Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Security Operations Center (SOCs) verarbeiten große Mengen von Warnungen über mehrere Workloads hinweg, die jeweils unterschiedliche Kontext, Signale und Untersuchungstiefe erfordern. Unterschiede bei der Auswertung dieser Warnungen können zu inkonsistenten Selektierungsentscheidungen führen und die Fähigkeit, reale Bedrohungen von falschen Alarmen zu unterscheiden, verlangsamen. Infolgedessen können Risikoaktivitäten verpasst oder verzögert werden, während Analysten unverhältnismäßig viel Zeit damit verbringen, Rauschen zu filtern, anstatt auf das Wesentliche zu reagieren.
Der Microsoft Security Copilot Sicherheitswarnungs-Selektierungs-Agent ist ein autonomer Agent, der in Microsoft Defender eingebettet ist und Sicherheitsteams dabei hilft, Warnungen im großen Stil zu selektieren. Es wendet KI-gesteuertes, dynamisches Denken über Beweise hinweg an, um klare Urteile für unterstützte Sicherheitsworkloads zu liefern. Durch die Identifizierung, welche Warnungen reale Angriffe darstellen und welche falsch positive Ergebnisse sind, ermöglicht der Agent analysten, sich auf die Untersuchung realer Bedrohungen zu konzentrieren, mit transparenten, schritt-für-Schritt-Begründungen, um jede Entscheidung zu unterstützen.
Dieser Artikel bietet eine Übersicht über den Sicherheitswarnungs-Triage-Agent, seine Funktionsweise und seine Funktionen für die Warnungs selektierung. Sehen Sie sich dieses Video an, um eine kurze Demo zu sehen:
Hinweis
Der Sicherheitswarnungs-Selektierungs-Agent ist derselbe Agent wie der Phishing-Selektierungs-Agent, der messbare Verbesserungen bei der Selektierungsgenauigkeit und Effizienz bei kontrollierten Auswertungen gezeigt hat. Der Agent wird erweitert, um eine breitere Gruppe von Warnungen in Microsoft Defender zu selektieren, beginnend mit einer Teilmenge von Identitäts- und Cloudwarnungen. Diese erweiterten Funktionen befinden sich derzeit in der Vorschauphase. Es wird erwartet, dass der Satz unterstützter Warnungen im Laufe der Zeit zunehmen wird.
Funktionsweise des Sicherheitswarnungs-Selektierungs-Agents
Der Sicherheitswarnungs-Selektierungs-Agent ist ein Security Copilot-Agent in Microsoft Defender, der Warnungen für unterstützte Workloads und Warnungstypen klassifiziert und selektiert. Zu den wichtigsten Funktionen des Agents gehören:
- Autonome Selektierung: Verwendet erweiterte KI-Tools, um Warnungen auszuwerten und zu bestimmen, ob sie böswillige Aktivitäten oder falsche Alarme darstellen, ohne dass eine schrittweise menschliche Eingabe erforderlich ist.
- Transparente Begründung: Zeichnet Klassifizierungsurteile auf und liefert unterstützende Argumentationen in natürlicher Sprache und visuellen Graphen, einschließlich der Beweise, die zum Erreichen der einzelnen Schlussfolgerungen verwendet werden.
- Lernen basierend auf Feedback: Für unterstützte Warnungstypen kann der Agent Analystenfeedback integrieren, wenn er explizit bereitgestellt und genehmigt wird, um seine Bewertungsanalyse zu optimieren. Diese Funktion ist derzeit nur für E-Mail- und Zusammenarbeitswarnungen verfügbar.
Unterstützte Warnungen
Der Sicherheitswarnungs-Selektierungs-Agent unterstützt derzeit die folgende Teilmenge der Warnungstypen in Microsoft Defender. Es wird erwartet, dass der Satz unterstützter Warnungen im Laufe der Zeit zunehmen wird.
| Alarmtyp | Warnungsname |
|---|---|
| Email und Warnungen zur Zusammenarbeit, einschließlich Phishing (allgemein verfügbar) | Vom Benutzer als Schadsoftware oder Phishing-Mail gemeldete E-Mails |
| Cloudwarnungen, einschließlich Containern (Vorschau) |
Anzeigen aller Cloudwarnungen
|
| Identitätswarnungen (Vorschau) |
Anzeigen aller Identitätswarnungen
|
Voraussetzungen
Diese Voraussetzungen gelten unabhängig von den Warnungstypen, die der Agent selektieren soll.
| Voraussetzungen | Details |
|---|---|
| Security Copilot | Bereitgestellte Kapazität in Security Compute Units (SCU). Weitere Informationen finden Sie unter Erste Schritte mit Security Copilot, oder überprüfen Sie, ob Sie im Rahmen des Microsoft Security Copilot-Einschlussmodells berechtigt sind. |
| Security Copilot-Plug-Ins | Der Security Alert Triage Agent aktiviert automatisch diese Plug-Ins: Microsoft Defender XDR, Microsoft Threat Intelligence und Security Alert Triage Agent. Weitere Informationen finden Sie unter Übersicht über Plug-Ins Microsoft Security Copilot. |
| Warnungsoptimierungsregeln | Deaktivieren Sie Optimierungsregeln, die die Warnungen auflösen, die der Agent selektieren soll. Der Agent selektieren aufgelöste Warnungen nicht. Weitere Informationen finden Sie unter Optimieren einer Warnung. |
| Einheitliche RBAC | Aktivieren Sie die einheitliche rollenbasierte Zugriffssteuerung, und aktivieren Sie die relevanten Workloads für die Warnungstypen, die Sie selektieren möchten. Weitere Informationen finden Sie unter Workloadspezifische Voraussetzungen. |
| Produkte und Lizenzen | Sie benötigen bestimmte Produkte und Lizenzen basierend auf den Warnungstypen, die der Agent selektieren soll. Weitere Informationen finden Sie unter Workloadspezifische Voraussetzungen. |
Workloadspezifische Voraussetzungen
Die folgenden Voraussetzungen hängen von den Warnungstypen ab, die der Agent selektieren soll.
Produkt- und Lizenzanforderungen
Einheitliche RBAC-Anforderungen
Aktivieren Sie Defender für Office 365 in Microsoft Defender XDR einheitlichen RBAC-Einstellungen. Weitere Informationen finden Sie unter Aktivieren von Workloads in Microsoft Defender XDR Einstellungen.
