重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
Microsoft Security Copilot 提供進階自動化功能,協助您解決安全性和 IT 作業中的實際挑戰,包括 Security Copilot 提示手冊和 Security Copilot 代理程式。
Security Copilot 提示手冊可用於建立遵循確定性和線性工作流程的自動化。
可以利用 Security Copilot 代理程式來建置確定性或非確定性工作流程的自動化。 在非確定性工作流程中,代理利用工具和指令來制定動態計劃來實現其結果。 代理程式還提供附加功能,例如按排程觸發和從使用者回饋中學習的能力。
您可以選擇根據您的安全和 IT 營運案例和使用案例來建置提示手冊或代理程式。
自訂代理程式的使用案例
可以針對任何使用案例開發自訂 Security Copilot 代理程式。 以下是您可以考慮的一些想法,以透過以下方式增強安全性和 IT 營運:
代理程式,藉由分析事件詳細數據、擷取實體,以及與 Microsoft Sentinel 事件相互關聯以取得豐富的內容,對 Microsoft Defender 安全性事件進行全面調查。 最後,它進行了詳細的判決分析,以確定事件是真陽性、假陽性還是需要進一步調查,以及建議的後續步驟。
分析可疑程式碼片段或指令碼以確定其惡意性質並擷取 IOC (入侵指標 (例如 IP 位址和網域)) 的代理程式。 然後,代理程式會收集擷取的 IOC 的威脅情報,並檢查過去 7 天內是否有任何組織裝置與這些潛在惡意指標通訊。
根據使用者輸入產生全面的威脅情報報告的代理程式,並在Microsoft Defender表格中搜尋相關的常見漏洞和暴露 (CVE) 。 它分析威脅行為者、工具和漏洞,同時識別環境中受影響的設備並提供緩解策略。
代理程式,藉由分析 Microsoft Entra ID、Defender、Sentinel 和 Microsoft Defender 威脅情報平臺的可疑電子郵件來執行全面的電子郵件調查。 它會檢查電子郵件詳細資料、寄件者歷史記錄、附件互動、URL 選取、使用者登入活動和實體信譽,以提供安全性建議並判斷入侵指標。
代理程式,藉由從多個安全性平台 (包括 Entra ID、Intune 和 Microsoft Sentinel) 收集和分析資料來執行全面的使用者調查。 它會檢查使用者詳細資料、風險層級、稽核記錄、登入模式、裝置合規性、IP 信譽和安全性警示,以產生執行層級的調查摘要。