Beschreiben Sie die Security Copilot Agents in Microsoft Purview
Microsoft Security Copilot Agents in Microsoft Purview sind KI-gestützte Assistenten, die Sicherheits- und Complianceteams bei der Verwaltung von Datensicherheitsaufgaben unterstützen. Diese Agents arbeiten in die Microsoft Purview eingebettete Umgebung, erledigen die Bearbeitung von Warnungen für die Verhinderung von Datenverlust (Data Loss Prevention, DLP) und das Insider-Risikomanagement sowie die Entdeckung sensibler Daten im gesamten Microsoft 365-Ökosystem.
Hinweis
Die Liste der Security Copilot Agents in Microsoft Purview wächst kontinuierlich. Diese Einheit wurde entwickelt, um einen allgemeinen Überblick über einige der Security Copilot Agents in Microsoft Purview zu bieten. Weitere Informationen finden Sie in schulungen, die sich auf Microsoft Purview beziehen.
Microsoft Security Copilot-Agenten in Microsoft Purview
Die folgenden Microsoft Security Copilot Agents sind in Microsoft Purview verfügbar. Aufgrund des schnellen Tempos, in dem diese Agents veröffentlicht und aktualisiert werden, verfügt jeder Agent möglicherweise über Features in verschiedenen Phasen der Verfügbarkeit.
Selektierungs-Agent im Insider-Risikomanagement
Der Triage-Agent im Insider-Risikomanagement hilft Sicherheitsteams, indem Warnungen basierend auf Benutzerrisiko und Aktivitätsrisiko ausgewertet werden. Der Agent sortiert dann die triageierten Warnungen in Kategorien, die in der Insider-Risikomanagementlösung auf der Registerkarte "Warnungen " angezeigt werden. Um die Kategorie für jede Warnung zu ermitteln, wertet der Agent die folgenden Risikofaktoren aus:
- Aktivitätsrisiko: Identifiziert Aktivitäten mit dem höchsten Risiko von Exfiltration und meldet historische Warnungserkenntnisse.
- Benutzerrisiko: Attribute des Benutzers, die sich auf die Priorisierung auswirken können, z. B. die Konfiguration der Benutzergruppe mit Priorität oder die Anzahl der derzeit aktiven Fälle.
| Merkmal | Description |
|---|---|
| Identität | Wird als Administrator ausgeführt, der den Agent aktiviert hat. Die Agent-Authentifizierung läuft nach 90 Tagen ab und muss erneuert werden. |
| Lizenz | Sowohl das Standardlizenzmodell pro Benutzer als auch das nutzungsabhängige Abrechnungsmodell. Microsoft Purview Insider-Risikomanagement mit Microsoft 365 E3/E5/A5/F5/G5. |
| Erlaubnisse | Zugriffsrichtlinienkonfigurationen und -einstellungen im Insider-Risikomanagement; Aktivitäten und Ereignisse in Microsoft Purview lesen; Lesen von Dateiinhalten und Metadaten, die an Insider-Risikomanagementwarnungen beteiligt sind; Speichern Sie Benutzerfeedback, und wenden Sie Feedback an, wenn Sie Insider-Risikomanagement-Warnungen auswerten. |
| Plug-Ins | Microsoft Purview. |
| Produkte | Security Copilot und Insider Risk Management. |
| Rollenbasierter Zugriff | Aktivität anzeigen: Insider-Risikomanagement-Analysten, Insider-Risikomanagement-Ermittler oder Rollengruppe „Insider-Risikomanagement“. Verwalten: Alle Rollen, die zum Anzeigen von Aktivitäten erforderlich sind, sowie die Rolle "Purview Content Analyst" in der Rollengruppe "Purview Agent Management". |
| Auslösen | Wird gemäß einem ausgewählten Zeitplan oder bei jedem Alarm ausgeführt. |
Alert Triage Agent in der Verhinderung von Datenverlusten (Vorschau)
Der Meldungs-Triage-Agent in der Datenverlust-Prävention unterstützt Sicherheitsteams, indem er Warnungen basierend auf Vertraulichkeitsrisiko, Exfiltrationsrisiko und Richtlinienrisiko bewertet. Der Agent sortiert dann die triageierten Warnungen in Kategorien, die in der DLP-Lösung auf der Seite " Warnungen" angezeigt werden. Für Geräte müssen Sie die Nachweissammlung für Dateiaktivitäten auf Geräten einrichten und die Beweissammlung in der DLP-Richtlinienregelkonfiguration aktivieren. Um die Kategorie für jede Warnung zu ermitteln, wertet der Agent die folgenden Risikofaktoren aus:
- Sensitivitätsrisiko: Der primäre Risikofaktor, der vertrauliche Inhalte basierend auf Microsoft bereitgestellten Typen vertraulicher Informationen (SITs), trainierbaren Klassifizierern und Standard-Vertraulichkeitsbezeichnungen abdeckt.