Konfigurieren von benutzerseitig gemeldeten Einstellungen
Aktivieren Sie Gemeldete Nachrichten in Outlook überwachen , um zu definieren, wie Benutzer potenziell schädliche Nachrichten in Microsoft Outlook melden, und wählen Sie eine der Optionen gemeldete Nachrichtenziele aus:
Weitere Informationen finden Sie unter Verwenden des Microsoft Defender-Portals zum Konfigurieren von benutzerseitig gemeldeten Einstellungen.
Wenn Sie ein E-Mail-Berichterstellungstool eines Drittanbieters verwenden, lesen Sie Optionen für Berichterstellungstools von Drittanbietern, und zeigen Sie die Konfigurationsoptionen Ihres Anbieters an, um gemeldete Nachrichten in Microsoft Defender zu integrieren.
Hinzufügen einer Warnungsrichtlinie
Der Sicherheitswarnungs-Selektierungs-Agent behandelt E-Mail- und Zusammenarbeitsvorfälle, die Warnungen mit dem Typ enthalten, Email vom Benutzer als Schadsoftware oder Phishing gemeldet werden.
Stellen Sie sicher, dass die entsprechende Warnungsrichtlinie aktiviert ist.
Weitere Informationen finden Sie unter Warnungsrichtlinien im Microsoft Defender-Portal.
Wichtig
Der Sicherheitswarnungstriage-Agent selektieren keine Warnungen, die durch die Warnungsoptimierung aufgelöst werden.
Stellen Sie sicher, dass Sie die vom Benutzer als Schadsoftware oder Phish gemeldete integrierte Warnungsoptimierungsregel für automatische Auflösung – Email und alle benutzerdefinierten Optimierungsregeln deaktivieren, die diese Warnung auflösen.
Erforderliche Benutzerberechtigungen
Benutzer, die mit dem Sicherheitswarnungs-Selektierungs-Agent interagieren, benötigen diese Berechtigungen:
| Benutzeraktion | Erforderliche Berechtigungen |
|---|---|
| Anzeigen der Agent-Ergebnisse | Die gleichen Berechtigungen wie der Agent (oder höher), wie unter Sicherheitswarnungs-Triage-Agent erforderliche Berechtigungen beschrieben. |
| Anzeigen der Agent-Einstellungen |
Security Copilot (Lesen) und Sicherheitsdatengrundlagen (lesen) im Defender-Portal unter der Berechtigungsgruppe Sicherheitsvorgänge. OR Sicherheitsadministrator in Microsoft Entra ID. |
| Verwalten von Agent-Einstellungen (Einrichten, Anhalten, Entfernen des Agents und Verwalten der Agent-Identität) | Sicherheitsadministrator in Microsoft Entra ID. |
Diese Berechtigungen gelten für den Agent-Feedbackworkflow:
| Benutzeraktion | Erforderliche Berechtigungen |
|---|---|
| Agent durch Feedback unterrichten | Die gleichen Berechtigungen wie der Agent (oder höher), wie unter Sicherheitswarnungs-Triage-Agent erforderliche Berechtigungen beschrieben. |
| Feedbackseite anzeigen |
Security Copilot (lesen),Sicherheitsdatengrundlagen (Lesen) und Email & Metadaten für die Zusammenarbeit (lesen) unter der Berechtigungsgruppe Sicherheitsvorgänge im Defender-Portal. OR Sicherheitsadministrator in Microsoft Entra ID. |
| Feedback ablehnen | Sicherheitsadministrator in Microsoft Entra ID. |
Weitere Informationen zur einheitlichen rollenbasierten Zugriffssteuerung (RBAC) im Defender-Portal finden Sie unter Microsoft Defender XDR Einheitliche rollenbasierte Zugriffssteuerung (RBAC).
Einrichten des Sicherheitswarnungs-Selektierungs-Agents
Stellen Sie sicher, dass Sie über die erforderlichen Benutzerberechtigungen verfügen und dass alle Voraussetzungen erfüllt sind, bevor Sie den Agent einrichten.
Setup starten
Öffnen Sie den Setup-Assistenten für den Sicherheitswarnungs-Triage-Agent auf eine von zwei Arten:
Wählen Sie in der Incidents-Warteschlange im Microsoft Defender-Portal Agent einrichten aus.
Aus dem Sicherheitsspeicher im Microsoft Defender-Portal, wie unter Bereitstellen von KI-Agents in Microsoft Defender erläutert. Der Agent wird möglicherweise als Phishing-Selektierungs-Agent im Sicherheitsspeicher angezeigt, aber er ist derselbe Agent.
Führen Sie die Schritte im Setup-Assistenten aus, wie in den folgenden Abschnitten beschrieben.
Auswählen der zu selektierenden Warnungstypen
Wählen Sie aus der Liste der unterstützten Warnungstypen die Warnungstypen aus, die der Agent selektieren soll. Berechtigungen und Datenbereiche hängen von dieser Auswahl ab.
Zuweisen der Identität und berechtigungen des Agents
Der Setup-Assistent führt Sie durch das Zuweisen einer Identität und der Berechtigungen, die für seine Arbeit erforderlich sind.
Zuweisen einer Identität
Für den Agent ist eine Identität erforderlich. Der Assistent fordert Sie auf, einen von zwei Identitätstypen auszuwählen.
Auswählen:
Erstellen einer neuen Agent-Identität (empfohlen): Erstellen Sie automatisch eine neue Microsoft Entra-Agent-ID. Microsoft Entra erstellt Agent-IDs speziell für KI-Agents. Die Verwendung von Agent-IDs sorgt für einen bereichsbezogenen, sicheren und einfacheren Zugriff. Weitere Informationen finden Sie unter Was sind Agentidentitäten?.
OR
Verbinden eines vorhandenen Benutzerkontos : Weisen Sie ein vorhandenes Benutzerkonto als Agentidentität zu. Der Agent erbt den Zugriff und die Berechtigungen des Benutzerkontos. Um diese Identitätsoption verwenden zu können, müssen Sie die Identität selbst erstellen und ihr die Berechtigungen zuweisen, die der Agent vor dem Setup benötigt . Informationen zum Erstellen eines Benutzerkontos finden Sie unter Erstellen eines neuen Benutzers.
Wenn Sie den Agent mit einem Konto verbinden, wird empfohlen, ein langes Kontoablaufdatum festzulegen und dessen Authentifizierungs-status genau zu überwachen, um den kontinuierlichen Betrieb des Agents sicherzustellen. Wenn die Authentifizierung abläuft, funktioniert der Agent nicht mehr, bis er erneuert wird.
Die angegebene Benutzeridentität des Agents ist nicht mit PIM oder TAP kompatibel, da sie keine langfristigen Hintergrundvorgänge unterstützen.
