Bereitstellen von KI-Agents in Microsoft Defender

  • Gilt für:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Der Sicherheitsspeicher im Microsoft Defender-Portal bietet verschiedene Agents, mit denen Sie Ihre Sicherheitsaufgaben effizient ausführen können. Zu diesen Agents gehören Microsoft Security Copilot Agents, die von Microsoft und Partnern veröffentlicht wurden. Diese Agents lassen sich in Microsoft Defender integrieren und führen verschiedene SOC-Aufgaben (Security Operations) aus, z. B. Incident-Selektierung, Untersuchung, Bedrohungssuche und Threat Intelligence.

In diesem Artikel wird erläutert, wie Ki-Agents in Microsoft Defender ermittelt und bereitgestellt werden.

Hinweis

Weitere Informationen zum Veröffentlichen von Agents im Sicherheitsspeicher finden Sie unter Veröffentlichen von Agents im Microsoft Security Store.

Voraussetzungen

Um Agents im Security Store zu erwerben, bereitzustellen und zu verwenden, benötigen Sie Folgendes:

Ermitteln und Bereitstellen von Agents im Microsoft Defender-Portal

So ermitteln und stellen Sie Agents im Microsoft Defender-Portal bereit:

  1. Wählen Sie Security Copilot > Sicherheitsspeicher aus.

  2. Suchen Sie nach dem Agent, den Sie bereitstellen möchten, oder suchen Sie nach dem Agent, den Sie bereitstellen möchten.

  3. Wählen Sie den Agent aus, um seine Details anzuzeigen, einschließlich seiner Funktionen, Anforderungen und Setupanweisungen.

  4. So erwerben Sie den Agent und stellen diesen bereit:

    • Wählen Sie Agent abrufen aus, um den Bereitstellungsprozess zu starten, wenn Sie über ausreichende Berechtigungen verfügen. Weitere Informationen finden Sie unter Voraussetzungen.

    • Wählen Sie Link kopieren aus, um die URL der Agent-Detailseite zu kopieren und für einen Sicherheitsadministrator zu freigeben, wenn Sie nicht über berechtigungen zum Bereitstellen von Agents verfügen.

      Screenshot der Seite

    • Schließen Sie für vom Partner veröffentlichte Agents den Kauf ab, und stellen Sie sie auf der Security Store-Website bereit, wie in der Microsoft Security Store-Dokumentation beschrieben.

      Sie können zentralisierte Käufe für vom Partner veröffentlichte Agents über öffentliche Angebote oder private Angebote verwalten, wie unter Erwerben von SaaS-Lösungen (private Angebote) beschrieben.

  5. Wählen Sie nach dem Kauf des Agents Security Copilot > Agents aus, suchen Sie ihren Agent im Abschnitt Bereit für setup, und wählen Sie dann Einrichten aus, um mit dem Einrichten des Agents zu beginnen.

    Weitere Informationen zum Einrichten, Verwalten und Ausführen von vom Partner veröffentlichten Agents finden Sie unter Verwalten Security Copilot Agents.

    Weitere Informationen zu Microsoft Security Copilot Agents finden Sie unter Microsoft Security Copilot Agents in Microsoft Defender.

    Nach dem Setup wird der Agent im Abschnitt Verwendete Agents angezeigt.

Microsoft Security Copilot Agents in Microsoft Defender

In diesem Abschnitt werden die Microsoft Security Copilot Agents beschrieben, die im Microsoft Defender-Portal verfügbar sind.

Sicherheitswarnungs-Selektierungs-Agent (Vorschau)

Hinweis

Der Security Alert Triage Agent ist derselbe Agent wie der Phishing-Selektierungs-Agent mit erweiterten Funktionen zum Selektieren einer breiteren Gruppe von Warnungstypen. Der Sicherheitswarnungs-Selektierungs-Agent ist nur für Kunden verfügbar, die Teil der Vorschau sind. Wenn Sie nicht Teil der Vorschau sind, ist der Phishing-Triage-Agent weiterhin im Sicherheitsspeicher verfügbar.

Der Sicherheitswarnungs-Selektierungs-Agent ist ein autonomer Agent, mit dem Sicherheitsteams Warnungen in großem Umfang über mehrere Workloads hinweg selektieren können. Der Agent wendet KI-gesteuertes, dynamisches Denken an, um klare Urteile für unterstützte Sicherheitsworkloads zu liefern. Dies ist derselbe Agent wie der Phishing-Triage-Agent, der messbare Verbesserungen bei der Genauigkeit und Effizienz der Selektierung gezeigt hat. Der Agent kann jetzt eine breitere Gruppe von Warnungen in Microsoft Defender selektieren, einschließlich E-Mail- und Zusammenarbeitswarnungen (allgemein verfügbar) sowie Cloud- und Identitätswarnungen (Vorschau). Der Agent arbeitet autonom, liefert eine transparente Begründung für seine Klassifizierungsurteile in natürlicher Sprache und lernt kontinuierlich seine Genauigkeit basierend auf dem Feedback von Analysten.

