Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Bazı bilgiler, ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilebilen önceden yayımlanmış ürünle ilgilidir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
AIAgentsInfo
Gelişmiş tehdit avcılığı şemasındaki tablo, Uç Nokta için Microsoft Defender uyarılarıyla ilişkili çeşitli varlıklar (dosyalar, IP adresleri, URL'ler, kullanıcılar veya cihazlar) Office 365 için Microsoft Defender hakkında bilgi içerir. Microsoft Defender for Cloud Apps ve Kimlik için Microsoft Defender. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.
Bu gelişmiş tehdit avcılığı tablosu çeşitli Microsoft Defender hizmetlerindeki kayıtlara göre doldurulur. Kuruluşunuz hizmeti Microsoft Defender XDR dağıtmazsa, tabloyu kullanan sorgular çalışmaz veya herhangi bir sonuç döndürmez. Microsoft Defender XDR'da hizmetleri dağıtma hakkında daha fazla bilgi için bkz. Desteklenen hizmetleri dağıtma.
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
| Sütun adı | Veri türü | Açıklama |
|---|---|---|
Timestamp |
datetime |
Aracı bilgileri için kaydedilen son tarih ve saat |
AIAgentId |
guid |
aracıya Microsoft 365 Copilot veya Copilot Studio atanmış benzersiz tanımlayıcı |
AIAgentName |
string |
Aracının görünen adı |
AgentCreationTime |
datetime |
Aracının oluşturulduğu tarih ve saat |
CreatorAccountUpn |
string |
Aracıyı oluşturan hesabın kullanıcı asıl adı (UPN) |
OwnerAccountUpns |
string |
Aracının tüm sahiplerinin kullanıcı asıl adları (UPN) |
LastModifiedByUpn |
string |
Aracıyı en son değiştiren hesabın kullanıcı asıl adı (UPN) |
LastModifiedTime |
datetime |
Aracının en son değiştirildiği tarih ve saat |
LastPublishedTime |
datetime |
Aracının en son yayımlandığı tarih ve saat |
LastPublishedByUpn |
string |
Aracıyı son yayımlayan hesabın kullanıcı asıl adı (UPN) |
AgentDescription |
string |
Aracının kaynağında görüntülenen aracının açıklaması |
AgentStatus |
string |
Aracının durumu; olası değerler: Oluşturuldu, Yayımlandı, Silindi |
UserAuthenticationType |
string |
Aracıyla etkileşim kuran kullanıcılar için aracının yapılandırılmış kimlik doğrulama türü; olası değerler: Yok, Microsoft, Özel |
AgentUsers |
string |
Aracıyı kullanabilen kullanıcı asıl adlarının (UPN) veya grup kimliklerinin listesi |
KnowledgeDetails |
string |
Aracıya eklenen bilgi kaynaklarıyla ilgili ayrıntılar |
AgentActionTriggers |
string |
Otonom bir aracıyı eyleme ayıran tetikleyicilerin listesi |
RawAgentInfo |
string |
Aracıyı açıklayan ve sağlayıcıdan alınan yapılandırma ayrıntılarını içeren ham JSON içeriği |
AuthenticationTrigger |
string |
Aracı için kimlik doğrulamasının ne zaman tetiklendiğini gösterir; olası değerler: Gerektiğinde, Her Zaman |
AccessControlPolicy |
string |
Aracıyla etkileşim kurabilen kullanıcılar; olası değerler: Herhangi biri, Copilot okuyucuları, Grup üyeliği, Herhangi biri (çok kiracılı) |
AuthorizedSecurityGroupIds |
dynamic |
Aracıyla etkileşim kurmasına izin verilen Azure Active Directory Grup Kimliklerinin listesi |
AgentTopicsDetails |
dynamic |
Aracının gerçekleştirebileceği konuların belirtimleri |
AgentToolsDetails |
dynamic |
Aracının erişebileceği ve üzerinde eylem gerçekleştirebileceği araçların belirtimleri |
EnvironmentId |
string |
Aracının bulunduğu Microsoft Power Platform ortamının tanımlayıcısı |
Platform |
string |
Aracılar hakkında bilgi sağlayan platform; olası değerler: Copilot Studio |
IsGenerativeOrchestrationEnabled |
boolean |
aracının çalışmak için oluşturucu düzenleme kullanıp kullanmadığını (yani bağlam temelinde araçları, bilgileri ve eylemleri dinamik olarak seçip seçmediğini) belirler |
AgentAppId |
string |
Microsoft Entra aracı için kaydedilen benzersiz uygulama tanımlayıcısı |
ConnectedAgentsSchemaNames |
dynamic |
Düzenleme için ana aracıya bağlı bağımsız olarak yönetilen aracılar olan bağlı aracıların şema adlarını listeler |
ChildAgentsSchemaNames |
dynamic |
Ana aracı içinde bulunan alt aracıların şema adlarını listeler |
Örnek sorgular
Kimlik doğrulaması olmayan aracı
Kimlik doğrulama mekanizmaları olmayan aracıların tanımlanması kritik önem taşır çünkü bu aracılar genel kullanıma açık olmaları nedeniyle kuruluş için önemli riskler doğurabilir. Kuruluşların sorunları çözebilmeleri için bu aracıları bilmesi gerekir.