Tipp
Verwenden Sie ein dediziertes Identitätskonto mit den mindestens erforderlichen Berechtigungen für den Agent. Weisen Sie beim Erstellen des Kontos einen eindeutigen Anzeigenamen wie Sicherheitswarnungs-Selektierungs-Agent zu, um ihn einfach im Microsoft Defender-Portal zu identifizieren.
Legen Sie Richtlinien für bedingten Zugriff für Security Copilot fest, damit der Agent basierend auf dem dafür erstellten Benutzerkonto funktioniert. Weitere Informationen finden Sie unter Problembehandlung für Richtlinien für bedingten Zugriff für Microsoft Security Copilot.
Hinweis
Sie können die Agent-Identität nach dem Setup wie unter Bearbeiten von Agent-Einstellungen beschrieben ändern.
Berechtigungen zuweisen
In Übereinstimmung mit dem Prinzip der geringsten Berechtigungen empfehlen wir, der Agent-Identität nur die Berechtigungen zuzuweisen, die der Sicherheitswarnungs-Selektierungs-Agent zum Ausführen seiner Aufgaben benötigt.
Wenn Sie eine Agent-ID verwenden, werden in der Dropdownliste nur Rollen in Ihrem organization angezeigt, die über die berechtigungen verfügen, die der Agent benötigt. Wählen Sie eine vorhandene Rolle in Ihrem organization aus, oder erstellen Sie automatisch eine neue Rolle mit den erforderlichen Berechtigungen, wenn Sie noch keine geeignete Rolle eingerichtet haben.
Wenn Sie ein vorhandenes Benutzerkonto verwenden, müssen Sie dieser Identität die erforderlichen Berechtigungen zuweisen , bevor Sie die Agent-Identität während des Setups zuweisen. Dies ist nicht über den Setup-Assistenten möglich.
Erforderliche Berechtigungen für den Sicherheitswarnungs-Selektierungs-Agent
Der Sicherheitswarnungs-Selektierungs-Agent benötigt bestimmte Berechtigungen, um auf die erforderlichen Daten zuzugreifen und seine Selektierungsfunktionen auszuführen. Die erforderlichen Berechtigungen hängen von den Warnungstypen und den zugehörigen Produkten ab, mit denen der Agent arbeiten soll.
In dieser Tabelle sind die erforderlichen Berechtigungen und Datenbereiche für jeden Warnungstyp zusammengefasst:
| Alarmtyp | Berechtigungen | Datenbereiche |
|---|---|---|
| Email- und Zusammenarbeitswarnungen, einschließlich Phishing | Security Copilot (Lesen), Grundlagen zu Sicherheitsdaten (Lesen), Warnungen (verwalten), Email & Metadaten für die Zusammenarbeit (lesen), Email & Zusammenarbeitsinhalte (lesen) | Microsoft Defender für Office 365 |
| Cloudwarnungen, einschließlich Containern | Security Copilot (lesen), Grundlagen zu Sicherheitsdaten (lesen), Warnungen (verwalten) | Microsoft Defender für Cloud |
| Identitätswarnungen | Security Copilot (lesen), Grundlagen zu Sicherheitsdaten (lesen), Warnungen (verwalten) | Microsoft Defender for Identity und Microsoft Defender for Cloud Apps |
Diese Berechtigungen befinden sich unter der Gruppe Berechtigungen für Sicherheitsvorgänge :
So erstellen Sie eine Rolle manuell:
Stellen Sie sicher, dass die relevanten einheitlichen RBAC-Workloads aktiviert sind, damit der Agent Warnungen effektiv mit umfassendem Kontext analysieren kann. Führen Sie die Schritte unter Workloadspezifische Voraussetzungen aus.
Erstellen Sie eine Rolle mit den erforderlichen Berechtigungen, oder weisen Sie dem Agent eine vorhandene Rolle mit diesen Berechtigungen zu.
Stellen Sie sicher, dass Sie der Rolle Zugriff auf alle relevanten Datenquellen gewähren, basierend auf den unterstützten Warnungen , die Sie dem Sicherheitswarnungs-Selektierungs-Agent zuordnen möchten.
Weisen Sie die Rolle der Agentidentität zu.
Wichtig
Nachdem Sie dem Agent seine Berechtigungen zugewiesen haben, stellen Sie sicher, dass die Benutzergruppe, die den Agent überwacht, über gleiche oder höhere Berechtigungen verfügt, um seine Aktivität und Ausgabe zu überwachen. Vergleichen Sie dazu die Berechtigungen der Benutzergruppe mit dem Agent auf der Seite Berechtigungen im Microsoft Defender-Portal.
Verwenden des Sicherheitswarnungs-Selektierungs-Agents
Der Agent unterstützt Sicherheitsteams bei der Verwaltung der großen Anzahl von Warnungen, die Organisationen täglich erhalten, indem er unterstützte Warnungen automatisch selektieren und ihre Klassifizierung und status in Microsoft Defender Incidents aktualisiert.
Agent-Trigger und -Flow
Nach dem Setup wird der Sicherheitswarnungs-Selektierungs-Agent automatisch ausgeführt, wenn eine relevante Warnung erstellt wird. Anschließend analysiert der Agent die Warnung mithilfe komplexer KI-Tools und des Kontexts Ihrer organization autonom, um zu ermitteln, ob die zugehörige Bedrohung böswillig oder nur ein Falschalarm ist.
Wenn die Warnung als falscher Alarm eingestuft wird, klassifiziert der Agent sie als falsch positiv und löst sie entsprechend auf. Wenn die Warnung als bösartig eingestuft wird, wird sie als True Positive klassifiziert, und die status des zugehörigen Incidents bleibt offen und wird ausgeführt, damit ein Analyst weitere Maßnahmen ergreifen kann.
Für jede Warnung, die er verarbeitet, gibt der Agent eine detaillierte Erläuterung seines Urteils im entsprechenden Incident.
Zusammenarbeiten mit dem Agent
Um Transparenz zu gewährleisten, aktualisiert der Agent während des Selektierungsprozesses routinemäßig Incidentfelder. Wenn die Selektierung beginnt, weist sich der Agent die Warnung selbst zu und fügt dem entsprechenden Incident ein Agent-Tag hinzu. Analysten können die Incidentwarteschlange filtern, um nur Vom Agent markierte Incidents anzuzeigen, was die Aufsicht und Priorisierung vereinfacht.
