重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
Defender 中的安全分析师代理通过提供以下功能来帮助安全分析师快速识别、评估和确定风险的优先级:
灵活分析: 对安全数据执行随时可用的或自定义分析。 获取可操作且优先的见解、建议和报告,以发现最大的漏洞和风险。
数据集成:根据说明分析来自 Microsoft Defender XDR、Sentinel Log Analytics 或 Sentinel Data Lake 的数据。 还可以上传 CSV 文件进行自定义数据集分析 (目前在独立体验中可用,但不久将在 Defender)
交互式探索: 可视化数据以更快地发现异常和风险。
对话协助: 与代理聊天、提出后续问题并执行相关分析以加深理解
若要执行模式分析、趋势分析、时序和可视化等基本分析任务,以及更复杂的分析任务(如异常检测、聚类分析、排名、风险评分和优先级、预测和预测建模),请使用安全分析师代理来发现隐藏的风险。 代理生成具有防御性的完整证据的优先见解。 这是聊天首次体验中的 Python 支持的高级分析,无需编写任何代码或查询。
代理可以对大量数据执行单步或多步骤分析,并迭代原因并发现隐藏的风险,使用详细的证据线索和理由确定这些风险的优先级。
先决条件和设置要求
必须有权访问 Security Copilot,Defender XDR或 Sentinel Log Analytics 或 Sentinel Data Lake 才能使用代理。
访问和设置要求
- 访问要求
必须对 Microsoft Defender XDR、Microsoft Sentinel Log Analytics 工作区或 Microsoft Sentinel Data Lake 具有读取访问权限,具体取决于所选的数据源。
- RBAC 和特定于用户的设置
配置代理时,它将绑定到标识,并且仅适用于用户实例。
- 多用户支持
同一租户中的其他用户也可以使用自己的标识配置代理,前提是他们对所选数据源具有所需的访问权限。
数据源
代理当前支持三个数据源:
| 数据源 | 说明 |
|---|---|
| Defender XDR (默认) | Microsoft Defender XDR遥测 |
| Sentinel Log Analytics | Microsoft Sentinel Log Analytics 工作区 |
| Sentinel Data Lake (仅) Sentinel Data Lake 的强制步骤 | Microsoft Sentinel Data Lake |
可通过两种方法指定数据源:
自然语言提示:将数据源添加到指令中。 例如:
Analyze if there are privilege escalation or role elevation activities that are followed by sensitive data access in my enterprise. Please use Sentinel Log Analytics for this.
在指令中指定数据源时,代理将从该源检索和分析安全日志。 如果有多个工作区,代理会要求你指定要使用的工作区。
在提示中配置后,数据源设置将保留整个会话,直到更改。 建议将给定会话中的数据源更改限制为 3,以提高性能。
代理设置:还可以通过编辑代理设置来指定数据源。
重要
代理始终遵循你的指示。 如果代理设置与提示指令之间存在冲突,则提示指令优先。
如果未使用任一方法指定数据源,则代理首先尝试从Defender XDR检索数据。 如果由于数据不可用或权限问题而失败,代理将从 log Analytics Sentinel 重试。
配置安全分析师代理 (可选)
可以直接在 Defender 中运行安全分析师代理,而无需完成设置。 提供代理设置以支持可选配置方案,例如定义代理标识或预配置数据源。 这不会影响你在 Defender 中运行代理的能力。
重要
配置数据源是可选的。 可以直接在提示符中指定数据源,代理在执行分析时优先考虑这些基于提示的说明。 如果未在提示符中指定数据源,则代理将使用在代理设置中配置的数据源。
登录到 Security Copilot (https://securitycopilot.microsoft.com) 。
选择主菜单图标。
导航到 “代理”。
在 “准备安装 ”部分中,选择“ 安全分析师代理”。
对于首次安装,请在 “准备安装 ”部分找到代理,然后选择“ 设置”。 如果已为至少一个用户配置了代理,请在“正在使用的代理”部分下搜索“安全分析师代理”,然后单击“转到代理”。
提供首选数据源详细信息以配置代理:
Defender XDR:将所有字段留空,并在指令末尾指定
Use Defender XDR。Sentinel Data Lake (强制) :
- 在“数据源”字段中输入
SentinelDataLake。 - 在“Sentinel Data Lake 工作区名称”字段中输入工作区名称。
- 将剩余字段留空。
- 在“数据源”字段中输入
Sentinel Log Analytics 工作区:
- 在“数据源”字段中输入
SentinelLogAnalyticsWorkspace。 - 填写以下字段: Log Analytics 工作区名称。
- 将“Sentinel Data Lake 工作区名称”字段留空并保存设置。
- 在“数据源”字段中输入
选择顶部的“ 与代理聊天 ”以与代理交互。
可以启动新聊天进行新的分析、查看和访问历史聊天,以及查看任何代理会话中的代理设置详细信息。
使用安全分析师代理
转到 中的https://defender.microsoft.comMicrosoft Defender,然后在“调查和响应”下选择“高级搜寻”。
打开 Copilot,然后选择“ 安全分析师代理”。
以自然语言输入安全分析提示,或选择建议的提示之一。
如果任务范围很广,请回答代理的澄清问题,以便代理可以缩小分析范围。
(可选)在提示符中指定数据源。 如果未提供数据源,则代理首先尝试Defender XDR,然后Sentinel Log Analytics 来识别和检索分析所需的数据。
查看响应,包括优先结果、支持证据和建议。
在以下示例中,代理总结了其发现结果以及证据,并提供有关后续步骤(更深入的调查或遏制)的上下文建议。 响应还包含用户可能要求继续交互的建议下一个提示列表。
在同一会话中继续执行后续提示,或启动新会话进行单独的调查。
注意
代理可能需要几分钟才能完成复杂的分析。
如果运行了 KQL 查询并想要分析结果以了解安全风险,请在查询的结果选项卡下选择“ 使用 copilot 分析 ”。 生成结果的代理原因,并提供了需要紧急关注的优先见解的摘要。
使用响应上的反馈按钮来共享输出是否有用。
解释报表
执行摘要
本部分明确说明如何执行分析,并概述采取的步骤和考虑的数据。 它以简单的语言解释了筛选条件、时间范围和应用的任何排名,以便读者可以轻松遵循该过程。
关键见解
在这里,你将找到分析中最重要的发现结果,这些发现以简洁而有意义的方式呈现。 每个见解都包含一个简要说明,说明为什么它很重要,并在相关的情况下引用了支持性证据。
可视 化
本部分包含可增加报表深度和清晰度的图表或图形,帮助读者快速解释数据中的模式或关系。 仅当视觉对象为分析提供唯一值时,才会包含视觉对象。
工件
项目是报告随附的支持文件,例如所有已分析实体的综合 CSV,以及详细证据文件(如果适用)。 这些资源允许读者浏览发现背后的完整数据集。 项目包括代理用于检索数据的 KQL 查询 (请注意,代理仅使用 KQL 进行数据检索,分析在 python) 中完成,这是为执行任务而制定的综合计划。