Начало работы с агентом #REF! Triage в управлении внутренними рисками

Выполните следующие действия, чтобы развернуть агент рассмотрения #REF! в Управление внутренними рисками #REF!.

Подготовка к работе

Если вы не знакомы с агентом рассмотрения #REF! в области управления внутренними рисками, ознакомьтесь с этой статьей.

• Security Copilot агентов в #REF! Overview (предварительная версия)

Лицензирование SKU/подписки

Агенту рассмотрения в управлении внутренними рисками требуется стандартная модель лицензирования для каждого места и модель выставления счетов с оплатой по мере использования. Ваша организация должна иметь следующие лицензии:

• Управление внутренними рисками #REF! использовать агент рассмотрения управления внутренними рисками.

Агенты проверки #REF! используют вычислительные единицы безопасности (SKU) при выполнении своих задач. Для работы агентов рассмотрения необходимо подготовить номера SKU. Количество используемых номеров SKU зависит от количества и типа обрабатываемых оповещений. Дополнительные сведения о SKU см. в разделе Единицы вычислений безопасности (SKU). Вы можете отслеживать потребление SCU в средстве мониторинга использования. Дополнительные сведения о подключении к #REF! см. в статье Начало работы с #REF!.

Сведения о лицензировании Security Copilot в E5 см. в статье Сведения о Security Copilot в Microsoft 365 E5

Сведения о лицензировании см. в разделе

• Планы Microsoft 365 корпоративный
• Описания служб Microsoft 365

Разрешения и роли

Для выполнения различных функций требуются различные разрешения и роли. Дополнительные сведения см. в разделах Разрешения на портале #REF! и Роли и группы ролей на порталах #REF!.

Важно!

Агенты выполняются в контексте безопасности последнего пользователя, сохранившего конфигурацию агента. Такая проверка подлинности хороша в течение 90 дней. Через 90 дней агент перестанет работать, пока конфигурация не будет сохранена вручную.

Разрешения для включения и настройки агента рассмотрения в управлении внутренними рисками

При настройке агента с помощью удостоверения агента (рекомендуется) пользователю необходимо назначить следующее:

Любая из следующих ролей:

• Управление ролями (группа ролей: администраторы Purview ИЛИ управление организацией)

• Управление внутренними рисками Администратор (группа ролей: администратор соответствия требованиям ИЛИ управление внутренними рисками или администраторы управления внутренними рисками или управление организацией)

И одно из следующих действий:

• Участник Security Copilot (управляемый в Security Copilot)

• Участник рабочей области Purview Copilot (управляется в Purview)

См. документацию по #REF! ID для агентов | Дополнительные сведения об удостоверении агента см. в Microsoft Learn. Подождите 30 минут после настройки агента с удостоверением агента, чтобы отразить доступ на основе ролей, прежде чем инициировать любой запуск вручную в оповещении.

Чтобы настроить агент с помощью удостоверения пользователя, убедитесь, что учетной записи назначены все следующие роли:

• Анализ управления внутренними рисками или исследование управления внутренними рисками (группа ролей: управление безопасностью данных или управление внутренними рисками или аналитики управления внутренними рисками или следователи по управлению внутренними рисками)

• Аналитик содержимого Purview (группа ролей: управление агентом Purview)

• Участник Security Copilot (управляемый в Security Copilot)

Разрешения для настройки агента рассмотрения в управлении внутренними рисками

Учетная запись, используемая для настройки и настройки агента управления внутренними рисками, должна иметь все следующие роли:

• Анализ агента Purview (группа ролей: управление безопасностью данных или управление внутренними рисками или аналитик управления внутренними рисками или следователь управления внутренними рисками)

• Участник Security Copilot (управляемый в Security Copilot)

Разрешения на просмотр оповещений управления внутренними рисками

Учетная запись, используемая для просмотра действий агента предварительной оценки рисков, должна находиться в:

• Анализ агента Purview (группа ролей: управление безопасностью данных или управление внутренними рисками или аналитик управления внутренними рисками или следователь управления внутренними рисками)

• Необязательный — участник Security Copilot (управляемый в Security Copilot)

Стратегия развертывания и конфигурации

Реализация агентов #REF! включает несколько этапов:

1. Предварительные требования для инфраструктуры
2. Включение агентов
3. Агенты установки
4. Деактивация агентов
5. Удаление агентов

Предварительные требования для инфраструктуры

Агенты проверки #REF! работают на #REF!.