Tipp
Sie können die Incidentwarteschlange auch mithilfe des Namens der Identität filtern, die Sie dem Agent für sicherheitswarnungstriage zugewiesen haben, um die Incidents anzuzeigen, an denen der Agent aktiv arbeitet.
Wenn eine Warnung als echte Bedrohung identifiziert wird, markiert der Sicherheitswarnungs-Selektierungs-Agent sie als Richtig positiv, sodass Analysten Incidents basierend auf bestätigten Klassifizierungen filtern und priorisieren können.
Transparenz und Erklärbarkeit bei der Selektierung von Warnungen
Für jede Warnung, die er verarbeitet, bietet der Sicherheitswarnungs-Triage-Agent eine detaillierte Erläuterung seiner Bewertung und eine grafische Darstellung seines Entscheidungsworkflows.
Führen Sie die folgenden Schritte aus, um die Ergebnisse des Agents zu überprüfen:
Wählen Sie einen Vorfall aus der Vorfallwarteschlange aus.
Suchen Sie auf der Incidentseite im Seitenbereich Copilot oder Tasks unter dem Abschnitt Guided Response Triage nach dem Karte Security Alert Triage Agent. Die Aufgabe wird als abgeschlossen markiert und dem Agent zugewiesen. Die Karte legt das Urteil des Agenten basierend auf seiner Klassifizierung dar und hebt wichtige Elemente von belastenden Beweisen hervor, die die Entscheidung geprägt haben.
Sie können die Auslassungspunkte Weitere Aktionen auswählen, um weitere Warnungsdetails anzuzeigen, die Klassifizierungsdetails des Agents in die Zwischenablage zu kopieren oder Feedback zu verwalten.
Um die Schritte anzuzeigen, die der Agent vor dem Erreichen seiner Klassifizierung ausgeführt hat, wählen Sie Agent-Aktivität anzeigen im Karte Sicherheitswarnungs-Selektierungs-Agent aus. Dies zeigt die Logik hinter der endgültigen Klassifizierung des Agents.
Vermitteln sie dem Agent den Kontext Ihrer organization durch Feedback
Wichtig
Die Feedbackoption ist derzeit nur für E-Mail- und Zusammenarbeitswarnungen verfügbar.
Für unterstützte Warnungstypen können Analysten optional Feedback zu Agent-Klassifizierungen in einfacher, natürlicher Sprache bereitstellen, ohne dass komplexe Konfigurationen erforderlich sind. Autorisierte Benutzer können Feedback überprüfen, auswerten und explizit anwenden, um zu beeinflussen, wie der Agent ähnliche Warnungen in Zukunft klassifiziert. Diese Funktion ist derzeit nur für E-Mail- und Zusammenarbeitswarnungen verfügbar.
Führen Sie die folgenden Schritte aus, um Feedback zu geben und den Agent zu unterrichten:
Suchen Sie auf der Incidentseite im Seitenbereich Copilot oder Tasks unter dem Abschnitt Guided Response Triage nach dem Karte Security Alert Triage Agent.
Überprüfen Sie die Klassifizierung und Argumentation des Agents, die im Titel und inhalt des Karte angezeigt werden. Wenn die Entscheidung nicht mit den Klassifizierungskriterien Ihres organization übereinstimmt, wählen Sie Klassifizierung ändern aus. Alternativ können Sie die Klassifizierung aktualisieren, indem Sie auf der Registerkarte Warnungen die spezifische Warnung und dann Warnung verwalten auswählen.
Wählen Sie im Bereich Warnung verwalten im Dropdownmenü Klassifizierung die neue Klassifizierung aus. Geben Sie dann Ihren Grund für die Änderung an, indem Sie das Feld Warum haben Sie diese Klassifizierung geändert ? ausfüllen. In diesem Schritt werden Ihre Eingaben auf der Feedbackverwaltungsseite nur zu Überwachungszwecken aufgezeichnet. Der Agent verwendet dieses Feedback erst, um seine Entscheidungsfindung zu verbessern, wenn Sie explizit Dieses Feedback verwenden ausgewählt haben, um den Agent zu unterrichten. Wenn Sie dieses Feedback nicht zum Unterrichten des Agents verwenden möchten, können Sie Speichern auswählen. Dadurch wird nur das Feedback überwacht, ohne es in den Arbeitsspeicher des Agents einzufügen.
Um Ihr Feedback anzuwenden, wählen Sie Dieses Feedback verwenden aus, um den Agent zu unterrichten. Sie können den Leitfaden zum Schreiben von Feedback verwenden, um effektive Eingaben zu erstellen, und dann Feedback bewerten auswählen, um eine Vorschau anzuzeigen, wie der Agent Ihr Feedback in eine Lektion übersetzt und bewerten kann, ob das Ergebnis mit Ihrer Absicht übereinstimmt. Darüber hinaus führt die Feedbackauswertung grundlegende Sicherheitsüberprüfungen durch, um sicherzustellen, dass das angewendete Feedback für die Verwendung durch den Agent relevant ist und nicht in Konflikt mit vorherigem Feedback steht.
Hinweis
Sie können dem Agent nur einmal pro Warnung Feedback geben, und es kann nur verwendet werden, um dem Agent beizubringen, wie E-Mail- und Zusammenarbeitswarnungen klassifiziert werden, insbesondere durch Auswahl von True Positive (Phishing) oder False Positive (nicht böswillig). Überprüfen Sie immer Ihr Feedback, und überprüfen Sie die VON KI generierte Antwort, bevor Sie die Lektion speichern.
Wenn das Ergebnis Ihren Erwartungen entspricht, können Sie die Lektion in das Gedächtnis des Agents einfügen, um die zukünftigen Entscheidungen zu beeinflussen. Wählen Sie Speichern aus, um die Lektion zu speichern und ggf. als Lektion im Arbeitsspeicher des Agents zu speichern. Das gesamte Feedback wird zu Überwachungszwecken aufgezeichnet, und lektionen, die dem Speicher des Agents hinzugefügt werden, können später auf der Feedbackverwaltungsseite überprüft werden.
Der Agent nutzt gespeichertes Feedback, um ähnliche Warnungen in Zukunft zu selektieren und zu klassifizieren. Wenn eine relevante Warnung empfangen wird, die den Feedbackmerkmalen entspricht, wendet der Agent dieses Feedback an, um seine Klassifizierung zu bestimmen und es als unterstützende Beweise in seinen Entscheidungsprozess einzubeziehen.
