通过

Security Copilot代理 - 负责任的 AI 常见问题解答

什么是用于Security Copilot的代理? 什么是管理员/最终用户体验,什么是开发人员体验?

Security Copilot AI 代理是一种感知客户的数字和物理环境的系统。 代理通过Security Copilot客户授予的自主权来做出决策并采取措施来实现目标。 客户的授权管理员从Microsoft Defender XDR、Microsoft Entra、Intune、Purview 和 Security Copilot 门户中安装所有Security Copilot代理。 管理员设置代理的标识,并为代理配置基于角色的访问控制 (RBAC) 。 代理的最终用户是安全分析师 (Defender、Microsoft Entra、Threat Intel) 、privacy analyst (Purview) 或 IT Administrator (Microsoft Entra Intune) ,他们主要通过各自的门户体验代理。 有关为客户或合作伙伴生成自定义代理的指南,请参阅 生成自定义代理

Security Copilot代理可以做什么?

  • 三个代理自主会审警报和事件并对其进行分类:网络钓鱼会审、数据丢失防护警报会审和内部风险管理警报会审。
  • 三个代理自主执行主动安全任务:漏洞修正、威胁情报简报和条件访问策略偏移。
  • 对于计划生成和执行,其中每个代理都使用以下任一:
    • Microsoft代理开发人员提供的简单业务流程,这意味着开发人员编写代码来指示代理或
    • 平台提供的 AI 业务流程,这意味着Security Copilot创作的代码和 LLM 指令混合定向代理。

Security Copilot代理体验的预期用途是什么?

  • 网络钓鱼会审代理:在Microsoft Defender XDR中自动对用户报告的钓鱼事件进行会审,对事件执行扩充,并根据代理对文本和图像的分析解决事件。
  • 数据丢失防护的警报会审:在 Microsoft Purview 中自主会审 DLP 警报,对警报执行扩充,并可能根据代理的分析解决警报。
  • 内部风险管理的警报会审:在 Microsoft Purview 中自主会审 IRM 警报,对警报执行扩充,并可能根据代理的分析解决警报。
  • 漏洞修正:自主构建修补组,使用适用于客户环境的修补程序修正已发布的漏洞。 代理不会向环境应用修补程序。
  • 威胁情报简报:自主研究每周向客户发送威胁情报简报代理。
  • 条件访问策略偏移:自主生成策略更改,使客户的标识系统和用户系统保持同步。

如何评估Security Copilot代理体验? 哪些指标用于度量性能?

  • 对于个人预览阶段,每个代理都由其产品和研究团队根据客户的用例和设计意见进行评估。
  • 我们通过红色组合练习评估了系统的安全性。

Security Copilot代理有哪些限制? 用户在使用系统时如何尽量减少其限制的影响?

  • 这是一个公共预览版,因此客户应将Security Copilot代理视为预发行版功能。 这意味着客户应在执行代理的输出之前查看代理的决策。 代理决策在产品体验中可用。
  • 代理仅适用于它们旨在执行的特定任务, (查看上述) 的预期用例。 代理不适用于任何其他任务。
  • 当用户将反馈提交到要存储在内存中的代理时,代理不会提供其反馈解释摘要。 这意味着用户不会立即收到对其输入理解方式的验证。 为了最大程度地减少此处的歧义性,用户应提交清晰、简洁和具体的反馈。 这有助于确保代理的解释与用户的意图紧密一致,即使没有显式摘要也是如此。
  • 当前 UI 不指示报告有冲突的反馈事件。 用户应定期查看反馈,以了解已提交到代理的内容,以确保其符合其需求。
  • 代理节点映射旨在提供代理过程中所执行步骤的高级视图。 节点映射中的每个节点都显示每个步骤中使用的技能标题, (例如“UserPeers”或“SummarizeFindingAgent”) ,以及完成状态、持续时间和时间戳等基本信息。 它不提供在每个节点上执行的特定作的深入摘要。 用户可以通过仔细查看节点标题来尽量减少影响,因为编写节点标题来描述所执行的作。 然后,他们可以通过考虑代理更广泛的任务上下文中的标题来推断每个步骤的用途。
  • 代理使用内存来存储授权用户的反馈,并将该信息应用于后续运行。 例如,安全分析师可能会向用户提交的钓鱼会审代理提供以下反馈:“来自 hrtools.com 的电子邮件来自我的 HR 培训供应商,因此,除非链接终结点上存在恶意软件,否则不要将其标记为钓鱼攻击。该反馈存储在内存中,然后应用于后续代理运行,以便有效地捕获客户的业务上下文。 为了防止内存因恶意更新或无意错误更新而中毒,客户的管理员配置谁有权向代理提供反馈。 此外,管理员可以查看、编辑和删除内存内容,可以从产品中的代理配置屏幕访问内存内容。

哪些作因素和设置允许有效和负责任地使用Security Copilot代理?

  • 每个代理都以托管标识或捕获的用户身份运行,使管理员能够管理其有权访问的数据。
  • 每个代理都有 RBAC 控制,两个 Purview 代理可能会进一步限制它们处理的数据。
  • 这六个 代理 中没有一个执行无法撤消的作。 例如,三个代理会更改事件或警报的状态,这一行为很容易逆转。
  • 管理员控制组织中的哪些人可以向代理提供反馈。

如何实现提供有关Security Copilot代理的反馈?

每个代理都有一个反馈机制,允许客户向代理提供自然语言反馈。 代理将反馈合并到主动学习循环中。

插件支持

Security Copilot代理不支持插件。

  • Last updated on