- Exfiltrationsrisiko: Exfiltration vertraulicher Daten, die extern freigegeben wurden.
- Richtlinienrisiko: Richtlinienmodus und Regeln mit Aktionen, die sich auf die Priorisierung von Warnungen auswirken.
| Merkmal | Description |
|---|---|
| Identität | Wird als Administrator ausgeführt, der den Agent aktiviert hat. Die Agent-Authentifizierung läuft nach 90 Tagen ab und muss erneuert werden. |
| Lizenz | Sowohl das Standardlizenzmodell pro Benutzer als auch das nutzungsabhängige Abrechnungsmodell. Microsoft Purview Data Loss Prevention mit Microsoft 365 E3/E5/A5/F5/G5. |
| Erlaubnisse | Zugriffsrichtlinienkonfigurationen und -einstellungen in DLP; Aktivitäten und Ereignisse in Microsoft Purview lesen; Lesen von Dateiinhalten und Metadaten, die an DLP-Warnungen beteiligt sind; Speichern Sie Benutzerfeedback, und wenden Sie Feedback beim Auswerten von DLP-Warnungen an. |
| Plug-Ins | Microsoft Purview. |
| Produkte | Security Copilot und Datenverlustverhinderung. |
| Rollenbasierter Zugriff | Aktivität anzeigen: Insider-Risikomanagement-Analysten, Insider-Risikomanagement-Ermittler oder Rollengruppe „Insider-Risikomanagement“. Verwalten: Alle Rollen, die zum Anzeigen von Aktivitäten erforderlich sind, sowie die Rolle "Purview Content Analyst" in der Rollengruppe "Purview Agent Management". |
| Auslösen | Wird gemäß einem ausgewählten Zeitplan oder bei jedem Alarm ausgeführt. |
Wie die Triage-Agenten Warnungen kategorisieren
Sowohl die DLP- als auch die Insider-Risikomanagement-Triage-Agents sortieren triageierte Warnungen in vier Kategorien:
- Erfordert Aufmerksamkeit: Benachrichtigungen, die der Agent als das größte Risiko für Ihre Organisation bewertet hat.
- Weniger dringend: Warnmeldungen, die der Agent als geringeres Risiko eingestuft hat.
- Nicht kategorisiert: Warnungen, die der Agent nicht erfolgreich triagen konnte, was aufgrund von Serverfehlern, nicht unterstützten Warnungstypen oder Verarbeitungsproblemen auftreten kann.
- Alle Warnungen, die der Agent triagediert hat.
Die Triage-Agents können automatisch nach einem festgelegten Zeitplan oder manuell auf jeweils eine Warnung ausgeführt werden. Wenn es bereitgestellt wird, konfigurieren Sie den Zeitrahmen für Warnungen, um zu entscheiden, welche Warnungen der Agent priorisieren soll — von nur neuen Warnungen bis hin zu Warnungen, die in den letzten 30 Tagen generiert wurden.