Bewährte Methoden zum Schreiben von Feedback
Lektionen enthalten systematische Richtlinien, die dem Agent dabei helfen zu bestimmen, ob eine Warnung eine echte Phishing-Bedrohung oder ein falscher Alarm ist. Um sicherzustellen, dass ihr Feedback vom Agent effektiv berücksichtigt wird, befolgen Sie diese bewährten Methoden, wenn Sie Eingaben für den Sicherheitswarnungs-Selektierungs-Agent bereitstellen:
- Stellen Sie sicher, dass Feedback relevant und kontextbezogen ist. Feedback sollte sich nur auf die aktuell überprüfte E-Mail beziehen. Sie muss auch mit der aktualisierten Klassifizierung übereinstimmen, die Sie zugewiesen haben.
- Beschreibend und spezifisch sein. Erläutern Sie die Merkmale der E-Mail deutlich. Geben Sie relevante Details wie E-Mail-Betreff, Nachrichtentext, Absender oder Empfänger an, damit der Agent den Kontext besser verstehen kann. Spezifisches Feedback mit mehreren Details erhöht die Effektivität.
- Sorgen Sie für Klarheit und Entschlossenheit. Vermeiden Sie vage oder universelle Aussagen. Geben Sie klares und umsetzbares Feedback. Verwenden Sie entscheidende und klare Identifikationsbegriffe.
- Seien Sie konsistent mit vorherigem Feedback. Stellen Sie sicher, dass das neue Feedback mit dem übereinstimmt, was zuvor bereitgestellt wurde, um Widersprüche zu vermeiden, die den Agent verwirren oder die Genauigkeit seiner Entscheidungen verringern könnten. Sie können alle zuvor übermittelten Eingaben auf der Seite Feedbackverwaltung überprüfen.
- Überprüfen Sie die Interpretation Ihres Feedbacks durch den Agenten. Wenn Sie Feedback übermitteln, überprüfen Sie immer, ob das Feedback korrekt in eine Lektion übersetzt wird. Vergewissern Sie sich, dass die Lektion Ihre Absicht widerspiegelt und die Konsistenz mit Ihrer ursprünglichen Eingabe aufrechterhält. Überprüfen der Gültigkeit von KI-generierten Antworten, um sicherzustellen, dass sie auf das Szenario anwendbar sind.
Hier finden Sie Beispiele dafür, wie Sie Ihr Feedback an den Agent schreiben können.
| Bereich | Beispiele für gut geschriebenes Feedback | Beispiele für Feedback, das zu Fehlern führen kann | Comparison |
|---|---|---|---|
| Feedback zu einem Absender | Jede E-Mail, die behauptet, von Leistungsanbietern zu sein, muss von "@benefits.company.com" stammen. | Der Absender in der zweiten Warnung im Incident ist nicht legitim. | Feedback muss sich auf die E-Mail in der aktuellen Warnung und ihren Kontext beziehen. Sie wird an die ausgewählte Klassifizierung gebunden (auch wenn sie nicht explizit im Feedback erwähnt wird) und für ähnliche zukünftige Warnungen verwendet. |
| Feedback zum Absender und E-Mail-Text | E-Mails, die Dateifreigaben oder Dokumentzugriff anbieten, sollten nur von unserem autorisierten Anbieter Contoso.com stammen. | E-Mails, die Dateifreigaben oder Dokumentzugriff anbieten, sollten nur von unseren autorisierten Anbietern stammen. | Gut geschriebenes Feedback besagt eindeutig bestimmte Anforderungen (z. B. Absenderdomäne), während vage Verweise (z. B. "autorisierte Anbieter") keine umsetzbaren Informationen enthalten. |
| Feedback zum E-Mail-Betreff | Jede E-Mail, in der der Betreff eine Anforderung für eine Abrechnungstransaktion enthält, ist in unserem organization nicht zulässig und wird als Phishing betrachtet. | Wenn das Subjekt eine positive natürliche Stimmung hat, ist es legitim. | Feedback, das beschreibend und spezifisch ist, kann effektiv überprüft werden, während subjektives Feedback zu unbeabsichtigten Ergebnissen führen kann. |
| Feedback zum E-Mail-Text | E-Mails, die die Überprüfung der Anmeldeinformationen anfordern, sollten einen Verweis auf das jeweilige Konto oder den jeweiligen Dienst enthalten. Jede generische "Konto verifizieren"-Anforderung ohne Details sollte als Phishing behandelt werden. | Diese E-Mail sollte als Phishing behandelt werden. | Feedback, das detaillierte Informationen enthält, ist wahrscheinlicher, dass es klar verstanden wird, während Feedback ohne Details auf verschiedene Arten interpretiert werden kann und zu unvorhersehbaren Ergebnissen führen kann. |
| Feedback zu einem Empfänger und E-Mail-Text | Diese E-Mail wurde an mehrere Mitarbeiter gesendet, und der Text weist die Empfänger an, eine "wichtige Anlage" herunterzuladen, ohne deren Inhalt zu beschreiben– legitime E-Mails geben immer Anlagendetails an. | Interne Massen-E-Mails mit Anlagen sind Phishing. | Feedback, das bestimmte fehlende Details hervorgibt, die häufig in legitimen E-Mails gefunden werden, ist effektiver. Feedback, das allgemeine Verallgemeinerungen (Massen-E-Mails) oder vage Begriffe (z. B. "intern") enthält, kann zu einer übermäßigen Anzahl von true positiven Ergebnissen führen. |
| Feedback zu einem Empfänger und einer Domäne | Neue Onboarding-E-Mails sollten nur an E-Mail-Adressen gesendet werden, die mit "v-" beginnen, um sicherzustellen, dass sie an die richtigen Empfänger weitergeleitet werden. | Vertragsnehmer-E-Mails sehen anders aus als üblich, sodass sie möglicherweise Phishing sind. | Gut geschriebenes Feedback definiert klar das erwartete Empfängerformat, während Feedback, das unentschlossen ("vielleicht sein") ist und keine klaren Identifikationskriterien enthält ("sieht anders aus als üblich" ohne Angabe, was anders ist) die Erkennung unzuverlässig macht. |
Beheben von Feedbackfehlern
Wenn der Agent Ihr Feedback akzeptiert, übersetzt er es in eine Lektion. Wenn es dem Agent nicht gelingt, das Feedback zu interpretieren, zeigt eine relevante Meldung an, was den Fehler verursacht hat. Sie können diese Fehler basierend auf der vom Agent zurückgegebenen Nachricht beheben.
