Microsoft Security Copilot sikkerhedsadvarselsagent i Microsoft Defender (prøveversion)

  • Gælder for: Microsoft Defender XDR

SOC'er (Security Operations Centers) behandler store mængder beskeder på tværs af flere arbejdsbelastninger, der hver især kræver forskellig kontekst, signaler og undersøgelsesdybde. Forskelle i, hvordan disse beskeder evalueres, kan føre til uoverensstemmende triagebeslutninger og gøre det langsommere at skelne reelle trusler fra falske alarmer. Derfor kan højrisikoaktivitet overses eller forsinkes, mens analytikere bruger uforholdsmæssig lang tid på at filtrere støj i stedet for at reagere på det, der er vigtigst.

Microsoft Security Copilot Security Alert Triage Agent er en autonom agent, der er integreret i Microsoft Defender, som hjælper sikkerhedsteams med at triage beskeder i stor skala. Den anvender AI-drevet dynamisk begrundelse på tværs af beviser for at levere klare domme for understøttede sikkerhedsarbejdsbelastninger. Ved at identificere, hvilke beskeder der repræsenterer reelle angreb, og som er falske positiver, gør agenten det muligt for analytikere at fokusere på at undersøge reelle trusler med gennemsigtige, trinvise begrundelser for at understøtte enhver beslutning.

Denne artikel indeholder en oversigt over sikkerhedsadvarselsagenten, hvordan den fungerer, og dens funktioner til vigtige beskeder. Se denne video for at se en hurtig demo:

Bemærk!

Security Alert Triage Agent er den samme agent som Phishing Triage Agent, som har vist målbare forbedringer i triage nøjagtighed og effektivitet i kontrollerede evalueringer. Agenten udvides til at håndtere et bredere sæt beskeder i Microsoft Defender, startende med et undersæt af identitets- og cloudbeskeder. Disse udvidede funktioner fås i øjeblikket som prøveversion. Sættet af understøttede beskeder forventes at vokse over tid.

Sådan fungerer sikkerhedsadvarselsagenten

Sikkerhedsadvarselsagenten er en Security Copilot-agent i Microsoft Defender, der klassificerer og triager beskeder på tværs af understøttede arbejdsbelastninger og beskedtyper. Agentens vigtigste funktioner omfatter:

  • Selvstændig triage: Bruger avancerede AI-værktøjer til at evaluere beskeder og afgøre, om de repræsenterer skadelig aktivitet eller falske alarmer, uden at der kræves trinvist menneskeligt input.
  • Gennemsigtig begrundelse: Registrerer klassificeringssigelser og giver understøttende begrundelser i grafer i naturligt sprog og visuelle elementer, herunder de beviser, der bruges til at nå frem til hver konklusion.
  • Læring baseret på feedback: For understøttede beskedtyper kan agenten inkorporere feedback fra analytikere, når den udtrykkeligt er angivet og godkendt for at finjustere bedømmelsesanalysen. Denne funktion er i øjeblikket kun tilgængelig for mail- og samarbejdsbeskeder.

Understøttede beskeder

Sikkerhedsadvarselsagenten understøtter i øjeblikket følgende undersæt af beskedtyper i Microsoft Defender. Sættet af understøttede beskeder forventes at vokse over tid.

Beskedtype Beskednavn
Mail- og samarbejdsbeskeder, herunder phishing (offentligt tilgængelig) Mail, der er rapporteret af brugeren som malware eller phish
Cloudbeskeder, herunder objektbeholdere (prøveversion)
Få vist alle cloudbeskeder
  • Potentielle backdoor-hjælpeprogrammer eller registrerede proxy-binære filer (prøveversion)
  • Potentielle backdoorinstallationer fra kørende processer (prøveversion)
  • Mulig eksekverbar fil, der er registreret på en kommandolinje, kodet i Base64 (prøveversion)
  • Potentiel base64-kodet udførelse af shellscript (prøveversion)
  • Usædvanlig adgang til Bash-profilfil
  • SSH-serveren kører i en objektbeholder (prøveversion)
  • Mistænkelige Cron-handlinger på kommandolinjen blev registreret
  • Proces knyttet til digital valutamining opdaget
  • Der blev fundet en mulig Cryptocoinminer-download
  • Kubernetes krypto-miner proces dræber registreret (prøveversion)
  • Mulig adgang til en kryptovalutaminingspulje registreret (prøveversion)
  • Adfærd relateret til digital valutaudvinding registreret
  • Mulig udnyttelse af webtjenesten ved hjælp af gennemløb af stier (prøveversion)
  • Der blev fundet en mulig deaktivering af sikkerhedsværktøjer (prøveversion)
  • Blokeret binær drift udføres i objektbeholderen (prøveversion)
  • Der blev registreret en binær drift i objektbeholderen
  • Mistænkelige ændringer af filattributten ved hjælp af chattr registreret (prøveversion)
  • Docker-buildhandling registreret på en Kubernetes-node (prøveversion)
  • Der blev registreret adgang til cloudmetadatatjenesten
  • Mulig forringelse af logføring af kommandohistorik (prøveversion)
  • Der er fundet et muligt angrebsværktøj
  • Der blev fundet et muligt værktøj til adgang til legitimationsoplysninger
  • Adgang til kubelet kubeconfig-fil registreret
  • Forsøg på at oprette et nyt Linux navneområde ud fra en registreret objektbeholder
  • Der blev fundet et værktøj til netværksscanning (prøveversion)
  • Konto føjet til sudo-gruppe
  • Brug af det registrerede OAST-domæne (prøveversion)
  • Der blev registreret et Kubernetes-indtrængningstestværktøj (prøveversion)
  • Der er registreret en mulig udnyttelse af java-baseret program (prøveversion)
  • Kommando i en objektbeholder, der kører med høje rettigheder
  • Mistænkelige proxyware- eller trafikgeneratorer, der er registreret på kommandolinjen
  • Der blev registreret en potentiel React2Shell-kommandoinjektion
  • Usædvanlig adgang til bash-oversigtsfilen
  • Der blev fundet en potentiel omvendt shell
  • Mulig hemmelig rekognoscering registreret
  • Registreret mulig ændring af sikkerhedskonfigurationer (prøveversion)
  • Registreret mistænkelig afslutning af sikkerhedsproces (prøveversion)
  • Der blev registreret Files adgang til følsomme Files
  • Sha1-Hulud kampagne registreret: Mulig kommandoinjektion til exfiltrate legitimationsoplysninger (prøveversion)
  • En proces, der på en usædvanlig måde har fået adgang til den SSH-godkendte nøglefil
  • Der blev fundet et ualmindeligt forbindelsesforsøg
  • Registreret fildownload fra en kendt skadelig kilde
  • Mistænkelig PHP-udførelse registreret
  • Potentiel port videresendelse til ekstern IP-adresse
  • Procesaktivering af en registreret databaseproces
  • Mistænkelig Netcat-aktivitet registreret på en Kubernetes-node (prøveversion)
  • Der er registreret en mulig ændringsaktivitet i logfilen
  • Ændring af mistænkelig filtidsstempel
  • Der blev fundet en mulig skadelig webshell
  • Mistænkelig anmodning til Kubernetes API
  • Der blev fundet en mulig Web Shell-aktivitet
  • Der blev registreret mistænkelig adgang til identitetstokenet for arbejdsbelastningen eller tokenet til tjenestekontoen
  • Der er tildelt tilladelser til at køre en binær fil fra en mistænkelig mappe efter download (prøveversion)
  • En kommandolinje, der udføres i en objektbeholder, indeholder en mistænkelig DNS
  • En kommandolinje, der udføres i en objektbeholder, indeholder en mistænkelig IP-adresse
  • Microsoft Defender for Cloud Kubernetes Malwarekørsel registreret (prøveversion)
  • Microsoft Defender for Cloud Kubernetes Malwarekørsel blokeret (prøveversion)
Identitetsbeskeder (prøveversion)
Vis alle identitetsbeskeder
  • Adgangskodespray
  • Mulig BEC-relateret indbakkeregel
  • Konto kompromitteret efter et password-spray angreb

