Microsoft Defender 入口網站中的 Security Store 提供多種代理程式,幫助您高效執行安全任務。 這些代理程式包括由 Microsoft 及其合作夥伴發佈的 Microsoft Security Copilot 代理程式。 這些代理與Microsoft Defender整合,並執行各種安全作業 (SOC) 任務,如事件分流、調查、威脅狩獵及威脅情報。
本文說明如何在 Microsoft Defender 中發現並部署 AI 代理。
注意事項
欲了解更多關於將代理發佈至 Security Store 的資訊,請參閱 「發佈代理至 Microsoft 安全性 Store」。
必要條件
要從安全商店購買、部署及使用代理程式,您需要:
- 存取已配置有 SCU 容量的 Security Copilot 工作空間。
- 對於合作夥伴發佈的代理,你需要 Azure 訂閱貢獻者或擁有者角色。
在 Microsoft Defender 入口網站中發現並部署代理程式
要在 Microsoft Defender 入口網站中發現並部署代理:
選擇 Security Copilot > 安全商店。
瀏覽或搜尋你想部署的代理。
選擇代理程式以查看其詳細資訊,包括功能、需求及設定說明。
購買並部署代理:
如果你有足夠的權限,請選擇 「取得代理」 開始部署流程。 如需詳細資訊,請參閱必要條件。
如果你沒有部署代理的權限,請選擇 複製 連結以複製代理的詳細頁面網址並分享給安全管理員。
對於合作夥伴發佈的代理,請依照 Microsoft 安全性 Store 文件中的說明,完成購買並部署。
您可以透過公開報價或私募提供,為合作夥伴發行的代理人管理集中購買,詳見 《如何購買 SaaS 解決方案 (私募報價) 》。
購買代理後,選擇 Security Copilot > 代理,在「準備設定」區塊中找到您的代理,然後選擇設定以開始代理設定。
欲了解更多關於設置、管理及執行合作夥伴發佈代理的資訊,請參閱管理 Security Copilot 代理程式。
欲了解更多關於 Microsoft Security Copilot 代理的資訊,請參閱 Microsoft Defender 中的 Microsoft Security Copilot 代理程式。
設定完成後,代理會出現在 「代理使用中 」區塊。
Microsoft Security Copilot 代理在 Microsoft Defender 中
本節詳述 Microsoft Defender 入口網站中可用的 Microsoft Security Copilot 代理程式。
Security Alert Triage Agent (預覽)
注意事項
安全警示分流代理與 釣魚分流代理 是同一代理,但具備擴展功能以分流更廣泛的警示類型。 安全警示分流代理僅提供給參與預覽版的客戶。 如果你還沒參加預覽,釣魚分流代理仍在安全商店中提供。
安全警示分流代理是一種自主代理,協助安全團隊在多個工作負載中大規模分流警示。 該代理採用 AI 驅動的動態推理,為支援的安全工作負載提供明確的判斷。 這與 釣魚分流代理(Phishing Triage Agent)相同,後者已展現出分流準確度與效率的可衡量提升。 客服人員現在可以在Microsoft Defender中分流更廣泛的警示,包括一般可用的電子郵件與協作警示 () ,以及雲端與身份警示 (預覽) 。 該代理自主運作,以自然語言提供透明的分類理由,並根據分析師的反饋持續學習與提升準確度。
| 屬性 | 描述 |
|---|---|
| [身分識別] | 建立新的代理身份或連接現有的使用者帳號 |
| License | 視警報類型而定: |
| 權限 | 代理程式需要以下權限才能運作,視你想要分流的警示類型而定:
|
| 外掛程式 | 代理程式會自動啟用以下 Security Copilot 插件: |
| 產品 |
|