Hier finden Sie Beispiele für Fehler, die beim Schreiben von Feedback an den Agent auftreten können, und wie Sie diese beheben können.
| Fehlermeldung | Empfohlenes Vorgehen |
|---|---|
Ein Teil des feedbacks kann nicht behandelt werden, da der Agent diese Art von Eingabe derzeit nicht unterstützt und daher überhaupt nicht in eine Lektion übersetzt werden konnte. |
Schreiben Sie Ihr Feedback um, und stellen Sie sicher, dass es den bewährten Methoden entspricht. Wählen Sie Feedback auswerten aus, um es erneut zu versuchen. |
Feedback Das Feedback enthält Eingaben, die der Agent unterstützen kann, aber es ist für die E-Mail nicht relevant und konnte daher nicht in eine umsetzbare Lektion übersetzt werden, die im Speicher gespeichert werden soll. |
Schreiben Sie Ihr Feedback um, und stellen Sie sicher, dass es die Beschreibungen der E-Mail enthält, die es unterstützen kann. Wählen Sie dann Feedback auswerten aus, um es erneut zu versuchen. |
Das gegebene Feedback widerspricht dem vorherigen Feedback, das einer ähnlichen E-Mail gegeben wurde. |
Suchen Sie auf der Feedbackverwaltungsseite nach der Feedback-ID, um das Feedback anzuzeigen, mit dem ein Konflikt auftritt. Basierend auf Ihrer Bewertung haben Sie folgende Möglichkeiten: – Lehnen Sie das vorherige Feedback auf der Feedbackverwaltungsseite ab. Wählen Sie anschließend Auswerten aus, um ihr Feedback erneut einzufügen. – Schreiben Sie Ihr feedback auf eine Weise um, die nicht in Konflikt steht, und wählen Sie dann Feedback auswerten aus, damit der Agent Ihre neue Eingabe neu auswertet. |
Hinweis
Sie können feedbackfehler nicht beheben. Sie können Ihr Feedback hinterlassen und Speichern auswählen, ohne das Kontrollkästchen zum Unterrichten des Agents zu aktivieren. Das Feedback wird nicht im Arbeitsspeicher des Agents gespeichert und nur auf der Feedbackverwaltungsseite für Ihre zukünftigen Nachverfolgungsklassifizierungsänderungen dokumentiert.
Wenn entsprechendes Feedback genehmigt und gespeichert wird, kann der Agent es anwenden, wenn ähnliche Warnungen in Zukunft selektieren, vorbehaltlich der gleichen Berechtigungen und Kontrollen.
Überwachen und Verwalten des Sicherheitswarnungs-Selektierungs-Agents
Um Agent-Metriken anzuzeigen und den Agent zu verwalten, wechseln Sie zum Karte Sicherheitswarnungs-Selektierungs-Agent in der Incidentwarteschlange oder auf der Seite Agents:
Um die Seite Sicherheitswarnungs-Selektierungs-Agent direkt zu öffnen, wählen Sie Security Copilot > Agents aus, suchen Sie unter Verwendete Agents nach sicherheitswarnungstriage-Agent, und wählen Sie Zu Agent wechseln aus.
Diese Seite besteht aus zwei Registerkarten: Übersicht und Leistung.
Die Registerkarte Übersicht enthält Details zum aktuellen status, zur Identität, zur Rolle und zur aktuellen Aktivität des Agents.
Wählen Sie eine Aktivität aus der Liste Zuletzt verwendete Aktivitäten aus, um Details zur Untersuchung des Agents und zum vollständigen Workflow des Agents anzuzeigen.
Wählen Sie Vollständigen Agent-Workflow anzeigen aus, um eine grafische Darstellung des Entscheidungsprozesses des Agents für diese bestimmte Aktivität anzuzeigen.
Auf der Registerkarte Leistung werden wichtige Metriken zur Aktivität des Agents im Zeitverlauf angezeigt, einschließlich der täglichen Aktivität, der mittleren Zeit bis zur Selektierung (Mean Time to Selage, MTTT) und des SCU-Verbrauchs.
Wählen Sie die Auslassungspunkte (...) in der oberen rechten Ecke der Seite aus, um auf die Verwaltungsoptionen für den Agent zuzugreifen, wie in den folgenden Abschnitten beschrieben.
Wählen Sie Anhalten oder Ausführen aus, um die Aktivitäten des Agents vorübergehend zu beenden oder neu zu starten.
Um den Karte Sicherheitswarnungs-Agent in der Incidentwarteschlange zu öffnen, wählen Sie Untersuchung & Reaktion > incidents & Warnungen > Incidents aus.
Der Sicherheitswarnungs-Selektierungs-Agent Karte über der Incidentwarteschlange zeigt einige der wichtigsten Metriken des Agents an, einschließlich der behandelten Incidents, bei denen es sich um Vorfälle handelt, die Warnungen enthalten, die der Agent als echte Bedrohungen oder falsche Alarme klassifiziert.
Diese Daten helfen bei der Veranschaulichung der Auswirkungen des Agents und können verwendet werden, um umfassendere strategische Gespräche zu führen, die Rendite hervorzuheben oder Entscheidungen zur Skalierung der Automatisierung in Ihren organization zu unterstützen.
Metriken werden basierend auf der Aktivität des Agents berechnet, beginnend entweder mit dem ersten aufgezeichneten Incident oder den letzten 30 Tagen ( je nachdem, was aktueller ist).
Wählen Sie agent verwalten auf dem Karte aus, um die Seite Sicherheitswarnungs-Selektierungs-Agent zu öffnen, die weitere Leistungsmetriken und Verwaltungsoptionen enthält.
Bearbeiten von Agent-Einstellungen
So bearbeiten Sie die Einstellungen des Agents:
Wählen Sie Security Copilot > Agents aus.
Suchen Sie unter Verwendete Agents nach dem Agent für Sicherheitswarnungen selektieren, und wählen Sie Zu Agent wechseln aus.
Wählen Sie die Auslassungspunkte (...) > Bearbeiten Sie den Agent in der oberen rechten Ecke der Seite Sicherheitswarnungs-Selektierungs-Agent .
Die Seite Agent bearbeiten verfügt über drei Registerkarten:
Identität und Rolle : Ändern Sie die Identität des Agents. Wählen Sie Neue Identität auswählen aus, und führen Sie die unter Zuweisen der Identität und Berechtigungen des Agents beschriebenen Schritte aus.
Feedback : Anzeigen und Verwalten von benutzerseitig übermitteltem Feedback. Weitere Informationen finden Sie unter Anzeigen und Verwalten von Feedback an den Agent.