Forudsætninger

Disse forudsætninger gælder, uanset hvilke beskedtyper agenten skal triage.

Forudsætning Detaljer
Security Copilot Klargjort kapacitet i SCU (Security Compute Units). Se Kom i gang med Security Copilot, eller kontrollér, om du er berettiget til SSU'er som en del af modellen til medtagelse af Microsoft Security Copilot.
Security Copilot plug-ins Sikkerhedsadvarselsagenten aktiverer automatisk disse plug-ins: Microsoft Defender XDR, Microsoft Threat Intelligence og Security Alert Triage Agent. Du kan få flere oplysninger under Oversigt over plug-ins – Microsoft Security Copilot.
Regler for justering af beskeder Deaktiver regler for justering, der løser de beskeder, som agenten skal behandle. Agenten har ikke fundet vigtige beskeder. Du kan få flere oplysninger under Juster en besked.
Unified RBAC Aktivér samlet rollebaseret adgangskontrol, og aktivér de relevante arbejdsbelastninger for de beskedtyper, du vil triage. Du kan få flere oplysninger under Arbejdsbelastningsspecifikke forudsætninger.
Produkter og licenser Du skal bruge specifikke produkter og licenser baseret på de beskedtyper, som agenten skal triage. Du kan få flere oplysninger under Arbejdsbelastningsspecifikke forudsætninger.

Arbejdsbelastningsspecifikke forudsætninger

Følgende forudsætninger afhænger af de beskedtyper, som agenten skal triage.

Produkt- og licenskrav
Unified RBAC-krav

Aktivér Defender for Office 365 i Microsoft Defender XDR samlede RBAC-indstillinger. Du kan få flere oplysninger under Aktivér arbejdsbelastninger under indstillinger for Microsoft Defender XDR.

Skærmbillede af siden Aktivér samlet rollebaseret adgangskontrol, der viser til/fra-knappen Defender for Office 365, som skal aktiveres for sikkerhedsadvarselsagenten.

Konfigurer brugerrapporterede indstillinger

Aktivér Overvåg rapporterede meddelelser i Outlook for at definere, hvordan brugere rapporterer potentielt skadelige meddelelser i Microsoft Outlook, og vælg en af indstillingerne for destinationsdestinationer for rapporterede meddelelser :

Skærmbillede af siden Brugerrapporterede indstillinger, der viser knappen Outlook-rapport og konfigurationer for rapporterede meddelelsesdestinationer.

Du kan få flere oplysninger under Brug Microsoft Defender-portalen til at konfigurere brugerrapporterede indstillinger.

Hvis du bruger et værktøj til rapportering af mail fra tredjepart, skal du gennemse Indstillinger for rapporteringsværktøjer fra tredjepart og få vist din leverandørs konfigurationsindstillinger for at integrere rapporterede meddelelser med Microsoft Defender.

Tilføj beskedpolitik

Sikkerhedsadvarselsagenten adresserer mail- og samarbejdshændelser, der indeholder beskeder af typen Mail rapporteret af brugeren som malware eller phish.

Sørg for, at den tilsvarende beskedpolitik er aktiveret.
Du kan få flere oplysninger under Beskedpolitikker på portalen Microsoft Defender.

Vigtigt!

Sikkerhedsadvarselsagenten kan ikke sortere beskeder, der er løst ved at indstille beskeder.
Sørg for at deaktivere den automatiske løsning – mail, der er rapporteret af brugeren som malware eller phish indbygget regel for justering af beskeder og eventuelle brugerdefinerede regler for justering, der løser denne besked.

Påkrævede brugertilladelser

Brugere, der interagerer med sikkerhedsadvarselsagenten, skal have disse tilladelser:

Brugerhandling Påkrævede tilladelser
Vis agentresultater De samme tilladelser som agenten (eller højere), som beskrevet i Security Alert Triage Agent påkrævede tilladelser.
Vis agentindstillinger Security Copilot (læs) og Grundlæggende oplysninger om sikkerhed (læs) under gruppen Tilladelser til sikkerhedshandlinger på Defender-portalen.

ELLER

Sikkerhedsadministrator i Microsoft Entra ID.
Administrer agentindstillinger (konfigurer, afbryd midlertidigt, fjern agenten og administrer agentidentitet) Sikkerhedsadministrator i Microsoft Entra ID.

