本文概述了关键角色,以及如何在 智能 Microsoft Security Copilot 副驾驶® 中发现、设置和使用代理以及工作流中的相关组件。 高级用户和开发人员还可以生成和发布适合其组织需求的自定义代理。
Personas
Security Copilot代理跨越三个关键角色:
管理员 - 发现并确定要安装哪些代理、配置插件,并查看代理的使用情况和成功指标。
最终用户 (分析师或数据安全团队;或 IT 管理员) - 使用其工作流的输出并提供有关其工作流的反馈来与代理交互。
有关适用于安全操作中心或 IT 团队中管理员和最终用户的不同角色或角色的用例的详细信息,请参阅 用例。
开发人员 - 生成和发布代理以供内部使用或更广泛的组织部署。 有关开发人员文档的详细信息,请参阅 生成自定义代理。
使用代理、插件和连接器
智能 Microsoft Security Copilot 副驾驶®使用这些功能自动执行和扩展安全操作。 了解它们可提供帮助的方案以及它们彼此之间的关系有助于充分利用Security Copilot。
| 应用场景 | 建议的方法 | 指南 |
|---|---|---|
| 即席分析 | 从提示和提示簿开始 | Security Copilot中的提示 |
| 可重复的工作流 & 集成 | 探索 插件 和 连接器 | 插件 和 连接器 |
| 自动化 | 发现 代理 | - 若要开始使用代理,请查看关键 代理术语 ,熟悉代理设置中使用的核心概念。
- 探索独立代理和嵌入式 代理的发现 代理。 有关合作伙伴生成的代理,请参阅 安全存储。 - 有关实际操作功能的示例,请参阅 用例。 |
| 高级工作流 | 高级用户可以 创建自定义代理、 生成提示书和 自定义插件 | - 代理: 生成自定义代理 - Promptbooks: 生成自己的提示簿 - 插件: 生成自定义插件 |
Agents
代理是 AI 驱动的安全助手或工作流,可以代表安全团队自主执行和协调任务。 每个代理都有一个定义的目标,例如会审网络钓鱼警报、生成威胁情报简报或修正漏洞。 代理无需指导每个步骤即可实现该目标。 可以发现Microsoft代理、部署合作伙伴代理或构建自己的自定义代理。
代理可以是 交互式 (响应用户提示的实时) 或自动 (由事件触发或按计划) 处理重复任务的速度和一致性。
插件
当代理需要信息或需要执行操作时,它会通过插件进行访问。 插件是 (有时称为技能) 的工具集合,用于将代理连接到特定安全产品或服务 (Microsoft或第三方) 。 例如,一个插件可能允许Security Copilot从Microsoft Sentinel检索警报,而另一个插件可能查询 IP 信誉服务。
安全所有者可以启用或禁用插件;开发人员可以编写自定义插件。 有关详细信息,请参阅 插件概述。
连接器
连接器是将Security Copilot与更广泛的生态系统链接在一起的集成接口。 连接器将逻辑应用工作流或Copilot Studio连接器等外部系统引入,以调用Security Copilot代理、运行提示符或触发自动化。 插件向外扩展代理可以到达的内容,连接器将外部进程引入到代理。
有关详细信息,请参阅 连接器概述。
自定义代理
如果你是开发人员,则可以生成并发布Security Copilot针对组织的特定安全和运营需求定制的自定义代理。
Security Copilot使开发人员能够生成、测试代理并将其发布到Security Copilot。
有关详细信息,请参阅 代理开发概述 开发人员内容文档。
提示手册
提示手册是由自然语言提示组成的可重用的多步骤工作流。 它指导Security Copilot完成一个结构化过程,例如调查事件、分析威胁,或者通过将一系列提示和操作链接在一起生成报告。
Promptbook 可以包括分支逻辑、输入字段和对插件或技能的引用。 分析师可以手动运行 promptbook,或通过代理或连接器触发它们,作为更广泛的工作流的一部分。
有关详细信息,请参阅 Promptbooks。