Öneri:
- Genel erişime yönelik olup olmadığını belirlemek için aracının kullanım örneğini sahibiyle onaylayın.
- İç veya hassas bilgilerin dahil olmadığından emin olmak için konuları, eylemleri ve bilgi kaynaklarını gözden geçirin.
AIAgentsInfo
| summarize arg_max(Timestamp, *) by AIAgentId
| where AgentStatus != "Deleted"
| where UserAuthenticationType == "None"
| project-reorder AgentCreationTime ,AIAgentId, AIAgentName, AgentStatus, CreatorAccountUpn, OwnerAccountUpns
Standart olmayan bağlantı noktasına şüpheli HTTP isteği
443 veya 80 dışındaki bağlantı noktalarında HTTP eylemleri kullanan aracıları belirleyin.
Öneri:
- Aracı sahibine gerekli olup olmadığını onaylayın ve belirli bir iş kullanım örneği hakkında bilgi edinin.
AIAgentsInfo
// Find agents with topic that contains Http request action to non 443 port
| summarize arg_max(Timestamp, *) by AIAgentId
| where AgentStatus != "Deleted"
| mvexpand Topic = AgentTopicsDetails
| where Topic has "HttpRequestAction"
| extend TopicActions = Topic.beginDialog.actions
| mvexpand action = TopicActions
| where action['$kind'] == "HttpRequestAction"
| extend Url = tostring(action.url.literalValue)
| extend ParsedUrl = parse_url(Url)
| extend Port = tostring(ParsedUrl["Port"])
| where isnotempty(Port) and Port != 443
| project-reorder AgentCreationTime ,AIAgentId, AIAgentName, ParsedUrl ,Url, Port, AgentStatus, CreatorAccountUpn, OwnerAccountUpns, Topic
Bağlayıcı uç noktasına şüpheli HTTP isteği
Kullanılabilir bir Power Platform bağlayıcısı ile uç noktaya HTTP eylemleri kullanan aracıları belirleyin.
Öneri:
- Gerekli olup olmadığını aracı sahibiyle doğrulayın ve iş kullanım örneğini sorun. Bunun yerine bağlayıcı kullanmayı göz önünde bulundurun.
AIAgentsInfo
// Find agents with topic that contains Http request to endpoint with built-in connector
| summarize arg_max(Timestamp, *) by AIAgentId
| where AgentStatus != "Deleted"
| mvexpand Topic = AgentTopicsDetails
| where Topic has "HttpRequestAction"
| extend TopicActions = Topic.beginDialog.actions
| mvexpand action = TopicActions
| where action['$kind'] == "HttpRequestAction"
| extend Url = tostring(action.url.literalValue)
| extend ParsedUrl = parse_url(Url)
| extend Host = tostring(ParsedUrl["Host"])
| where Host has_any("graph.microsoft.com", "management.azure.com")
| project-reorder AgentCreationTime ,AIAgentId, AIAgentName, ParsedUrl ,Url, Host, AgentStatus, CreatorAccountUpn, OwnerAccountUpns, Topic
Yapay zeka denetimli giriş değerlerine e-posta gönderme
Outlook aracılığıyla e-posta araçları göndermeyi içeren oluşturucu düzenleme kullanan aracıları belirleyin ve eylemlerin giriş değerleri oluşturucu düzenleyici tarafından doldurulur. Başarılı bir XPIA saldırısıyla aracı rastgele alıcılara veri sızdırmak için kullanılabildiğinden bu kurulum risklidir.
Öneri:
- Aracı sahibine gerekli olup olmadığını onaylayın ve iş kullanım örneği hakkında bilgi edinin. Uygunsa, e-postanın alıcısını eyleme sabit kodlayın.