Disse tilladelser gælder for arbejdsprocessen for agentfeedback:

Brugerhandling Påkrævede tilladelser
Undervis agent gennem feedback De samme tilladelser som agenten (eller højere), som beskrevet i Security Alert Triage Agent påkrævede tilladelser.
Vis feedbackside Security Copilot (læse), Grundlæggende oplysninger om sikkerhedsdata (læst) og Mail & metadata for samarbejde (læst) under gruppen Tilladelser til sikkerhedshandlinger på Defender-portalen.

ELLER

Sikkerhedsadministrator i Microsoft Entra ID.
Afvis feedback Sikkerhedsadministrator i Microsoft Entra ID.

Du kan få flere oplysninger om unified RBAC på Defender-portalen under Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC).

Konfigurer sikkerhedsadvarselsagenten

Sørg for, at du har de nødvendige brugertilladelser , og at alle forudsætninger er opfyldt, før du konfigurerer agenten.

Start konfigurationen

Åbn konfigurationsguiden til sikkerhedsadvarselsagent på to måder:

  • Vælg Konfigurer agent i køen Hændelser i Microsoft Defender-portalen.

    Skærmbillede af hændelseskøen, hvor konfigurationsindstillingen Sikkerhedsbesked-triageagent er fremhævet.

  • Fra sikkerhedslageret i Microsoft Defender-portalen, som forklaret i Installér AI-agenter i Microsoft Defender. Agenten vises muligvis som phishing-triageagent i sikkerhedslageret, men det er den samme agent.

Følg trinnene i installationsguiden, som beskrevet i afsnittene nedenfor.

Vælg de beskedtyper, der skal triages

Vælg de beskedtyper, som agenten skal triage, på listen over understøttede beskedtyper. Tilladelser og dataområder afhænger af denne markering.

Skærmbillede af agentunderstøttet konfiguration af beskeder med til/fra-knapper for mail, cloud og identitetsbeskeder og knapperne Fortsæt og Tilbage.

Tildel agentens identitet og tilladelser

Installationsguiden fører dig gennem tildeling af agenten en identitet og de tilladelser, der kræves for at udføre sit arbejde.

Tildel en identitet

Agenten kræver en identitet for at fungere. Guiden beder dig om at vælge en af to identitetstyper.

Skærmbillede af skærmbilledet Vælg en ny identitet i installationsguiden til sikkerhedsadvarselsagenten.

Vælg:

  • Opret en ny agentidentitet (anbefales) – Opret automatisk en ny Microsoft Entra-agent-id. Microsoft Entra opretter agent-id'er specielt til AI-agenter. Brug af Agent-id'er holder adgang begrænset, sikker og nemmere at administrere. Du kan få flere oplysninger under Hvad er agentidentiteter?.

    ELLER

  • Opret forbindelse til en eksisterende brugerkonto – Tildel en eksisterende brugerkonto som agentidentitet. Agenten arver brugerkontoens adgang og tilladelser. Hvis du vil bruge denne identitetsindstilling, skal du selv oprette identiteten og tildele den de tilladelser, som agenten har brug for , før konfigurationen. Du kan få oplysninger om, hvordan du opretter en brugerkonto, under Opret en ny bruger.

    Når du forbinder agenten med en konto, anbefaler vi, at du angiver en lang udløbsdato for kontoen og overvåger dens godkendelsesstatus nøje for at sikre, at agenten fungerer kontinuerligt. Hvis godkendelsen udløber, holder agenten op med at fungere, indtil den er fornyet.

    Agentens angivne brugeridentitet er ikke kompatibel med PIM eller TAP, fordi de ikke understøtter langsigtede handlinger i baggrunden.

    Tip

    Brug en dedikeret identitetskonto med det minimum, der kræves af agenten. Når du opretter kontoen, skal du tildele et specifikt vist navn, f.eks. Sikkerhedsadvarselsagent, for nemt at identificere den på portalen Microsoft Defender.

    Angiv politikker for betinget adgang for Security Copilot for at gøre det muligt for agenten at fungere på baggrund af den brugerkonto, der er oprettet for den. Du kan finde flere oplysninger under Fejlfinding af politikker for betinget adgang for Microsoft Security Copilot.

Bemærk!

Du kan ændre agent-id'et efter konfigurationen som beskrevet i Rediger agentindstillinger.

Tildel tilladelser

I overensstemmelse med princippet om færrest mulige rettigheder anbefaler vi, at du kun tildeler agent-identiteten de tilladelser, som Sikkerhedsadvarselsagenten kræver for at udføre sine opgaver.

  • Hvis du bruger et agent-id, viser rullelisten kun roller i din organisation, der har de tilladelser, som agenten har brug for. Vælg en eksisterende rolle i din organisation, eller opret automatisk en ny rolle med de påkrævede tilladelser, hvis du ikke allerede har konfigureret en passende rolle.

    Skærmbillede af skærmbilledet Opret en ny agentidentitet i installationsguiden til sikkerhedsadvarselsagenten.

  • Hvis du bruger en eksisterende brugerkonto, skal du tildele de nødvendige tilladelser til denne identitet, før du tildeler agent-id'et under konfigurationen – det kan du ikke gøre fra installationsguiden.

    Skærmbillede af skærmen Opret forbindelse til en eksisterende brugerkonto i installationsguiden til sikkerhedsadvarselsagent

Sikkerhedsadvarsel - triageagent påkrævede tilladelser

Sikkerhedsadvarselsagenten kræver specifikke tilladelser til at få adgang til de nødvendige data og udføre dens triagefunktioner. De nødvendige tilladelser afhænger af de beskedtyper og tilknyttede produkter, som agenten skal arbejde med.

