重要
本文中的一些信息与预发布产品有关,在商业发布之前,该产品可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
威胁情报分析师在提供见解深刻、可作、上下文化智能方面面临一些挑战。 开发威胁情报简报的任务涉及从各种威胁源、工具和门户收集信息;筛选和关联此信息;分析和映射组织风险。 这些活动发生在分析师甚至可以开始开发报表本身并生成见解之前,他们何时提供简报。 到那时,由于这些过程可能需要数小时到数天的时间,组织面临的威胁已经演变,这可能使简报过时。
威胁情报简报代理的预览版是针对这些痛点而开发的。 智能 Microsoft Security Copilot 副驾驶®独立门户中的威胁情报简报代理在几分钟内基于最新的威胁参与者活动以及内部和外部漏洞信息生成威胁情报简报。 代理可以通过创建自定义的相关报告来帮助安全团队节省时间,该报表为 CSO 和经理提供关键态势感知,并为威胁情报分析师提供威胁防御工作的坚实起点。
该代理利用动态自动化和深度生成 AI 及其丰富的威胁情报知识和信号。 生成简报时,代理会根据上一步的结果动态选择下一步,从而实时决定要包含的威胁情报和优先级。 然后,代理将此技术信息转换为可供各种受众使用的可消化报表。
威胁情报简报代理最适合打开Microsoft Defender外部攻击面和Microsoft Defender for Endpoint的客户,因为代理依赖于来自这些第一方集成的信号和见解来提供准确且上下文丰富的报告。
先决条件
权限
此代理可以从Defender 外部攻击面管理和Defender 漏洞管理读取数据。
标识
此代理需要连接到现有用户帐户。
产品
运行此代理需要智能 Microsoft Security Copilot 副驾驶®。
插件
运行此代理需要以下插件:
- Microsoft威胁情报
以下插件是可选的,可以运行此代理,但可以向输出添加更多上下文:
- Microsoft Defender 外部攻击面管理
基于角色的访问权限
所有者和参与者可以在“智能 Microsoft Security Copilot 副驾驶®代理库”页中查看威胁情报简报代理生成的报告。
Trigger
此代理在打开时按设置的时间间隔运行,或者在你想要运行时手动运行。
设置代理
若要运行威胁情报简报代理,请先转到智能 Microsoft Security Copilot 副驾驶®独立门户中的“代理”页。 选择“威胁情报简报代理”下的“查看详细信息”。
查看代理详细信息,然后选择“ 设置”。
选择“ 下一步 ”,将用户帐户连接到代理,打开可在其中选择用户帐户的新窗口。 在此之后,等待代理完成设置。
指定参数以自定义输出,然后选择“ 完成”。 稍后可以通过选择代理概述页右上角的三个点来编辑这些参数。
- 要研究的见解 - 代理针对活动威胁研究的漏洞数
- 回顾过去的日子 - 代理研究针对你的漏洞的威胁有多远
- Email - 将简报发送到的用户或通讯组的电子邮件地址
- 区域 - 代理检查威胁的地理区域范围
- 行业 - 代理检查威胁的部门或行业
创建代理后,会重定向到代理概述页。 若要运行代理,请转到页面右上角,然后选择“ 运行代理”。 选择“ 在触发器上 ”以计划代理在设置的时间运行,或选择“ 一次 ”按需运行报表。
评估和提供有关代理输出的反馈
生成的报告显示在 “活动”下的“威胁情报简报代理”页中。 它显示报表的名称、开始时间、生成方法和当前状态。
选择其中一个报告来评估代理的输出。
威胁情报简报包含威胁信息的相关摘要和详细的技术分析,包括任何被积极利用的漏洞及其可能的组织影响。
威胁情报简报代理在生成简报时,会根据上一步的结果动态选择下一步。 可以通过选择“ 查看活动”来查看代理生成威胁简报的进度。
你将看到活动的详细信息,让你了解代理为生成输出而采取的步骤。
可以通过选择“竖起大拇指”或“向下大拇指”按钮来提供有关简报的反馈。 可以在之后显示的文本框中详细说明。 选择“ 提交 ”以提供反馈。