重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
Defender 中的 Security Analyst Agent 協助安全分析師快速識別、評估並優先排序風險,提供:
彈性分析: 對安全資料進行現成或客製化分析。 獲取可行且優先排序的洞察、建議與報告,揭露主要漏洞與風險。
資料整合:根據您的指示,分析Microsoft Defender 全面偵測回應、Log Analytics Sentinel Sentinel 資料湖 的資料。 你也可以上傳 CSV 檔案進行自訂資料集分析 (目前以獨立體驗提供,但很快就會在 Defender)
互動探索: 視覺化數據以更快發現異常與風險。
對話協助: 與經紀人聊天、提出後續問題,並進行相關分析,以深化你的理解
如果你想執行基本分析任務,如模式分析、趨勢分析、時間序列與視覺化,以及較複雜的分析任務,如異常偵測、聚類、排名、風險評分與優先排序、預測與預測建模,則可使用Security Analyst Agent,以發掘隱藏風險。 代理人會產生具有充分證據的優先洞察。 這是以 Python 為基礎的進階分析,先進行聊天,完全不需要寫程式碼或查詢。
代理人能對大量資料進行單步或多步驟分析,反覆推理並揭露隱藏風險,並以詳細的證據、追蹤與理由優先排序這些風險。
前置條件與設定要求
您必須擁有 Security Copilot 和 Defender 全面偵測回應,或 Sentinel 日誌分析或 Sentinel Data lake 才能使用代理程式。
存取與設定要求
- 存取要求
你必須擁有 Microsoft Defender 全面偵測回應、Microsoft Sentinel Log Analytics Workspace 或 Microsoft Sentinel 資料湖 的讀取權限,視你選擇的資料來源而定。
- RBAC 與使用者專屬設定
當你設定代理時,它會綁定到你的身份,且只適用於你的使用者實例。
- 多用戶支援
同一租戶中的其他使用者也可以使用自己的身份設定代理,前提是他們擁有所需存取權。
資料來源
代理目前支援三個資料來源:
| 資料來源 | 描述 |
|---|---|
| Defender 全面偵測回應 (預設) | Microsoft Defender 全面偵測回應遙測 |
| Sentinel 日誌分析 | Microsoft Sentinel Log Analytics Workspace |
| Sentinel 資料湖 (Sentinel資料湖的必修步驟) | Microsoft Sentinel 資料湖 |
指定資料來源有兩種方法:
自然語言提示:將資料來源加入你的教學中。 例如:
Analyze if there are privilege escalation or role elevation activities that are followed by sensitive data access in my enterprise. Please use Sentinel Log Analytics for this.
當你在指令中指定資料來源時,代理程式會從該來源檢索並分析安全日誌。 如果有多個工作區,代理會要求你指定要使用哪一個。
一旦在提示字中設定好,資料來源設定會持續整個會話,直到更改為止。 我們建議在一次會話中將資料來源變更限制在三次以內,以提升效能。
代理設定:您也可以透過編輯代理設定來指定資料來源。
重要事項
經紀人總是會遵守你的指示。 若代理設定與提示指令衝突,提示指令優先。
若兩種方法皆未指定資料來源,代理程式會先嘗試從 Defender 全面偵測回應中擷取資料。 如果因為資料無法使用或權限問題而失敗,代理會從 Sentinel 日誌分析中重新嘗試。
設定安全分析師代理 (選用)
你可以直接在 Defender 裡執行 Security Analyst 代理,而不必完成設定。 提供代理設定以支援可選的設定場景,例如定義代理身份或預先設定資料來源。 這不會影響你在 Defender 裡執行代理的能力。
重要事項
設定資料來源是可選的。 你可以直接在提示中指定資料來源,代理人在執行分析時會優先處理這些基於提示的指令。 若提示中未指定資料來源,代理程式使用代理設定中設定的資料來源。
登入以Security Copilot (https://securitycopilot.microsoft.com) 。
選取主功能表圖示。
前往探 員處。
在 「準備設定 」區塊中,選擇 安全分析師代理。
首次設定時,請在 「準備設定 」區塊找到該代理,並選擇 設定。 如果代理已經設定至少一個使用者,請在「Agents in Used」區塊搜尋「Security Analyst Agent」,然後點選「前往代理程式」。
提供您偏好的資料來源細節以設定代理:
Defender 全面偵測回應:所有欄位留空,並在指示結尾註明
Use Defender 全面偵測回應。Sentinel 資料湖 (強制) :
- 輸入
SentinelDataLakeDataSource 欄位。 - 請在 Sentinel 資料湖 工作區名稱欄位輸入您的工作區名稱。
- 剩下的欄位保持空著。
- 輸入
Sentinel Log Analytics 工作空間:
- 輸入
SentinelLogAnalyticsWorkspaceDataSource 欄位。 - 請填寫以下欄位: Log Analytics 工作區名稱。
- 請將 Sentinel 資料湖 Workspace 名稱欄位留空,並儲存你的設定。
- 輸入
在最上方選擇 「與客服人員聊天 」以與客服人員互動。
你可以啟動新聊天進行新的分析,查看並存取歷史聊天紀錄,並查看任何代理會話中的代理設定細節。
使用安全分析師代理
請前往 Microsoft Defender,https://defender.microsoft.com然後在調查與回應中選擇進階狩獵。
打開 Copilot,然後選擇 Security Analyst Agent。
請以自然語言輸入您的安全分析提示,或選擇建議的提示之一。
如果任務範圍廣泛,請回應代理人的澄清問題,以便代理人能縮小分析範圍。
也可以在提示中指定資料來源。 若未提供資料來源,代理先嘗試 Defender 全面偵測回應,接著使用 Sentinel 日誌分析以識別並取得分析所需的資料。
檢視回應內容,包括優先排序的發現、支持證據及建議。
在以下範例中,代理人總結了其發現與證據,並提供後續步驟的情境建議,無論是更深入的調查還是遏制措施。 回應中還包含了使用者可請求的下一步提示清單,以便繼續互動。
在同一場次中繼續進行後續提示,或為另一項調查開啟新場次。
注意事項
代理人可能需要幾分鐘完成複雜的分析。
如果您執行了 KQL 查詢,並希望分析結果以了解安全風險,請在查詢結果標籤下方選擇 「與 copilot 一起分析 」。 客服人員會根據產生的結果進行推理,並總結需要緊急關注的優先洞察。
請使用回應上的回饋按鈕,分享該結果是否有幫助。
解讀報告
執行摘要
本節清楚說明分析過程,說明所採取的步驟及所考慮的數據。 它用直白的語言解釋篩選標準、時間範圍及所適用的排名,讓讀者能輕鬆跟上流程。
關鍵見解
在這裡,你會看到分析中最重要的發現,以簡潔且有意義的方式呈現。 每個洞見都包含簡短說明其重要性,並在相關時引用支持證據。
視覺化
本區包含圖表或圖表,為報告增添深度與清晰度,幫助讀者快速解讀資料中的模式或關係。 只有當視覺化對分析具有獨特價值時才會被納入。
文物
產物是報告中附帶的輔助檔案,例如所有分析實體的完整CSV文件,以及在適用時的詳細證據檔案。 這些資源讓讀者能探索研究結果背後的完整資料集。 工件包括代理用來擷取資料的 KQL 查詢 (請注意代理只在資料檢索中使用 KQL,分析以 Python) 進行,這是為執行任務所制定的全面計畫。