Datensicherheitsstatus-Agent (Vorschau)
Der Datensicherheitsstatus-Agent verwendet Natürliche Sprachaufforderungen, um vertrauliche Daten in Ihrer Organisation zu ermitteln. Anstatt sich auf Schlüsselwort- oder filterbasierte Suchtools zu verlassen, verwendet der Agent große Sprachmodelle (LLMs), um Benutzerabsichten zu verstehen und Inhalte in Ihrem Microsoft 365 Ökosystem zu durchsuchen – einschließlich Dokumente in SharePoint und OneDrive, Nachrichten in Teams, E-Mails in Exchange und Copilot Interaktionen.
Der Agent ist für Vorabprüfungen und nicht für formale Fälle konzipiert. Wenn eine Aufforderung verarbeitet wird, gibt der Agent eine Anzahl übereinstimmener Elemente zusammen mit allen angewendeten Vertraulichkeitsbezeichnungen und einer Risikobewertung basierend darauf zurück, wie genau der Inhalt mit der Eingabeaufforderung übereinstimmt. Die Option "Insights anzeigen" bietet einen Bericht, der eine Zusammenfassung, Risikobewertung, Ergebnisse, bezeichnete oder nicht bezeichnete Elemente und die wichtigsten nicht bezeichneten Elemente enthält.
Bei Datensicherheitsuntersuchungen erweitert der Posture Agent diese Fähigkeiten, um proaktiv offengelegte Anmeldeinformationen in großem Umfang innerhalb Ihrer Umgebung zu ermitteln. Der Agent automatisiert die Überprüfung von Anmeldeinformationen an Microsoft 365-Datenspeicherorten, erstellt KI-generierte Risikobewertungen und verfolgt Aufgaben auf einem Taskboard im Kanban-Stil nach, um eine optimierte Überprüfung und Behebung zu ermöglichen.
Zu den wichtigsten Funktionen gehören:
- Suche in natürlicher Sprache: Suchen Sie vertrauliche Daten mithilfe von absichtsbasierten Eingabeaufforderungen anstelle von Schlüsselwörtern, vertraulichen Informationstypen oder Klassifizierern.
- Risikobewertungen: Jedes übereinstimmende Element enthält eine Risikostufe basierend auf der Inhaltsrelevanz für die Eingabeaufforderung.
- Exportierbare Einblicksberichte: Laden Sie Berichte als Word-Dokumente zur weiteren Analyse und Freigabe herunter.
- Überprüfung von Anmeldeinformationen: Bei Untersuchungen zur Datensicherheit automatisiert die Ermittlung von offengelegten Anmeldeinformationen innerhalb des gesamten Mandantenbereichs.
| Merkmal | Description |
|---|---|
| Identität | Unterstützt die Agentidentität (empfohlen) oder das Organisationsbenutzerkonto des Administrators, der den Agent bereitstellt. |
| Lizenz | Sowohl das Standardlizenzmodell pro Benutzer als auch das nutzungsabhängige Abrechnungsmodell. Microsoft 365 E5 mit Security Compute Units (SCUs) bereitgestellt. |
| Erlaubnisse | Erfordert Rollen aus mehreren Gruppen: Purview Content Analyst; Complianceadministrator, Sicherheitsleseberechtigter oder KI-Viewer für Datensicherheit; Datenklassifizierungsinhaltsanzeige und Listenanzeige; Security Copilot Mitwirkender oder Besitzer. |
| Plug-Ins | Microsoft Purview. |
| Produkte | Security Copilot- und Datensicherheitsstatusverwaltung. |
| Rollenbasierter Zugriff | Berechtigungen zum Bereitstellen, Ausführen und Anzeigen von Ergebnissen erfordern eine Rolle aus jeder von vier Berechtigungsgruppen. |
| Auslösen | Wird bei Bedarf ausgeführt, wenn ein Benutzer eine Eingabeaufforderung in natürlicher Sprache sendet. |