1. Клиент должен быть подключен к #REF!. Дополнительные сведения о подключении см. в статье Начало работы с #REF!.
2. В Security Copilot необходимо включить общий доступ к данным Microsoft 365. Дополнительные сведения см. в статье Доступ к данным из служб Microsoft 365 .
3. Необходимо включить подключаемый модуль #REF! в #REF!. Дополнительные сведения см. в разделе Включение источника #REF! в #REF!.

Включение агентов

Эта процедура предназначена для организаций, которые не включили ни один из агентов #REF! или удалили агенты , и вы хотите снова включить их. После включения агентов они будут доступны для использования в #REF!. В клиенте может быть только один экземпляр каждого агента. Эта процедура работает как с агентом проверки защиты от потери данных Purview, так и с агентом проверки управления внутренними рисками.

1. Войдите на портал #REF! с учетной записью с необходимыми разрешениями.
2. В области навигации слева выберите Агенты.
3. Выберите Обзор агентов.
4. Выберите агент, который требуется включить, и нажмите кнопку Добавить. Откроется страница с требованиями к включению агента.
5. Выберите Программа установки, откроется страница Развертывание глобальной конфигурации агента . Варианты действий:
   1. Выберите запуск автоматически в соответствии с заданным расписанием. Если этот параметр не выбран, агент необходимо запускать вручную по одному. Запланированное устанавливается корпорацией Майкрософт и не настраивается организациями. Этот параметр можно изменить позже при изменении агента.
   2. Выберите временной интервал оповещений, который указывает на то, как далеко агент ищет оповещения для рассмотрения. Аналитики могут сократить сроки редактирования агента, но не удлинить его. Дополнительные сведения см. в разделе Выбор интервалов оповещений.
6. Нажмите Развернуть. При успешном развертывании агента анализа оповещений в <решении> отображается сообщение о развертывании агента.

Агенты установки

После включения агента необходимо задать определенные триггеры для агента. Триггеры используются для определения оповещений, которые выполняет агент. Это можно сделать на странице Агенты или для первого запуска на странице Оповещения для решения. Для этой процедуры мы будем использовать метод страницы оповещения первого запуска. Эта процедура предполагает, что портал #REF! по-прежнему открыт для страницы Обзор агентов из предыдущей процедуры.

Важно!

Всегда используется последняя конфигурация агента.

1. Выберите Перейти к <решению>. Откроется страница Оповещения для решения.
2. Так как вы находитесь в первом запуске, вы увидите диалоговое окно с кнопкой Настроить , которое при выборе этого параметра открывает всплывающее окно Настройка агента рассмотрения оповещений .
3. Здесь выберите либо принять глобальный параметр по умолчанию для параметра Выбор интервала оповещений , либо измените его, чтобы он был короче, чем было настроено во время развертывания агента.
4. Введите настраиваемые инструкции для агента. Агент интерпретирует входные данные естественного языка и использует их для лучшего определения типов оповещений, наиболее важных для вас. Это помогает быстрее выявлять наиболее релевантные оповещения и реагировать на них.
5. Выберите Выбрать политики , чтобы выбрать политики, оповещения которых будут рассматриваться агентом. В предварительной версии все политики выбираются по умолчанию, их можно изменить здесь.
6. Нажмите кнопку Проверить.
7. Выберите Запустить агент. Предоставьте агенту до 2 часов, чтобы завершить рассмотрение в область оповещений и включенных ручных запусков из этой начальной настройки.