I denne tabel opsummeres de påkrævede tilladelser og dataområder for hver beskedtype:

Beskedtype Tilladelser Dataområder
Mail- og samarbejdsbeskeder, herunder phishing Security Copilot (læs), Grundlæggende oplysninger om sikkerhed (læs), Beskeder (administrer), Mail & metadata om samarbejde (læst), Mail & samarbejdsindhold (læs) Microsoft Defender for Office 365
Cloudbeskeder, herunder objektbeholdere Security Copilot (læst), Grundlæggende oplysninger om sikkerhed (læst), Beskeder (administrer) Microsoft Defender for Cloud
Identitetsbeskeder Security Copilot (læst), Grundlæggende oplysninger om sikkerhed (læst), Beskeder (administrer) Microsoft Defender for Identity og Microsoft Defender for Cloud Apps

Disse tilladelser er under gruppen Tilladelser til sikkerhedshandlinger :

Skærmbillede af påkrævede tilladelser til besked triage

Sådan opretter du en rolle manuelt:

  1. Sørg for, at de relevante samlede RBAC-arbejdsbelastninger er aktiveret, så agenten effektivt kan analysere beskeder med omfattende kontekst. Følg trinnene i Arbejdsbelastningsspecifikke forudsætninger.

  2. Opret en rolle med de nødvendige tilladelser, eller tildel en eksisterende rolle med disse tilladelser til agenten.

    Sørg for at tildele rolleadgang til alle de relevante datakilder baseret på de understøttede beskeder , du vil knytte til sikkerhedsadvarselsagenten.

    Skærmbillede af påkrævede datakilder til sikkerhedsadvarselstrækkelse

  3. Tildel rollen til agentens identitet.

Vigtigt!

Når du har tildelt agenten sine tilladelser, skal du sikre, at den brugergruppe, der overvåger agenten, har lige eller højere tilladelser til at overvåge dens aktivitet og output. Det gør du ved at sammenligne brugergruppens tilladelser med agenten på siden Tilladelser på portalen Microsoft Defender.

Brug sikkerhedsadvarselsagenten

Agenten hjælper sikkerhedsteams med at administrere den store mængde beskeder, som organisationer modtager dagligt ved automatisk at sortere understøttede beskeder og opdatere deres klassificering og status i Microsoft Defender hændelser.

Agentudløser og -flow

Efter installationen kører Sikkerhedsadvarselsagenten automatisk, når der oprettes en relevant besked. Agenten analyserer derefter advarslen autonomt ved hjælp af avancerede AI-værktøjer og din organisations kontekst for at afgøre, om den tilknyttede trussel er ondsindet eller blot en falsk alarm.

Hvis beskeden bestemmes for at være en falsk alarm, klassificerer agenten den som falsk positiv og løser den i overensstemmelse hermed. Hvis beskeden anses for at være ondsindet, klassificeres den som en sand positiv, og status for den tilknyttede hændelse forbliver åben og igangværende, så en analytiker kan undersøge og foretage yderligere handlinger.

For hver besked, den behandler, giver agenten en detaljeret forklaring af sin dom i den tilsvarende hændelse.

Samarbejd med agenten

For at opretholde gennemsigtighed opdaterer agenten rutinemæssigt hændelsesfelter under triageprocessen. Når triaging starter, tildeler agenten beskeden til sig selv og føjer et Agent-mærke til den tilsvarende hændelse. Analytikere kan filtrere hændelseskøen for kun at se hændelser, der er mærket af agenten, hvilket forenkler tilsyn og prioritering.

Tip

Du kan også filtrere hændelseskøen ved hjælp af navnet på den identitet, du har tildelt sikkerhedsadvarselsagenten, for at se de hændelser, som agenten aktivt arbejder på.

Når en besked identificeres som en sand trussel, markerer sikkerhedsadvarselsagenten den som en sand positiv, hvilket giver analytikere mulighed for at filtrere og prioritere hændelser baseret på bekræftede klassificeringer.

Skærmbillede af hændelseskøen, der er filtreret efter sikkerhedsadvarselsagentmærket

Gennemsigtighed og forklaring i vigtig triage

For hver besked, den behandler, giver Security Alert Triage Agent en detaljeret forklaring af dens dom og en grafisk gengivelse af dens beslutningstagningsarbejdsproces.

Følg disse trin for at gennemse agentens resultater:

  1. Vælg en hændelse i hændelseskøen.

  2. På hændelsessiden skal du kigge efter kortet Security Alert Triage Agent på sidepanelet Copilot eller Opgaver under afsnittet Guided Response Triage. Opgaven er markeret som fuldført og tildelt agenten. Kortet viser agentens dom baseret på dens klassificering og fremhæver centrale dele af belastende beviser, der informerede beslutningen.

    Skærmbillede af hændelsessiden med kortet Sikkerhedsadvarselsagent fremhævet

  3. Du kan vælge ellipsen Flere handlinger for at få vist flere beskedoplysninger, kopiere agentens klassificeringsoplysninger til Udklipsholder eller administrere feedback.

    Skærmbillede, der fremhæver flere handlingsindstillinger på kortet Sikkerhedsadvarselsagent

  4. Hvis du vil have vist de trin, som agenten tog, før den blev klassificeret, skal du vælge Få vist agentaktivitet på kortet Sikkerhedsadvarselsagent. Dette viser logikken bag agentens endelige klassificering.

    Skærmbillede, der fremhæver ruden Vis agentaktivitet.

Lær agenten din organisations kontekst via feedback

Vigtigt!

Feedbackindstillingen er i øjeblikket kun tilgængelig for mail- og samarbejdsbeskeder.

For understøttede beskedtyper kan analytikere eventuelt give feedback om agentklassificeringer på almindeligt, naturligt sprog, uden at der kræves komplekse konfigurationer. Godkendte brugere kan gennemse feedback, evaluere den og eksplicit anvende den for at påvirke, hvordan agenten klassificerer lignende beskeder i fremtiden. Denne funktion er i øjeblikket kun tilgængelig for mail- og samarbejdsbeskeder.

Følg disse trin for at give feedback og undervise agenten:

  1. På hændelsessiden skal du kigge efter kortet Sikkerhedsadvarselsagent på sidepanelet Medpilot eller Opgaver under afsnittet Guided Response Triage.

  2. Gennemse agentens klassificering og begrundelse, der vises i kortets titel og indhold. Hvis beslutningen ikke stemmer overens med din organisations klassificeringskriterier, skal du vælge Skift klassificering. Du kan også opdatere klassificeringen ved at vælge den specifikke besked under fanen Beskeder og derefter vælge Administrer besked.