| 角色型存取 | 建立和管理代理需要具備 Microsoft Entra 安全管理員角色 擁有與安全警示分流代理相同權限的使用者,可以查看代理的活動與結果,並對代理的分類評價提供回饋。 |
| 觸發程序 | 當偵測到新警報時自動執行,涵蓋使用者回報的郵件 (郵件及協作警報) 、雲端警報 (的雲端警報) ,以及身份警報。 |
威脅情報簡報代理
威脅情報簡報代理為資安營運團隊提供定期且客製化的威脅情報簡報。 該代理自主收集並綜合來自多元來源的相關威脅情報資料,提供簡潔且可行的洞察,協助分析師掌握新興威脅與趨勢。
| 屬性 | 描述 |
|---|---|
| [身分識別] | 建立新的代理身份或連接現有的使用者帳號 |
| License | 不適用 |
| 權限 |
所需權限:
|
| 產品 | Security Copilot |
| 外掛程式 | 執行此代理需要以下外掛:
|
| 角色型存取 | 安全 管理員 角色是建立和管理代理程式所必需的。 擁有與威脅情報簡報代理相同權限的使用者,可以查看代理的活動與結果。 |
| 觸發程序 | 在你設定的設定時間間隔內執行,或是你想執行時手動執行 |
為代理身份設定端點權限
當以 代理身份執行威脅情報簡報代理時,還必須設定以下端點防禦者角色權限與裝置群組存取權限。 若無這些權限,暴露報告可能會顯示「不可用」或即使您的環境中存在漏洞,也會返回零 CVE。
步驟 1 – 更新代理角色權限
- 登入 Microsoft Defender 入口網站。
- 前往 設定>端>點權限>角色。
- 找到分配給威脅情報簡報代理的自訂角色。
- 編輯角色並確認以下權限已啟用:
- 進階狩獵 – 閱讀
- 漏洞管理 – 閱讀
- 機器配置 – 讀取
- 裝置清單 – 已閱讀
- 如果有更新,請儲存任何變更。
步驟 2 – 授權裝置群組存取代理
- 在 Microsoft Defender 入口網站,請前往設定>端點>裝置群組。
- 對於包含生產端點的每個裝置群組:
- 打開裝置群組。
- 選擇 使用者存取 區塊。
- 新增威脅情報簡報代理身份。
- 指定 讀取 權限。
- 儲存變更。
重要事項
在執行代理程式前,請預留時間讓權限更新在 Microsoft Defender 服務間同步。
威脅獵殺代理人
威脅狩獵代理徹底改變了威脅狩獵,讓你能從頭到尾用自然語言調查威脅。 它不僅產生 KQL 查詢,還能解讀結果、呈現洞見,並引導你完成完整的狩獵過程。 這些能力讓你能更快、更準確且更有信心地追蹤威脅。
安全分析師代理
安全分析師代理協助安全分析師快速識別、評估並優先排序風險,透過對安全資料進行現成或客製化分析。 該代理提供可行且優先排序的洞察、建議與報告,以揭露主要漏洞與風險。 它支援來自 Microsoft Defender 全面偵測回應、Sentinel 日誌分析或 Sentinel 資料湖 的資料,並能執行異常偵測、分群、風險評分及預測等複雜分析任務,無需程式碼或查詢。
| 屬性 | 描述 |
|---|---|
| [身分識別] | 與使用者身份綁定;每位使用者獨立配置代理程式 |
| License | 不適用 |
| 權限 | 閱讀存取 Microsoft Defender 全面偵測回應、Microsoft Sentinel 日誌分析工作空間或 Microsoft Sentinel 資料湖,視你選擇的資料來源而定 |
| 產品 |
|
| 角色型存取 | 擁有讀取權限的使用者可以設定並使用該代理程式。 |
| 觸發程序 | 當你在客服聊天中輸入安全分析提示,或從進階搜尋查詢結果中選擇 「用 Copilot 分析 」時,該系統會隨需執行 |
動態威脅偵測代理
Defender 入口網站中的動態威脅偵測代理是一個全天候運作、自適應的後端服務,能在 Defender 與 Microsoft Sentinel 環境中發現隱藏威脅。 它利用 AI 透過關聯警示、事件、異常與威脅情報,識別漏洞並揭露假陰性。 當代理識別到缺口時,會產生動態警示,包含完整情境,包括自然語言說明、映射的 MITRE ATT&CK 技術,以及量身訂做的補救步驟。