重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
智能 Microsoft Security Copilot 副驾驶®提供了高级自动化功能,可帮助你应对安全和 IT 运营中的实际挑战,包括Security Copilot提示手册和Security Copilot代理。
Security Copilot提示书可用于构建遵循确定性和线性工作流的自动化。
可以利用Security Copilot代理为确定性工作流或不确定工作流生成自动化。 在不确定的工作流中,代理利用工具和说明制定动态计划来实现其结果。 代理还提供附加功能,例如按计划触发和从用户反馈中学习的功能。
可以根据安全性和 IT作方案和用例选择生成提示簿或代理。
自定义代理的用例
可以针对任何用例开发自定义Security Copilot代理。 以下是可以考虑的一些想法,以通过以下方式增强安全性和 IT作:
代理,通过分析事件详细信息、提取实体并与Microsoft Sentinel 事件关联以丰富上下文,对Microsoft Defender安全事件执行全面调查。 它最后进行了详细的判决分析,以确定事件是真阳性、误报还是需要进一步调查,以及建议的后续步骤。
代理,分析可疑代码片段或脚本以确定其恶意性质,并提取 (IOC) (如 IP 地址和域)的入侵指标。 然后,代理收集提取的 IOC 上的威胁情报,并检查是否有任何组织设备在过去七天内与这些潜在的恶意指标通信。
基于用户输入生成综合威胁情报报告的代理,并在Microsoft Defender表中搜索关联的常见漏洞和暴露 (CVE) 。 它分析威胁参与者、工具和漏洞,同时识别环境中受影响的设备并提供缓解策略。
通过跨Microsoft Entra ID、Defender、Sentinel 和 Microsoft Defender 威胁智能 平台分析可疑电子邮件,执行全面电子邮件调查的代理。 它检查电子邮件详细信息、发件人历史记录、附件交互、URL 选择、用户登录活动和实体信誉,以提供安全建议并确定入侵指标。
代理,通过收集和分析多个安全平台(包括 Entra ID、Intune 和 Microsoft Sentinel)的数据来执行全面的用户调查。 它检查用户详细信息、风险级别、审核日志、登录模式、设备符合性、IP 信誉和安全警报,以生成执行级别的调查摘要。