    Skærmbillede, der fremhæver indstillingen Skift klassificering på kortet Sikkerhedsadvarselsagent

  3. I ruden Administrer besked skal du vælge den nye klassificering i rullemenuen Klassificering . Angiv derefter årsagen til ændringen ved at udfylde feltet Hvorfor ændrede du dette klassificeringsfelt . I dette trin registreres dit input kun til overvågning på siden til administration af feedback. Agenten bruger ikke denne feedback til at forbedre sin beslutningstagning, før du eksplicit vælger Brug denne feedback til at undervise agenten. Hvis du vælger ikke at bruge denne feedback til at undervise agenten, kan du vælge Gem, som kun overvåger feedbacken uden at indsætte den i agentens hukommelse.

    Skærmbillede, der fremhæver klassificerings- og feedbackfelterne i ruden Administrer besked

  4. Hvis du vil anvende din feedback, skal du vælge Brug denne feedback til at undervise agenten. Du kan bruge vejledningen til at skrive feedback til at hjælpe dig med at udforme effektive input og derefter vælge Evaluer feedback for at give dig mulighed for at få forhåndsvist, hvordan agenten oversætter din feedback til en lektion og vurdere, om resultatet stemmer overens med din hensigt. Derudover udfører feedbackevalueringen grundlæggende sikkerhedskontroller for at sikre, at den anvendte feedback er relevant for agenten at bruge og ikke er i konflikt med tidligere feedback.

    Bemærk!

    Du kan kun give feedback til agenten én gang pr. besked, og den kan kun bruges til at undervise agenten i, hvordan mail- og samarbejdsbeskeder klassificeres, især ved at vælge enten Sand positiv (phishing) eller Falsk positiv (ikke skadelig). Gennemse altid din feedback, og bekræft det AI-genererede svar, før du gemmer lektionen.

  5. Hvis resultatet opfylder dine forventninger, kan du vælge at indsætte lektionen i agentens hukommelse for at påvirke dens fremtidige beslutninger. Vælg Gem for at gemme lektionen, og gem den som en lektion i agentens hukommelse, hvis det er relevant. Al feedback registreres til overvågningsformål, og lektioner, der føjes til agentens hukommelse, kan gennemses senere på siden til administration af feedback.

Agenten bruger gemt feedback til at triage og klassificere lignende beskeder i fremtiden. Når der modtages en relevant besked, der svarer til feedbackegenskaberne, anvender agenten denne feedback til at fastslå dens klassificering og inkorporerer den som understøttende dokumentation i sin beslutningstagningsproces.

Bedste praksis for skrivning af feedback

Lektioner indeholder systematiske retningslinjer, der hjælper agenten med at afgøre, om en besked er en ægte phishing-trussel eller en falsk alarm. Hvis du vil sikre, at agenten effektivt inkorporerer din feedback, skal du følge disse bedste fremgangsmåder, når du angiver input til sikkerhedsadvarselsagenten:

  1. Sørg for, at feedback er relevant og kontekstuel. Feedback bør kun gælde for den mail, der i øjeblikket er under gennemgang. Den skal også være i overensstemmelse med den opdaterede klassificering, du har tildelt.
  2. Vær beskrivende og specifik. Tydeligt forklare egenskaberne for e-mailen. Angiv relevante oplysninger som mailemne, meddelelsestekst, afsender eller modtagere for at hjælpe agenten med at forstå konteksten. Specifik feedback med flere detaljer forbedrer effektiviteten.
  3. Sørg for klarhed og beslutsomhed. Undgå vagt eller universelle sætninger. Giv feedback, der er klar og handlingsklar. Brug afgørende og klare identifikationsvilkår.
  4. Vær konsekvent med tidligere feedback. Sørg for, at ny feedback stemmer overens med det, der tidligere er givet, for at undgå modsætninger, der kan forvirre agenten eller reducere nøjagtigheden af dens beslutninger. Du kan gennemse alle tidligere indsendte input på siden Administration af feedback .
  5. Gennemse agentens fortolkning af din feedback. Når du indsender feedback, skal du altid bekræfte, at feedbacken er korrekt oversat til en lektion. Bekræft, at lektionen afspejler din hensigt og er konsekvent med dit oprindelige input. Kontrollerer gyldigheden af AI-genererede svar for at sikre, at de gælder for scenariet.

Her er eksempler på, hvordan du kan skrive din feedback til agenten.

Område Eksempler på velskrevet feedback Eksempler på feedback, der kan føre til fejl Sammenligning
Feedback om en afsender Alle mails, der hævder at være fra fordele, skal stamme fra "@benefits.company.com". Afsenderen i den anden besked i hændelsen er ikke gyldig. Feedback skal relatere til mailen i den aktuelle besked og dens kontekst. Den vil være knyttet til den valgte klassificering (også selvom den ikke er nævnt eksplicit i feedbacken) og bruges til lignende fremtidige beskeder.
Feedback om afsenderen og mailens brødtekst Mails, der tilbyder fildeling eller dokumentadgang, må kun komme fra vores autoriserede udbyder Contoso.com. Mails, der tilbyder fildeling eller dokumentadgang, må kun komme fra vores autoriserede udbydere. Velskrevet feedback angiver klart specifikke krav (f.eks. afsenderdomæne), mens vage referencer (f.eks. "autoriserede udbydere") ikke indeholder handlingsorienterede oplysninger.
Feedback om mailemne Alle mails, som emneemnet indeholder en anmodning om faktureringstransaktion, er ikke tilladt i vores organisation og betragtes som phishing. Hvis emnet har en positiv naturlig tillid, er det legitimt. Feedback, der er beskrivende og specifik, kan valideres effektivt, mens subjektiv feedback kan føre til utilsigtede resultater.
Feedback om brødteksten i mailen Mails, der anmoder om bekræftelse af legitimationsoplysninger, skal indeholde en reference til den specifikke konto eller tjeneste. Alle generiske "bekræft din konto"-anmodning uden detaljer skal behandles som phishing. Denne mail skal behandles som phishing. Det er mere sandsynligt, at feedback, der indeholder detaljerede oplysninger, forstås tydeligt, mens feedback, der mangler detaljer, kan fortolkes på forskellige måder og kan føre til uforudsigelige resultater.
Feedback om en modtagers og mailens brødtekst Denne mail blev sendt til flere medarbejdere, og brødteksten beder modtagerne om at downloade en 'vigtig vedhæftet fil' uden at beskrive indholdet – legitime mails angiver altid oplysninger om vedhæftede filer. Masse interne mails med vedhæftede filer er phishing. Feedback, der fremhæver specifikke manglende detaljer, som ofte findes i legitime mails, er mere effektiv. Feedback, der indeholder brede generaliseringer (massemails) eller vage ord (f.eks. "interne"), kan føre til et stort antal sande positiver.
Feedback om en modtager og et domæne Ny underentreprenør onboarding e-mails bør kun sendes til e-mailadresser, der starter med 'v-' for at sikre, at de dirigeres til de korrekte modtagere. Entreprenørmails ser anderledes ud end normalt, så de kan være phishing. Velskrevet feedback definerer klart det forventede modtagerformat, mens feedback, der er ubeslutsom ("kan være"), og mangler klare identifikationskriterier ("ser anderledes ud end normalt" uden at angive, hvad der er anderledes), gør registrering upålidelig.

