重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
智能 Microsoft Security Copilot 副驾驶® (Security Copilot) 是一种基于 AI 的生成式安全解决方案,可帮助提高防御者的效率和功能,以机器速度和规模提高安全成果。 Security Copilot代理使用 AI 完成日常任务,并收集具有某种程度的自主性见解,以便你可以专注于高价值的工作。 可以构建定制和增强Security Copilot体验的代理,以满足组织独特的业务需求。
规划是设计和构建安全代理的重要第一步。 设计有效的Security Copilot代理需要经过深思熟虑的规划、迭代开发,并与负责任的 AI 原则保持一致。 本指南用于构建规划过程,以创建了解独特业务上下文的代理。
无论是设计各种端到端方案(例如事件响应、威胁搜寻、情报收集、态势管理等),以下是指导流程的核心原则:
定义明确的目标
首先阐明代理的用途:
- 问题陈述:代理要解决哪些具体的安全或作难题? 例如,监视终结点警报并自动扩充威胁情报以减少分析师工作负荷的代理。
- 目标用户:他们是安全运营中心 (SOC) 分析师、IT 管理员、合规性管理员还是开发人员? 请参阅Security Copilot角色。
- 成功指标:定义可衡量的结果 - 例如,减少会审时间、提高检测准确性或自动修正。
有关选择最适合代理要求的体验的详细指南,请参阅 自定义代理。
确定所需的功能
分解代理成功所需的工具:
- 认知:对警报进行分类、汇总事件、关联信号。
- 对话:解释用户提示,生成清晰的说明。 有关需要分析师与代理交互的工作流,请参阅 生成交互式代理。
- 作:触发工作流、调用 API、检索日志或文档。
使用Security Copilot工具 (技能) 来定义这些功能。 可以使用 YAML 清单重复使用或组合到代理中。 若要上传工具或插件,请参阅 生成代理清单。
了解独特的上下文和生态系统
Security Copilot代理在根据组织的特定需求定制的安全、可扩展的环境中运行:
- 数据源:标识代理需要访问的系统、警报或 API (,例如,Microsoft Defender、Microsoft Sentinel、Microsoft Graph) 。 有关与这些源的集成,请参阅 插件。
- 安全性和合规性:通过基于角色的访问控制 (RBAC) 、代表身份验证确定用户对Security Copilot平台的访问权限,并使用条件访问策略对安全覆盖范围进行分层。 有关详细信息,请参阅 RBAC。
- 状态管理:通过记忆应用代理反馈,以跨会话保留相关信息。
确定道德 AI 和负责任 AI 的优先级
Security Copilot代理必须遵循以下维度的负责任的 AI 原则:
透明度:
- 使用户能够验证信息源。
- 清楚地传达内存中存储的数据及其使用方式。
- 了解代理的限制和功能。
- 显示如何做出决策 (例如,使用了哪种工具、) 检索了哪些数据。
适当的期望:
- 为代理执行的作提供明确的理由。
- 定义代理推理能力的范围。
防止过度关联:
- 确保用户可以识别代理输出中的错误。
- 鼓励用户验证结果的准确性。
- 用于拒绝错误结果或误导性输出的选项。
安全和隐私:
- 屏蔽敏感数据并尊重租户边界。
- 确保代理按照组织策略运行,同时保持数据完整性。
- 强制对后端系统进行最低特权访问。
治理和合规性:
- 使用命名约定和免责声明来确保清晰度和合规性。
反馈:
- 使用户能够提供有关生成的输出的反馈。
- 使用反馈来识别问题并不断提高代理的性能和可靠性。