Attribut Beschreibung
Identität Erstellen einer neuen Agent-Identität oder Herstellen einer Verbindung mit einem vorhandenen Benutzerkonto
Lizenz Hängt von den Warnungstypen ab:
Berechtigungen Der Agent benötigt diese Berechtigungen, je nachdem, welche Warnungstypen Sie selektieren möchten:
  • Alle Warnungstypen: Security Copilot (lesen), Grundlagen zu Sicherheitsdaten (lesen), Warnungen (verwalten)
  • Email- und Zusammenarbeitswarnungen: Email & Metadaten für die Zusammenarbeit (lesen), Email & Inhalte für die Zusammenarbeit (lesen)
  • Cloud- und Identitätswarnungen: Über die Basisberechtigungen hinaus sind keine zusätzlichen Berechtigungen erforderlich.
Plug-Ins Der Agent aktiviert diese Security Copilot-Plug-Ins automatisch:
Produkte
  • Security Copilot
  • Microsoft Defender für Office 365 Plan 2 (für E-Mail- und Zusammenarbeitswarnungen)
  • Microsoft Defender für Cloud (für Cloudwarnungen)
  • Microsoft Defender for Identity und Microsoft Defender for Cloud Apps (für Identitätswarnungen)
Rollenbasierter Zugriff Sicherheitsadministrator Microsoft Entra Rolle zum Einrichten und Verwalten des Agents erforderlich ist

Benutzer mit den gleichen Berechtigungen wie der Sicherheitswarnungs-Selektierungs-Agent können die Aktivitäten und Ergebnisse des Agents anzeigen und Feedback zum Klassifizierungsurteil des Agents geben.
Auslöser Wird automatisch ausgeführt, wenn eine neue Warnung für die konfigurierten Warnungstypen erkannt wird, einschließlich benutzerseitig gemeldeter E-Mails (für E-Mail- und Zusammenarbeitswarnungen), Cloudsicherheitswarnungen (für Cloudwarnungen) und Identitätswarnungen.

Threat Intelligence-Briefing-Agent

Der Threat Intelligence Briefing Agent bietet Sicherheitsteams regelmäßige, angepasste Threat Intelligence-Briefings. Der Agent sammelt und synthetisiert relevante Threat Intelligence-Daten aus verschiedenen Quellen und liefert präzise und umsetzbare Erkenntnisse, damit Analysten über neue Bedrohungen und Trends auf dem Laufenden bleiben.

Attribut Beschreibung
Identität Erstellen einer neuen Agent-Identität oder Herstellen einer Verbindung mit einem vorhandenen Benutzerkonto
Lizenz Nicht zutreffend
Berechtigungen Erforderliche Berechtigungen:
  • Microsoft Defender für Endpunkt
  • Sicherheitsleseberechtigter
Optionale Berechtigungen:
  • Expositionsmanagement (lesen)
Produkte Security Copilot
Plug-Ins Zum Ausführen dieses Agents sind die folgenden Plug-Ins erforderlich:
  • Microsoft Threat Intelligence
  • Microsoft Threat Intelligence-Agents
Das folgende Plug-In ist optional, kann der Ausgabe jedoch weiteren Kontext hinzufügen:
  • Microsoft Defender External Attack Surface Management
Rollenbasierter Zugriff Die Rolle "Sicherheitsadministrator " ist erforderlich, um den Agent einzurichten und zu verwalten.

Benutzer mit den gleichen Berechtigungen wie der Threat Intelligence Briefing-Agent können die Aktivitäten und Ergebnisse des Agents anzeigen.
Auslöser Wird im festgelegten Zeitintervall ausgeführt, das Sie während des Setups konfiguriert haben, oder manuell, wenn Sie es ausführen möchten.

Konfigurieren von Defender für Endpunkt-Berechtigungen für die Agent-Identität

Wenn Sie den Threat Intelligence Briefing-Agent mit einer Agent-Identität ausführen, müssen Sie auch die folgenden Defender für Endpunkt-Rollenberechtigungen und den Zugriff auf die Gerätegruppe konfigurieren. Ohne diese Berechtigungen wird der Expositionsbericht möglicherweise als "nicht verfügbar" angezeigt oder gibt keine CVEs zurück, selbst wenn Sicherheitsrisiken in Ihrer Umgebung vorhanden sind.