Løs feedbackfejl

Når agenten tager din feedback, omsættes den til en lektion. Hvis det ikke lykkes agenten at fortolke feedbacken, viser en relevant meddelelse, hvad der forårsagede fejlen. Du kan løse disse fejl på baggrund af den meddelelse, der returneres af agenten.

Her er eksempler på fejl, du kan støde på, når du skriver feedback til agenten, og hvordan du kan løse dem.

Fejlmeddelelse Anbefalet handling
Skærmbillede af fejlmeddelelsen om irrelevante oplysninger i den angivne
feedback En del af den angivne feedback kan ikke håndteres, da agenten i øjeblikket ikke understøtter denne type input og derfor slet ikke kunne oversættes til en lektion.		 Omskriv din feedback, og sørg for, at den følger de bedste fremgangsmåder. Vælg Evaluer feedback for at prøve igen.
Skærmbillede af fejlmeddelelsen om ikke-understøttede funktioner i den angivne
feedback Feedbacken indeholder input, som agenten kan understøtte, men den er ikke relevant for den aktuelle mail og kunne derfor ikke oversættes til en handlingsbar lektion, der skal gemmes i hukommelsen.		 Omskriv din feedback, og sørg for, at den behandler beskrivelser af den mail, den kan understøtte. Vælg derefter Evaluer feedback for at prøve igen.
Skærmbillede af fejlmeddelelsen om modstridende data i den leverede
feedback Den givne feedback er i konflikt med tidligere feedback, der er givet til en lignende mail.		 siden til administration af feedback skal du søge efter feedback-id'et for at få vist den feedback, den er i konflikt med. Baseret på din anmeldelse kan du:
– Afvis den forrige feedback på siden til administration af feedback. Derefter skal du vælge Evaluer for at prøve at indsætte din feedback igen.
– Omskriv din givne feedback på en måde, der ikke er modstridende, og vælg derefter Evaluer feedback for agenten for at evaluere dit nye input igen.

Bemærk!

Du kan vælge ikke at løse feedbackfejl. Du kan efterlade din feedback og vælge Gem uden at markere afkrydsningsfeltet for at undervise agenten. Feedbacken gemmes ikke i agentens hukommelse og vil kun blive dokumenteret på siden til administration af feedback for din fremtidige sporing af klassificeringsændringer.

Når relevant feedback godkendes og gemmes, kan agenten anvende den, når lignende beskeder i fremtiden triteres med de samme tilladelser og kontrolelementer.

Overvåg og administrer sikkerhedsadvarselsagenten

Hvis du vil have vist agentmålepunkter og administrere agenten, skal du gå til kortet Sikkerhedsbesked-triageagent i hændelseskøen eller på siden Agenter:

  • Hvis du vil åbne siden Sikkerhedsadvarselsagent direkte, skal du vælge Security Copilot > Agenter, søge efter sikkerhedsbesked-triageagenten under Agenter i brug og vælge Gå til agent.

    Denne side består af to faner: Oversigt og Ydeevne.

    • Fanen Oversigt indeholder oplysninger om agentens aktuelle status, identitet, rolle og seneste aktivitet.

      Skærmbillede af fanen Oversigt på siden Sikkerhedsadvarselsagent.

      Vælg en aktivitet på listen Seneste aktivitet for at få vist detaljer om agentens undersøgelse og agentens fulde arbejdsproces.

      Skærmbillede af ruden med aktivitetsoplysninger, der åbnes fra siden Sikkerhedsadvarselsagent.

      Vælg Se arbejdsprocessen for fuld agent for at få vist en grafisk gengivelse af agentens beslutningstagningsproces for den pågældende aktivitet.

      Skærmbillede af full agent-arbejdsprocessiden, der åbnes fra siden Sikkerhedsbesked-triageagent.

    • Fanen Ydeevne viser vigtige målepunkter for agentens aktivitet over tid, herunder daglig aktivitet, gennemsnitlig tid til at triage (MTTT) og SCU-forbrug.

      Skærmbillede af fanen Ydeevne på siden Sikkerhedsadvarselsagent.

    Vælg ellipsen (...) i øverste højre hjørne af siden for at få adgang til administrationsindstillinger for agenten, som beskrevet i afsnittene nedenfor.

    Vælg Afbryd midlertidigt eller Kør for midlertidigt at stoppe eller genstarte agentens aktiviteter.

  • Hvis du vil åbne kortet Security Alert Triage Agent i hændelseskøen, skal du vælge Undersøgelse & svar > Hændelser & vigtige beskeder > Hændelser .

    Kortet Sikkerhedsadvarselsagent over hændelseskøen viser nogle af agentens vigtigste målepunkter, herunder hændelser, der er adresseret, som er hændelser, der indeholder beskeder, som agenten klassificerede som sande trusler eller falske alarmer.

