включили Microsoft Defender внешней области атак и Microsoft Defender для конечной точки, так как агент использует сигналы и аналитические сведения из этих сторонних интеграций для предоставления точных и многофункциональных отчетов.

Предварительные условия

Продукты

Microsoft Security Copilot требуется для запуска этого агента.

Подключаемые модули

Для запуска этого агента требуется следующий подключаемый модуль:

  • Аналитика угроз (Майкрософт)

Следующий подключаемый модуль является необязательным, но может добавить дополнительный контекст в выходные данные:

  • Управление направлением внешних атак Microsoft Defender

Настройка разрешений учетной записи пользователя

Важно!

Требования к удостоверениям и разрешениям. Для этого агента требуется подключение к существующей учетной записи пользователя или создание нового удостоверения агента (рекомендуется). Агент может считывать данные из Управление направлением внешних атак Defender и Управление уязвимостями Defender. Перед настройкой агента необходимо настроить учетную запись пользователя с соответствующими разрешениями, описанными в следующем разделе.

Общие сведения о разрешениях

Учетная запись пользователя, подключенная к агенту, должна иметь следующие разрешения:

Необходимые разрешения:

  • Microsoft Defender для конечной точки: доступ к Управление уязвимостями Defender данным
  • Участник Security Copilot: доступ к управлению платформой и агентом Security Copilot

Необязательные разрешения:

  • Управление экспозицией (чтение): доступ к Управление рисками Microsoft Security аналитическим сведениям, включая данные управления внешними атаками.

Доступ на основе ролей:

  • Владельцы и участники могут просматривать отчет, созданный агентом аналитики угроз, на странице библиотеки агента Microsoft Security Copilot.

Настройка разрешений

Шаг 1. Создание настраиваемой роли в Microsoft Defender XDR

  1. Войдите на портал Microsoft Defender с правами глобального администратора или администратора безопасности.

  2. Перейдите в раздел Разрешения>Microsoft Defender XDR>Роли.

  3. Выберите Создать настраиваемую роль.

  4. На вкладке Основное:

    • Имя роли: Threat Intel Agent - Read Only
    • Описание: Read-only access for Threat Intelligence Briefing Agent
    • Нажмите Далее.

  5. На странице Выбор разрешений выполните следующие действия.

    • Выбор состояния безопасности

    • Выбор пользовательских разрешений

    • В разделе Управление состоянием выберите Управление - уязвимостямиЧтение

    • Нажмите кнопку Применить>далее

  6. На странице Назначение пользователей и источников данных :

    • Выберите Добавить назначение.
    • Имя назначения: Threat Intel Agent Assignment
    • Сотрудники: выберите учетную запись пользователя для агента.
    • Источники данных: выберите Microsoft Defender для конечной точки
    • Нажмите кнопку "Следующая>отправка"
Шаг 2. Назначение роли участника Security Copilot

  1. Войдите в Microsoft Security Copilot.

  2. Выберите домашнее меню >Назначение> ролиДобавить участников.

  3. Найдите и выберите учетную запись пользователя, а затем назначьте роль участника Security Copilot.

  4. Нажмите Добавить.

Шаг 3 (необязательно). Добавление разрешений для управления внешними атаками

Если ваша организация использует Управление направлением внешних атак Microsoft Defender:

  1. На портале Microsoft Defender перейдите в раздел Разрешения>Microsoft Defender XDR>Роли.

  2. Threat Intel Agent - Read Only Найдите роль и выберите Изменить.

  3. Перейдите в раздел Выбор разрешений>Состояние безопасности>Выберите настраиваемые разрешения.

  4. В разделе Управление состоянием добавьте чтение управления экспозицией - .

  5. В разделе Источники данных добавьте Управление рисками Microsoft Security.

  6. Сохраните изменения.

Важно!

После настройки разрешений активируйте модель Microsoft Defender XDR единого управления доступом на основе ролей (RBAC), чтобы роль влалась в силу.

Совет

Рассмотрите возможность использования выделенной учетной записи службы для запуска агентов для поддержания разделения обязанностей и улучшения мониторинга безопасности.

Триггер

Этот агент запускается с заданным интервалом времени при включении или вручную, когда вы хотите запустить его.

Настройка агента

  1. Чтобы запустить агент аналитики угроз, перейдите на страницу Агенты на автономном портале Microsoft Security Copilot.

    Снимок экрана: страница библиотеки агентов Microsoft Security Copilot.

  2. Выберите агент брифинга аналитики угроз и нажмите кнопку Настроить.

    Снимок экрана: страница сведений об агенте брифинга аналитики угроз.

  3. Выберите удостоверение для агента. Вы можете создать удостоверение агента или назначить существующую учетную запись пользователя. После этого дождитесь завершения настройки агента.

    Снимок экрана: страница настройки агента брифинга аналитики угроз.

  4. Укажите входные параметры для настройки выходных данных, а затем нажмите кнопку Далее. Эти параметры можно изменить позже, выбрав три точки в правом верхнем разделе страницы обзора агента.

    Снимок экрана: страница настройки параметров агента аналитики угроз.

    • Аналитика для исследования — количество уязвимостей, которые исследует агент для активных угроз
    • Оглянуться назад дней — как далеко назад агент исследует угрозы против ваших уязвимостей
    • Email — адрес электронной почты пользователя или группы рассылки, на который отправляется брифинг.
    • Регион — область географической области, проверяемой агентом на наличие угроз
    • Промышленность — сектор или отрасль, которые агент проверяет на наличие угроз

  5. После создания агента выберите Вернуться к агентам , чтобы вернуться на страницу Агенты , или выберите Перейти к агенту , чтобы перейти на страницу обзора агента аналитики угроз.

    Снимок экрана: страница настройки агента брифинга аналитики угроз после успешного создания агента.

  6. Чтобы запустить агент, перейдите в правый верхний углу страницы обзора агента и выберите Выполнить. Выберите В триггере , чтобы запланировать запуск агента в заданное время, или выберите Один раз , чтобы запустить отчет по запросу.

Оценка и предоставление отзывов о выходных данных агента

Созданные отчеты отображаются на странице Агента брифинга аналитики угроз в разделе Действия. На странице отображается имя отчета, время начала, метод создания и текущее состояние.

Снимок экрана: страница обзора агента брифинга аналитики угроз с результатами.

Выберите один из отчетов для оценки выходных данных агента.

Снимок экрана: пример отчета агента брифинга аналитики угроз.

Брифинг по аналитике угроз содержит соответствующую сводку информации об угрозах и подробный технический анализ, включая все активно эксплуатируемые уязвимости и ее возможное влияние на организацию.

Агент брифинга аналитики угроз динамически выбирает следующий шаг в зависимости от результатов предыдущего шага при создании брифинга. Вы можете просмотреть ход выполнения агента по созданию сводки по угрозам, выбрав Просмотр действий.

Снимок экрана: кнопка

Вы увидите подробные сведения о действии, обеспечивая прозрачность действий, которые агент выполняет для создания выходных данных.

Снимок экрана: карта действий.

Вы можете оставить отзыв о брифинге, нажав кнопку вверх или вниз. Вы можете поработать в текстовом поле, которое появится после. Нажмите кнопку Отправить , чтобы оставить отзыв.

См. также

  • Last updated on