Schritt 1: Aktualisieren der Berechtigungen für die Agent-Rolle

  1. Melden Sie sich beim Microsoft Defender-Portal an.
  2. Navigieren Sie zu Einstellungen>Endpunkte>Berechtigungen>Rollen.
  3. Suchen Sie die benutzerdefinierte Rolle, die dem Threat Intelligence-Briefing-Agent zugewiesen ist.
  4. Bearbeiten Sie die Rolle, und vergewissern Sie sich, dass die folgenden Berechtigungen aktiviert sind:
    • Erweiterte Suche – Lesen
    • Verwaltung von Sicherheitsrisiken – Lesen
    • Computerkonfiguration – Lesen
    • Gerätebestand – Lesen
  5. Speichern Sie alle Änderungen, wenn Updates vorgenommen werden.

Schritt 2: Gewähren des Zugriffs auf den Agent für die Gerätegruppe

  1. Wechseln Sie im Microsoft Defender-Portal zu Einstellungen>Endpunkte>Gerätegruppen.
  2. Für jede Gerätegruppe, die Produktionsendpunkte enthält:
    1. Öffnen Sie die Gerätegruppe.
    2. Wählen Sie den Abschnitt Benutzerzugriff aus.
    3. Fügen Sie die Identität des Threat Intelligence Briefing-Agents hinzu.
    4. Zuweisen des Lesezugriffs .
  3. Speichern Sie die Änderungen.

Wichtig

Lassen Sie zeit, bis Berechtigungsupdates über Microsoft Defender Dienste hinweg synchronisiert werden, bevor Sie den Agent ausführen.

Bedrohungssuche-Agent

Der Threat Hunting-Agent revolutioniert die Bedrohungssuche, indem er Es Ihnen ermöglicht, Bedrohungen in natürlicher Sprache von Anfang bis Ende zu untersuchen. Sie generiert nicht nur KQL-Abfragen, sondern interpretiert auch Ergebnisse, liefert Erkenntnisse und führt Sie durch vollständige Huntingsitzungen. Diese Funktionen ermöglichen es Ihnen, Bedrohungen schneller, genauer und mit größerer Sicherheit zu suchen.

Screenshot des Copilot-Bereichs in der erweiterten Suche mit hervorgehobener Antwort

Sicherheitsanalyst-Agent

Der Security Analyst Agent unterstützt Sicherheitsanalysten dabei, Risiken schnell zu identifizieren, zu bewerten und zu priorisieren, indem er sofort einsatzbereite oder benutzerdefinierte Analysen für Sicherheitsdaten durchführt. Der Agent bietet umsetzbare und priorisierte Erkenntnisse, Empfehlungen und Berichte, um die wichtigsten Sicherheitsrisiken und Risiken aufzudecken. Es unterstützt Daten aus Microsoft Defender XDR, Sentinel Log Analytics oder Sentinel Data Lake und kann komplexe Analyseaufgaben wie Anomalieerkennung, Clustering, Risikobewertung und Vorhersage ausführen, ohne Code oder Abfragen zu erfordern.

Attribut Beschreibung
Identität An Ihre Benutzeridentität gebunden; Jeder Benutzer konfiguriert den Agent unabhängig voneinander.
Lizenz Nicht zutreffend
Berechtigungen Lesezugriff auf Microsoft Defender XDR, Microsoft Sentinel Log Analytics-Arbeitsbereich oder Microsoft Sentinel Data Lake, je nach ausgewählter Datenquelle
Produkte
  • Security Copilot
  • Microsoft Defender XDR (optionale Datenquelle)
  • Microsoft Sentinel (optionale Datenquelle)
Rollenbasierter Zugriff Benutzer mit Lesezugriff auf die ausgewählten Datenquellen können den Agent konfigurieren und verwenden.
Auslöser Wird bei Bedarf ausgeführt, wenn Sie eine Eingabeaufforderung für eine Sicherheitsanalyse im Agent-Chat eingeben oder aus den Ergebnissen der erweiterten Huntingabfrage analysieren mit Copiloten auswählen.

Agent für die dynamische Bedrohungserkennung

Der Agent für die dynamische Bedrohungserkennung im Defender-Portal ist ein immer aktivierter, adaptiver Back-End-Dienst, der versteckte Bedrohungen in Defender- und Microsoft Sentinel-Umgebungen aufdeckt. Ki wird verwendet, um Lücken zu identifizieren und falsch negative Ergebnisse aufzudecken, indem Warnungen, Ereignisse, Anomalien und Threat Intelligence korreliert werden. Wenn der Agent eine Lücke identifiziert, generiert er eine dynamische Warnung mit dem vollständigen Kontext in den Warnungsdetails, einschließlich Erklärungen in natürlicher Sprache, zugeordneten MITRE ATT&CK-Techniken und maßgeschneiderten Korrekturschritten.

  • Last updated on