    Disse data hjælper med at demonstrere agentens indvirkning og kan bruges til at informere bredere strategiske samtaler, fremhæve investeringsafkastet eller understøtte beslutninger om skalering af automatisering på tværs af din organisation.

    Målepunkter beregnes på baggrund af agentens aktivitet, der starter enten fra den første registrerede hændelse eller fra de sidste 30 dage – afhængigt af hvad der er nyere.

    Skærmbillede af hændelseskøen med kortet Sikkerhedsadvarselsagent fremhævet.

    Vælg Administrer agent på kortet for at åbne siden Sikkerhedsadvarselsagent , som har flere målepunkter for ydeevne og administrationsindstillinger.

Rediger agentindstillinger

Sådan redigerer du agentens indstillinger:

  1. Vælg Security Copilot > Agenter.

  2. Søg efter sikkerhedsadvarselsagenten under Agenter i brug, og vælg Gå til agent.

  3. Vælg ellipsen (...) > Rediger agent i øverste højre hjørne af siden Sikkerhedsadvarselsagent .

    Siden Rediger agent indeholder tre faner:

    • Identitet og rolle – Skift agentens identitet. Vælg Vælg en ny identitet, og følg de trin, der er beskrevet i Tildel agentens identitet og tilladelser.

    • Feedback – få vist og administrer brugerfeedback. Du kan få flere oplysninger under Få vist og administrer feedback til agenten.

    • Understøttede beskeder – Få vist, hvilke af de understøttede beskedtyper agenten kan triage. Sådan aktiverer eller deaktiverer du bestemte beskedtyper for agenten:

      1. Vælg Rediger understøttede beskeder for at åbne siden Agent-understøttede beskeder .

        Skærmbillede af indstillingen Rediger understøttede beskeder på siden Rediger agent.

      2. Slå individuelle beskedtyper til eller fra, og vælg Opdater.

        Skærmbillede af siden Agent-understøttede beskeder med til/fra-knapper for hver beskedtype.

      3. Vælg Opdater rolletilladelser for at anvende opdateringerne.

        Skærmbillede af panelet Agentunderstøttede beskeder med til/fra-knapper for mail, cloud og identitetsbeskeder og knappen Opdater fremhævet.

Få vist og administrer feedback til agenten

Sikkerhedsadvarselsagenten lærer fra brugerfeedback og forbedrer dens ydeevne over tid. Den gemmer relevant feedback i hukommelsen som lektioner. Du kan få vist og administrere feedback for sikkerhedsadvarselsagenten på siden Agentfeedback .

Denne side indeholder en omfattende liste over al feedback, der er sendt til agenten. Du kan gennemse vigtige oplysninger for hver feedback, herunder:

  • Agentens oprindelige klassificering og den bruger anvendte ændring
  • Den oprindelige feedback fra brugeren, når klassificeringen ændres
  • Den oversatte lektion, der genereres af agenten (hvis relevant)
  • Feedbackstatus: i brug, ikke i brug eller konflikt
  • Den bruger, der har givet feedback
  • Dato for indsendelse af feedback, feedback-id, besked-id og hændelses-id

Skærmbillede af administrationssiden for feedback

I denne tabel forklares feedbackstatusserne:

Status Beskrivelse
I brug Feedbacken blev konverteret til en lektion i agentens hukommelse og bruges aktivt til at triage og klassificere lignende hændelser.
Konflikt Den leverede feedback var i konflikt med tidligere givet feedback i en lignende hændelse. Få mere at vide om, hvordan du kan løse feedbackfejl.
Ikke i brug Feedbacken blev enten ikke indarbejdet i agentens hukommelse eller ikke markeret af brugeren til undervisning. Afviste lektioner vises som "ikke i brug" og gemmes kun til overvågning og ikke til sortering og klassificering af hændelser. Vælg detaljepanelet for at få flere oplysninger.

Tip

Feedback kan kun administreres individuelt. Masseadministration af flere feedbackposter understøttes ikke i øjeblikket.

Sådan får du vist og administrerer brugerfeedback:

  1. Vælg Security Copilot > Agenter, kig efter sikkerhedsadvarselsagenten under Agenter i brug, og vælg Gå til agent.

  2. Vælg ellipsen (...) > Rediger agent i øverste højre hjørne af siden. Dette åbner siden Rediger agent .

  3. Vælg Feedback i ruden til venstre for at åbne siden Agentfeedback .

  4. Vælg en post på feedbacklisten for at åbne ruden Gennemse feedback .

  5. Kontrollér detaljerne for den leverede feedback, agentens lektion, klassificeringsændringerne og andre vigtige oplysninger.

    Skærmbillede af ruden Gennemse feedback

  6. Hvis du vil afvise specifik feedback, skal du vælge Afvis feedback. Agenten holder op med at bruge feedbacken i fremtidige triagebeslutninger.

    Bemærk!

    Hvis du vil afvise den angivne feedback, skal du have rollen Sikkerhedsadministrator i Microsoft Entra ID.

Fjern agenten

Når du fjerner agenten, stopper sorteringen og klassificeringen af nye hændelser, og al feedback slettes. Historikken over tidligere triaged hændelser bevares dog som reference.

Sådan fjerner du agenten:

  1. Vælg Security Copilot > Agenter, kig efter sikkerhedsadvarselsagenten under Agenter i brug, og vælg Gå til agent.
  2. Vælg ellipsen (...) i øverste højre hjørne af siden, og vælg derefter Fjern.

Ofte stillede spørgsmål

Nedenfor følger svar på ofte stillede spørgsmål om sikkerhedsadvarselsagenten. Du kan få oplysninger om agentens egenskaber og krav i afsnitteneSådan fungerer sikkerhedsadvarselsagenten og forudsætninger i denne artikel.

Hvad er sikkerhedsadvarselsagenten, hvordan adskiller den sig fra phishing-triageagenten, og hvordan onboarder jeg, hvis jeg allerede bruger agenten til at triage phishing-beskeder?

Sikkerhedsadvarselsagenten er en selvstændig Microsoft Security Copilot-agent i Microsoft Defender, der hjælper sikkerhedsteams med at triage beskeder i stor skala. Den evaluerer beskeder ved hjælp af AI-drevet begrundelse, ankommer til en dom og registrerer dens konklusioner direkte i Microsoft Defender hændelser for at hjælpe analytikere med at prioritere, hvad der kræver handling.