Unterstützte Warnungen : Zeigen Sie an, welche der unterstützten Warnungstypen der Agent selektieren kann. So aktivieren oder deaktivieren Sie bestimmte Warnungstypen für den Agent:
Wählen Sie Unterstützte Warnungen bearbeiten aus, um die Seite "Vom Agent unterstützte Warnungen" zu öffnen.
Schalten Sie einzelne Warnungstypen ein oder aus, und wählen Sie Aktualisieren aus.
Wählen Sie Rollenberechtigungen aktualisieren aus, um die Updates anzuwenden.
Anzeigen und Verwalten von Feedback an den Agent
Der Sicherheitswarnungs-Selektierungs-Agent lernt aus benutzerseitig übermitteltem Feedback und verbessert seine Leistung im Laufe der Zeit. Es speichert anwendbares Feedback in seinem Gedächtnis als Lektionen. Sie können Feedback für den Sicherheitswarnungs-Selektierungs-Agent auf der Seite Agent-Feedback anzeigen und verwalten.
Diese Seite enthält eine umfassende Liste aller Feedbacks, die an den Agent übermittelt werden. Sie können die wichtigsten Details für jedes Feedback überprüfen, einschließlich:
- Die ursprüngliche Klassifizierung des Agents und die vom Benutzer angewendete Änderung
- Das ursprüngliche Feedback des Benutzers beim Ändern der Klassifizierung
- Die vom Agent generierte übersetzte Lektion (falls zutreffend)
- Feedback status: in Verwendung, nicht in Gebrauch oder Konflikt
- Der Benutzer, der das Feedback übermittelt hat
- Feedbackübermittlungsdatum, Feedback-ID, Warnungs-ID und Incident-ID
In dieser Tabelle werden die Feedbackstatus erläutert:
| Status | Beschreibung |
|---|---|
| In Verwendung | Das Feedback wurde erfolgreich in eine Lektion im Arbeitsspeicher des Agents konvertiert und wird aktiv verwendet, um ähnliche Vorfälle zu selektieren und zu klassifizieren. |
| Konflikt: | Das feedback, das in Konflikt mit zuvor bereitgestelltem Feedback zu einem ähnlichen Vorfall war. Erfahren Sie, wie Sie Feedbackfehler beheben können. |
| Nicht verwendet | Das Feedback wurde entweder nicht in das Gedächtnis des Agents integriert oder vom Benutzer nicht für den Unterricht markiert. Abgelehnte Lektionen werden als "nicht verwendet" angezeigt und nur für die Überwachung gespeichert, nicht für das Selektieren und Klassifizieren von Vorfällen. Weitere Details finden Sie im Detailbereich. |
Tipp
Feedback kann nur einzeln verwaltet werden. Die Massenverwaltung mehrerer Feedbackeinträge wird derzeit nicht unterstützt.
So zeigen Sie vom Benutzer übermitteltes Feedback an und verwalten es:
Wählen Sie Security Copilot > Agents aus, suchen Sie unter Verwendete Agents nach Sicherheitswarnungs-Selektierungs-Agent, und wählen Sie Zu Agent wechseln aus.
Wählen Sie die Auslassungspunkte (...) > Bearbeiten Sie den Agent in der oberen rechten Ecke der Seite. Dadurch wird die Seite Agent bearbeiten geöffnet.
Wählen Sie im linken Bereich Feedback aus, um die Seite Agent-Feedback zu öffnen.
Wählen Sie einen Eintrag aus der Feedbackliste aus, um den Bereich Feedback überprüfen zu öffnen.
Überprüfen Sie die Details des bereitgestellten Feedbacks, die Lektion des Agents, die Klassifizierungsänderungen und andere wichtige Details.
Um bestimmtes Feedback abzulehnen, wählen Sie Feedback ablehnen aus. Der Agent verwendet das Feedback bei zukünftigen Selektierungsentscheidungen nicht mehr.
Hinweis
Um feedback abzulehnen, benötigen Sie die Rolle Sicherheitsadministrator in Microsoft Entra ID.
Entfernen des Agents
Wenn Sie den Agent entfernen, wird die Selektierung und Klassifizierung neuer Vorfälle beendet, und das gesamte Feedback wird gelöscht. Der Verlauf der zuvor selektierten Vorfälle wird jedoch als Referenz beibehalten.
So entfernen Sie den Agent:
- Wählen Sie Security Copilot > Agents aus, suchen Sie unter Verwendete Agents nach Sicherheitswarnungs-Selektierungs-Agent, und wählen Sie Zu Agent wechseln aus.
- Wählen Sie in der oberen rechten Ecke der Seite die Auslassungspunkte (...) und dann Entfernen aus.
Häufig gestellte Fragen
Im Folgenden werden Antworten auf häufig gestellte Fragen zum Sicherheitswarnungs-Selektierungs-Agent aufgeführt. Informationen zu den Funktionen und Anforderungen des Agents finden Sie in den Abschnitten Funktionsweise des Sicherheitswarnungs-Selektierungs-Agents und voraussetzungen dieses Artikels.
Was ist der Sicherheitswarnungs-Selektierungs-Agent, wie unterscheidet er sich vom Phishing-Selektierungs-Agent, und wie kann ich das Onboarding durchführen, wenn ich den Agent bereits zum Selektieren von Phishingwarnungen verwende?
Der Sicherheitswarnungs-Selektierungs-Agent ist ein autonomer Microsoft Security Copilot-Agent in Microsoft Defender, mit dem Sicherheitsteams Warnungen im großen Stil selektieren können. Es wertet Warnungen mithilfe von KI-gesteuertem Denken aus, gelangt zu einem Urteil und zeichnet die Schlussfolgerungen direkt in Microsoft Defender Incidents auf, um Analysten bei der Priorisierung der Handlungsbedarfe zu unterstützen.
Der Agent für die Sicherheitswarnungstriage ist derselbe Agent wie der Phishing-Selektierungs-Agent, der erweitert wurde, um zusätzliche Warnungstypen zu selektieren, die über E-Mail und Zusammenarbeit hinausgehen. Der Sicherheitswarnungs-Triage-Agent ist modular aufgebaut. Sie wählen aus, welche Warnungstypen der Agent selektieren soll. Der Agent erstreckt sich jetzt auf Identitäts- und Cloudwarnungen, beginnend mit Containern, die sich derzeit in der Vorschau befinden. Email- und Zusammenarbeitswarnungs-Selektierungsfunktionen sind bereits allgemein verfügbar (GA). Es wird erwartet, dass der Satz unterstützter Warnungen im Laufe der Zeit zunehmen wird.