AIAgentsInfo
//Find agents with email sending tool via microsoft 365 connector, where the input //parameters of the inputs are populated by generative orchestrator
| summarize arg_max(Timestamp, *) by AIAgentId
| where AgentStatus != "Deleted"
| extend IsGenAIOrchestrator = tostring(todynamic(RawAgentInfo).Bot.Attributes.configuration) has '"GenerativeActionsEnabled": true'
| where IsGenAIOrchestrator
| mvexpand Action = AgentToolsDetails
| extend OperationId = tostring(Action.action.operationId), ActionName = tostring(Action.modelDisplayName), Action
| where OperationId == "SendEmailV2"
| where isempty(Action.inputs) //All inputs are populated by Orchestrator
| project-reorder AgentCreationTime ,AIAgentId, AIAgentName, AgentStatus, CreatorAccountUpn, OwnerAccountUpns, ActionName
Konular veya Eylemler'de sabit kodlanmış kimlik bilgileri
Konular veya Eylemler'de sabit kodlanmış kimlik bilgilerine sahip aracılar, düz metin kimlik bilgilerini istenmeyen varlıklara gösterebilir.
Öneri:
- Ortam Değişkenlerini kullanarak kimlik bilgilerini Azure Key Vault ve çalışma zamanında almayı göz önünde bulundurun (Azure Key Vault gizli dizileri için ortam değişkenlerini kullanma - Power Apps | Microsoft Learn)
- Mümkün değilse güvenli giriş seçeneğinin etkinleştirildiğinden emin olun (Power Automate'te parolalar gibi hassas girişleri yönetme - Power Automate | Microsoft Learn).
//Find Agents with hard-coded credentials in Topics or Actions can expose clear-text credentials to unintended entities.
let suspicious_patterns = @"(AKIA[0-9A-Z]{16})|(AIza[0-9A-Za-z_\-]{35})|(xox[baprs]-[0-9a-zA-Z]{10,48})|(ghp_[A-Za-z0-9]{36,59})|(sk_(live|test)_[A-Za-z0-9]{24})|(SG\.[A-Za-z0-9]{22}\.[A-Za-z0-9]{43})|(\d{8}:[\w\-]{35})|(eyJ[A-Za-z0-9_\-]+\.[A-Za-z0-9_\-]+\.[A-Za-z0-9_\-]+)|(Authorization\s*:\s*Basic\s+[A-Za-z0-9=:+]+)|([A-Za-z]+:\/\/[^\/\s]+:[^\/\s]+@[^\/\s]+)";
AIAgentsInfo
| summarize arg_max(Timestamp, *) by AIAgentId
| where AgentStatus != "Deleted"
| mv-expand tool = AgentToolsDetails
| mv-expand topic = AgentTopicsDetails
| where isnotempty(tool) and isnotempty(topic)
| where tool matches regex suspicious_patterns or topic matches regex suspicious_patterns
| extend SuspiciousMatchTool = tool, SuspiciousMatchTopic = topic
| project-reorder AgentCreationTime ,AIAgentId, AIAgentName, AgentStatus, CreatorAccountUpn, OwnerAccountUpns, SuspiciousMatchTool, SuspiciousMatchTopic
Yapılandırılmış MCP aracına sahip aracılar
Yapılandırılmış bir MCP aracına sahip aracıları bulun.
Öneri:
- MCP aracının hala gerekli olup olmadığını aracı sahibiyle onaylayın. Aksi takdirde olası riskleri azaltmak için kaldırmayı göz önünde bulundurun.
//Find agents with MCP tool configured
AIAgentsInfo
| summarize arg_max(Timestamp, *) by AIAgentId
| where AgentStatus != "Deleted"
| mvexpand Action = AgentToolsDetails
| where Action.action.operationDetails["$kind"] == "ModelContextProtocolMetadata"
| extend MCPName = Action.action.operationDetails["operationId"]
| summarize MCPTools = make_set(MCPName) by AIAgentName, AIAgentId, EnvironmentId, CreatorAccountUpn
İlgili konular
- Gelişmiş avcılığa genel bakış
- Sorgu dilini öğrenin
- Paylaşılan sorguları kullanın
- Cihazlar, e-postalar, uygulamalar ve kimlikler arasında avlayın
- Şemayı anlayın
- Sorgu en iyi yöntemlerini uygulayın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.