重要
本文中的一些信息与预发布产品有关,在商业发布之前,该产品可能会进行重大修改。 Microsoft对此处提供的信息不作任何明示或暗示的保证。
网络钓鱼仍然是攻击者获得初始访问权限的最常见方式之一。 这也是安全运营中心 (SOC) 团队面临的最大挑战之一,因为用户报告的大量可疑电子邮件必须每天进行调查。
为了帮助安全团队有效地解决网络钓鱼问题,智能 Microsoft Security Copilot 副驾驶®在 Microsoft Defender 中引入了钓鱼会审代理。 此 AI 支持的虚拟代理旨在缩放安全团队在对用户提交的网络钓鱼事件进行会审和分类方面的响应,使组织能够通过减少手动工作量和简化其网络钓鱼响应来提高效率。
钓鱼会审代理使用高级大型语言模型 (LLM) 为基础的分析来了解报告的电子邮件的内容,并自主确定提交是真正的网络钓鱼尝试还是虚假警报。 与基于规则的系统不同,它不依赖于预定义的输入或代码来运行。 相反,它应用动态推理来大规模分析和处理传入报表。
通过从队列中删除误报,代理可显著减少团队的手动工作负荷,并允许他们专注于优先级更高的任务。 借助这种自动化,安全团队可以更高效地处理数百或数千个网络钓鱼提交,从而加快检测和响应需要立即关注的事件。
概述
Security Copilot将 AI 和人类专业知识的强大功能汇集在一起,帮助安全团队更快、更有效地应对攻击。 Security Copilot嵌入在 Microsoft Defender 门户中,以帮助为安全团队提供增强的功能,以调查和响应事件、搜寻威胁以及使用相关的威胁情报保护其组织。
网络钓鱼会审代理是Microsoft Defender中的Security Copilot代理,旨在扩展安全运营团队对用户提交的钓鱼事件进行分类和会审的流程。 代理的一些亮点包括:
- 它以自主方式运行。 钓鱼会审代理利用高级 AI 工具执行复杂的评估,并确定网络钓鱼提交是真正的威胁还是虚假警报,而无需分步人工输入或代码。
- 它为自然语言的分类判决提供了透明的理由,包括其决定背后的推理及其用来得出这些结论的证据。 它还显示每个决策的推理过程的直观表示形式。
- 它根据分析师提供的反馈不断学习并提高其准确性。 随着时间的推移,此反馈循环会微调代理的行为,使其更紧密地与组织细微差别保持一致,并减少手动验证的需要。
先决条件
以下是在环境中运行网络钓鱼会审代理的组织要求:
| 组件 | 详细信息 |
|---|---|
| 产品 | - 安全计算单元中Security Copilot和预配容量的活动订阅, (SCU) 为Security Copilot工作负载提供支持。 有关详细信息 ,请参阅Security Copilot入门 - 已部署计划 2 Microsoft Defender for Office 365 |
| Microsoft Defender所需的功能 | - 必须在组织中启用统一的基于角色的访问控制 (URBAC) 。 有关详细信息 ,请参阅统一基于角色的访问控制 (URBAC) - 监视 Outlook 中的报告邮件 。 有关详细信息,请参阅用户报告设置 - 必须启用用户报告为恶意软件或网络钓鱼的警报策略Email。 有关详细信息,请参阅Microsoft Defender门户中的警报策略 |
| 需要Security Copilot插件 | 必须在 Security Copilot 中启用以下Microsoft插件: - Microsoft Defender XDR - Microsoft 威胁情报 - 钓鱼会审代理 |