Деактивация агентов

1. Войдите на портал #REF! с учетной записью с необходимыми разрешениями.
2. В области навигации слева выберите Агенты.
3. Выберите Обзор агентов.
4. Выберите Просмотреть агент для агента, который вы хотите деактивировать. Откроется страница обзора агента.
5. В правом верхнем правом углу страницы обзора агента выберите многоточие (три точки), расположенные рядом с кнопкой Изменить агент .
6. Выберите Деактивировать агент. Деактивация агента останавливает агент от рассмотрения оповещений. Он не удаляет агент и не сбрасывает контрольную точку времени выбора интервала оповещений .

Удаление агентов

1. Войдите на портал #REF! с учетной записью с необходимыми разрешениями.
2. В области навигации слева выберите Агенты.
3. Выберите Обзор агентов.
4. Выберите Просмотреть агент для агента, который вы хотите приостановить. Откроется страница обзора агента.
5. В правом верхнем правом углу страницы обзора агента выберите многоточие (три точки), расположенные рядом с кнопкой Изменить агент .
6. Выберите Удалить агент. При удалении агента он удаляется из #REF!. Если вы хотите снова использовать его, необходимо снова выполнить процедуры включения агентов и настройки агентов . При удалении агента сбрасывается ссылка на момент времени выбора интервала оповещений .

Агенты редактирования

1. Войдите на портал #REF! с учетной записью с необходимыми разрешениями.
2. В области навигации слева выберите Агенты.
3. Выберите Обзор агентов.
4. Выберите Просмотреть агент для агента, который вы хотите изменить. Откроется страница обзора агента.
5. Выберите Изменить агент. Откроется страница Изменение агента .
6. Выберите Триггеры.
7. Здесь можно изменить время запуска агента: агент будет запускаться вручную по одному оповещению за раз или агент будет запускаться автоматически по заданному расписанию.
8. Выберите Изменить , чтобы изменить значение Выбор интервала оповещений и политики, с которыми агент будет рассматривать оповещения.
9. Если выбран параметр Агент будет запускаться вручную по одному оповещению за раз, можно выбрать одно оповещение на странице Оповещения для решения. Установите переключатель в значение Агент рассмотрения оповещений и выберите Запустить агент.
10. При желании вы также можете изменить намерение .

Мониторинг использования SCU

1. Войдите на портал #REF! с учетной записью с необходимыми разрешениями.
2. В области навигации слева выберите Агенты.
3. Выберите Обзор агентов.
4. Выберите Просмотреть агент для агента, который вы хотите изменить. Откроется страница обзора агента.
5. Выберите Изменить агент. Откроется страница Изменение агента .
6. Выберите Мониторинг использования.
7. Вы можете отслеживать потребление SCU в средстве мониторинга использования.

Обзор страницы оповещений

1. Войдите на портал #REF! с учетной записью с необходимыми разрешениями.
2. Откройте решение, для которого нужно просмотреть просмотр оповещений.
3. Откройте страницу Оповещения для решения.
4. В правом верхнем углу страницы есть новый переключатель, позволяющий выбрать между Standard представлением страницы оповещений и представлением агента рассмотрения страницы оповещений. Установите переключатель в представление Агента рассмотрения . В этом представлении отображаются оповещения, которые были проверены агентом. Оповещения группируются агентом по четырем категориям:
   • Все
   • Требует внимания
   • Менее срочный
   • Не классифицировано

Дальнейшие действия

Сведения о проверке оповещений см. в статьях для конкретных решений.

• Сведения об исследовании предупреждений для защиты от потери данных
• Начало работы с панелью мониторинга оповещений о защите от потери данных
• Агент рассмотрения на панели мониторинга управления внутренними рисками
• Индикаторы и агент рассмотрения оповещений для управления внутренними рисками