Wenn Sie bereits den Phishing-Triage-Agent verwenden, müssen Sie keinen neuen Agent installieren. Ihr vorhandener Agent wird weiterhin ausgeführt, und Sie können die zusätzlichen Warnungstypen über die Konfiguration aktivieren. Um das Onboarding für die erweiterten Funktionen durchzuführen, überprüfen Sie die Voraussetzungen für die zusätzlichen Warnungstypen, und bearbeiten Sie die Agent-Einstellungen, um die Warnungstypen auszuwählen, die Sie aktivieren möchten.
Ihre vorhandene Phishing-Selektierungskonfiguration und Ihr Feedback werden automatisch übernommen. Weitere Informationen finden Sie unter Funktionsweise des Sicherheitswarnungs-Selektierungs-Agents und Einrichten des Sicherheitswarnungs-Selektierungs-Agents.
Wann wird der Agent ausgelöst?
Dieser Agent wird automatisch ausgeführt, wenn eine neue Warnung erkannt wird. Integrierte Optimierungsregeln, die unterstützte Warnungstypen auflösen, werden während des Setups deaktiviert.
Kann der Sicherheitswarnungs-Selektierungs-Agent vertrauenswürdig sein?
Microsoft AI Agents befolgen strenge Richtlinien für verantwortungsvolle KI und werden gründlichen Überprüfungen unterzogen, um die Einhaltung aller KI-Standards und Sicherheitsvorkehrungen sicherzustellen. Der Sicherheitswarnungs-Selektierungs-Agent ist vollständig in diese Kontrollen integriert. Während des Setups weisen Sie dem Agent eine Identität zu und konfigurieren ihn mit den minimalen Berechtigungen, die für seinen Betrieb erforderlich sind, um sicherzustellen, dass er nicht über unnötige Berechtigungen verfügt. Alle Agent-Aktivitäten werden detailliert protokolliert, wobei der gesamte Flow jederzeit von Analysten und Administratoren überprüft werden kann. Feedback, das an den Agent bereitgestellt wird, um ihn bei der Anpassung an die Umgebung des organization zu unterstützen, wird protokolliert, im System widerspiegelt und kann von Administratoren nach Bedarf überprüft und geändert werden.
Wie unterscheidet sich der Agent von einer STANDARD-SOAR-Lösung?
Sowohl SOAR-Lösungen als auch der Security Alert Triage-Agent automatisieren zwar Aspekte von Sicherheitsvorgängen, verwenden jedoch unterschiedliche Ansätze.
SOAR-Lösungen basieren in der Regel auf vordefinierten, regelbasierten Workflows, die eine manuelle Konfiguration und laufende Wartung erfordern. Im Gegensatz dazu verwendet der Security Alert Triage-Agent eine auf Gründen basierende Analyse, um Warnungen zu selektieren und Klassifizierungen innerhalb Microsoft Defender aufzuzeichnen, mit menschlicher Aufsicht und optionalem Feedback, sofern unterstützt.
Der Agent arbeitet innerhalb definierter Berechtigungen und Workflows in Microsoft Defender und ersetzt keine vorhandenen Untersuchungs- oder Antworttools.
Welche Sichtbarkeit und Kontrolle habe ich über den Agent?
Microsoft stellt Tools bereit, mit denen Organisationen den Einblick und die Kontrolle über den Sicherheitswarnungs-Triage-Agent von der Bereitstellung bis hin zum laufenden Betrieb behalten können. Die Agenten halten sich an die RAI-Standards (Responsible AI) von Microsoft für Fairness, Zuverlässigkeit, Sicherheit, Datenschutz, Sicherheit, Inklusion, Transparenz und Verantwortlichkeit. Administratoren konfigurieren die Identitäts- und Zugriffsebenen des Agents während der Installation nach den Prinzipien der geringsten Rechte. Sicherheits- und IT-Teams können bestimmte Aktionen autorisieren, die Leistung überwachen und Ausgaben direkt in Microsoft Defender überprüfen. Kapazitätsnutzungs- und Datenzugriffslimits können auch von Administratoren konfiguriert werden.
Der Sicherheitswarnungs-Selektierungs-Agent arbeitet in einer Zero-Trust-Umgebung. Das System erzwingt Organisationsrichtlinien für jede Agentaktion, indem die Absicht und der Umfang der einzelnen Vorgänge ausgewertet werden. Alle Entscheidungen, Argumentationen und Aktionen des Agents werden transparent als Entscheidungsstruktur in Defender dokumentiert und in Microsoft Purview-Überwachungsprotokollen zur Rückverfolgbarkeit und Compliance aufgezeichnet.
Ich möchte den Sicherheitswarnungs-Selektierungs-Agent ausprobieren – wie kann ich ihn in Microsoft Defender einrichten?
Zum Einrichten des Agents müssen Sie Zugriff auf Security Copilot in Microsoft Defender haben und die erforderlichen Voraussetzungen erfüllen. Wenn Sie noch kein Onboarding bei Security Copilot vorgenommen haben, lesen Sie Erste Schritte mit Security Copilot oder wenden Sie sich an Ihren Microsoft-Vertreter. Nach dem Onboarding in Security Copilot kann es einige Zeit dauern, bis die Agent-Setupoption im Microsoft Defender-Portal verfügbar ist.
Ich habe den Sicherheitswarnungs-Selektierungs-Agent ausprobiert. Wie kann ich die SCU-Kapazität schätzen, die für den Agent in meinem organization benötigt wird?
Es ist wichtig, sicherzustellen, dass Ihr organization über ausreichende SCUs für einen fehlerfreien Agent-Betrieb verfügt. Informationen zum Bewerten der SCU-Nutzung und des zukünftigen Planens der Kapazität finden Sie unter Dashboard Nutzungsüberwachung im Security Copilot-Portal, und überprüfen Sie, ob Sie im Rahmen des Microsoft Security Copilot-Einschlussmodells berechtigt sind. Die Dashboard zeigt Folgendes an:
- Kosten pro verarbeiteter E-Mail
- Kapazitätsverbrauch im Zeitverlauf
Sie können die Dashboard Daten auch nach Excel exportieren, um eine detailliertere Analyse durchzuführen und nur nach Agent-Vorgängen zu filtern.
Nachdem Sie Ihre SCU-Nutzungsanforderungen bewertet haben, aktualisieren Sie die SCU-Kapazität für Ihre organization. Weitere Informationen zum Verwalten von SCUs finden Sie unter Verwalten der Nutzung von Sicherheitscomputeeinheiten in Security Copilot.