Sikkerhedsadvarselsagenten er den samme agent som phishing-triageagenten, som udvides til at omfatte yderligere beskedtyper ud over mail og samarbejde. Sikkerhedsadvarselsagenten er modulopbygget – du vælger, hvilke beskedtyper agenten skal triage. Agenten udvides nu til identitets- og cloudbeskeder– startende med objektbeholdere, som i øjeblikket er i prøveversion. Funktioner til mail- og samarbejdsbeskeder er allerede offentligt tilgængelige. Sættet af understøttede beskeder forventes at vokse over tid.

Hvis du allerede bruger phishing-triageagenten, behøver du ikke at installere en ny agent. Din eksisterende agent vil fortsat fungere, og du kan aktivere yderligere beskedtyper via konfigurationen. Hvis du vil onboarde til de udvidede funktioner, skal du gennemse forudsætningerne for de ekstra beskedtyper og redigere agentindstillingerne for at vælge de beskedtyper, du vil aktivere.

Din eksisterende konfiguration af phishing-triage og feedback overføres automatisk. Du kan få flere oplysninger under Sådan fungerer sikkerhedsadvarselsagenten og konfigurerer sikkerhedsadvarselsagenten.

Hvornår udløses agenten?

Denne agent kører automatisk, når der registreres en ny besked. Indbyggede regler for justering, der løser understøttede beskedtyper, deaktiveres under konfigurationen.

Kan man stole på sikkerhedsadvarselsagenten?

Microsoft AI agenter følger strenge retningslinjer for ansvarlig ai og gennemgår grundige gennemgange for at sikre overholdelse af alle AI-standarder og sikkerhedsforanstaltninger. Sikkerhedsadvarselsagenten er fuldt integreret i disse kontrolelementer. Under installationen tildeler du agenten en identitet og konfigurerer den med de minimumtilladelser, der kræves til handlingen, for at sikre, at den ikke har unødvendige tilladelser. Alle agentaktiviteter logføres i detaljer, og hele flowet er tilgængeligt til gennemsyn af analytikere og administratorer når som helst. Feedback, der gives til agenten for at hjælpe den med at tilpasse sig organisationens miljø, logføres, afspejles i systemet og kan gennemses og ændres af administratorer efter behov.

Hvordan adskiller agenten sig fra en STANDARD SOAR-løsning?

Selvom både SOAR-løsninger og Security Alert Triage Agent automatiserer aspekter af sikkerhedshandlinger, bruger de forskellige tilgange.

SOAR-løsninger er typisk afhængige af foruddefinerede, regelbaserede arbejdsprocesser, der kræver manuel konfiguration og løbende vedligeholdelse. I modsætning hertil bruger Security Alert Triage Agent en ræsonnementbaseret analyse til at triage vigtige beskeder og registrere klassificeringer inden for Microsoft Defender med menneskelig overvågning og valgfri feedback, hvor det understøttes.

Agenten arbejder inden for definerede tilladelser og arbejdsprocesser i Microsoft Defender og erstatter ikke eksisterende undersøgelses- eller svarværktøjer.

Hvilket niveau af synlighed og kontrol har jeg over agenten?

Microsoft indeholder værktøjer til organisationer, så de kan bevare synligheden af og kontrollen over sikkerhedsadvarselsagenten fra udrulningen gennem igangværende handlinger. Agenterne overholder Microsofts RAI-standarder (Responsible AI) for retfærdighed, pålidelighed, sikkerhed, beskyttelse af personlige oplysninger, sikkerhed, inkluderelse, gennemsigtighed og ansvarlighed. Administratorer konfigurerer agentens identitets- og adgangsniveauer under installationen ved at følge principper for færrest mulige rettigheder. Sikkerhed og it-teams kan godkende bestemte handlinger, overvåge ydeevnen og gennemse output direkte i Microsoft Defender. Kapacitetsforbrug og grænser for dataadgang kan også konfigureres af administratorer.

Sikkerhedsadvarselsagenten arbejder inden for et miljø, hvor der ikke er tillid til dem. Systemet gennemtvinger organisatoriske politikker for hver agenthandling ved at evaluere hensigten og omfanget af hver handling. Alle beslutninger, begrundelser og handlinger, der træffes af agenten, dokumenteres gennemsigtigt som et beslutningstræ i Defender og registreres i Microsoft Purview-overvågningslogge for sporing og overholdelse af angivne standarder.

Jeg vil prøve sikkerhedsadvarselsagenten - hvordan konfigurerer jeg den i Microsoft Defender?

Hvis du vil konfigurere agenten, skal du have adgang til Security Copilot i Microsoft Defender og opfylde de nødvendige forudsætninger. Hvis du ikke er onboardet til Security Copilot, skal du se Kom i gang med Security Copilot eller kontakte din Microsoft-repræsentant. Når du har onboardet til Security Copilot, kan det tage lidt tid, før agentkonfigurationsindstillingen bliver tilgængelig på Microsoft Defender-portalen.

Jeg har prøvet sikkerhedsadvarselsagenten - hvordan kan jeg anslå den SCU-kapacitet, der er nødvendig for agenten i min organisation?

Det er vigtigt at sikre, at din organisation har tilstrækkelige SSU'er til, at agenten fungerer korrekt. Hvis du vil evaluere SCU-forbrug og planlægge kapacitet fremover, skal du se dashboardet til overvågning af forbrug på Security Copilot-portalen og kontrollere, om du er berettiget til SSU'er som en del af Microsoft Security Copilot medtagelsesmodel. Dashboardet viser:

  • Omkostninger pr. behandlet mail
  • Kapacitetsforbrug over tid

Du kan også eksportere dashboarddataene til Excel for at få en mere detaljeret analyse og kun filtrere på agenthandlinger.

Når du har evalueret dine behov for SCU-forbrug, skal du opdatere SCU-kapaciteten for din organisation. Du kan få flere oplysninger om administration af SSU'er under Administrer brug af sikkerhedsberegningsenhed i Security Copilot.

Relateret indhold

  • Last updated on