Microsoft Security Copilot Agente de evaluación de prioridad de alertas de seguridad en Microsoft Defender (versión preliminar)

  • Se aplica a: Microsoft Defender XDR

Los Centros de operaciones de seguridad (SOC) procesan grandes volúmenes de alertas en varias cargas de trabajo, cada una de las cuales requiere contexto, señales y profundidad de investigación diferentes. Las diferencias en la forma en que se evalúan estas alertas pueden dar lugar a decisiones de clasificación incoherentes y ralentizar la capacidad de distinguir amenazas reales de falsas alarmas. Como resultado, la actividad de alto riesgo se puede perder o retrasar, mientras que los analistas dedican tiempo desproporcionado a filtrar ruido en lugar de actuar en lo que más importa.

El agente de evaluación de prioridades de alertas de seguridad de Microsoft Security Copilot es un agente autónomo insertado en Microsoft Defender que ayuda a los equipos de seguridad a evaluar las alertas a escala. Aplica un razonamiento dinámico basado en inteligencia artificial en todas las pruebas para ofrecer veredictos claros para las cargas de trabajo de seguridad admitidas. Al identificar qué alertas representan ataques reales y cuáles son falsos positivos, el agente permite a los analistas centrarse en investigar amenazas reales, con un razonamiento transparente y paso a paso para respaldar cada decisión.

En este artículo se proporciona información general sobre el agente de evaluación de alertas de seguridad, su funcionamiento y sus funcionalidades de evaluación de prioridades de alertas. Vea este vídeo para ver una demostración rápida:

Nota:

El agente de evaluación de prioridades de alertas de seguridad es el mismo agente que el agente de evaluación de prioridades de suplantación de identidad (Phishing Triage Agent), que ha demostrado mejoras medibles en la precisión y eficacia de la evaluación controlada. El agente se amplía para evaluar un conjunto más amplio de alertas en Microsoft Defender, empezando por un subconjunto de alertas de identidad y en la nube. Estas funcionalidades ampliadas están actualmente en versión preliminar. Se espera que el conjunto de alertas admitidas aumente con el tiempo.

Funcionamiento del agente de evaluación de prioridades de alertas de seguridad

Security Alert Triage Agent es un agente de Security Copilot en Microsoft Defender que clasifica y clasifica las alertas entre las cargas de trabajo y los tipos de alerta admitidos. Las funcionalidades clave del agente incluyen:

  • Evaluación de prioridades autónoma: Usa herramientas avanzadas de inteligencia artificial para evaluar alertas y determinar si representan actividades malintencionadas o falsas alarmas sin necesidad de una entrada humana paso a paso.
  • Justificación transparente: Registra los veredictos de clasificación y proporciona razonamientos de apoyo en lenguaje natural y gráficos visuales, incluidas las pruebas utilizadas para llegar a cada conclusión.
  • Aprendizaje basado en comentarios: En el caso de los tipos de alerta admitidos, el agente puede incorporar comentarios de analista cuando se proporcionan y aprueban explícitamente para ajustar su análisis de veredicto. Esta funcionalidad solo está disponible actualmente para las alertas de correo electrónico y colaboración.

Alertas admitidas

El agente de evaluación de prioridades de alertas de seguridad admite actualmente el siguiente subconjunto de tipos de alertas en Microsoft Defender. Se espera que el conjunto de alertas admitidas aumente con el tiempo.

Tipo de alerta Nombre de alerta
Email y alertas de colaboración, incluida la suplantación de identidad (disponible con carácter general) Correo electrónico notificado por el usuario como malware o cebo
Alertas en la nube, incluidos los contenedores (versión preliminar)
Visualización de todas las alertas en la nube
  • Se han detectado posibles utilidades de puerta trasera o archivos binarios de proxy (versión preliminar)
  • Posibles instalaciones de puerta trasera de procesos en ejecución (versión preliminar)
  • Posible ejecutable detectado en una línea de comandos, codificado en Base64 (versión preliminar)
  • Posible ejecución de scripts de shell codificados en base64 (versión preliminar)
  • Acceso inusual al archivo de perfil de Bash
  • El servidor SSH se ejecuta dentro de un contenedor (versión preliminar)
  • Se detectaron operaciones sospechosas de Cron en la línea de comandos
  • Proceso asociado a la minería de moneda digital detectada
  • Se ha detectado una posible descarga de Cryptocoinminer
  • Se han detectado eliminaciones del proceso cripto-minero de Kubernetes (versión preliminar)
  • Posible acceso a un grupo de minería de criptomonedas detectado (versión preliminar)
  • Se detectó un comportamiento relacionado con la minería de moneda digital
  • Posible explotación del servicio web mediante el recorrido de ruta de acceso (versión preliminar)
  • Se detectó la posible deshabilitación de herramientas de seguridad (versión preliminar)
  • Bloqueo del desfase binario que se ejecuta en el contenedor (versión preliminar)
  • Se ha detectado un binario de desfase que se está ejecutando en el contenedor.
  • Se detectaron cambios sospechosos en los atributos de archivo mediante chattr (versión preliminar)
  • Operación de compilación de Docker detectada en un nodo de Kubernetes (versión preliminar)
  • Se detectó acceso al servicio de metadatos en la nube
  • Posible deterioro del registro del historial de comandos (versión preliminar)
  • Posible herramienta de ataque detectada
  • Se ha detectado una posible herramienta de acceso a credenciales
  • Se detectó acceso al archivo kubeconfig de kubelet
  • Intento de crear un nuevo espacio de nombres de Linux a partir de un contenedor detectado
  • Herramienta de detección de red detectada (versión preliminar)
  • Cuenta agregada al grupo sudo
  • Uso del dominio de OAST detectado (versión preliminar)
  • Se detectó la herramienta de pruebas de penetración de Kubernetes (versión preliminar)
  • Se ha detectado una posible explotación del programa basado en Java (versión preliminar)
  • Comando dentro de un contenedor que se ejecuta con privilegios elevados
  • Proxyware sospechoso o monetizadores de tráfico detectados en la línea de comandos
  • Posible inyección de comandos de React2Shell detectada
  • Acceso inusual al archivo de historial de Bash
  • Posible shell inverso detectado
  • Posible reconocimiento secreto detectado
  • Se detectó una posible alteración de las configuraciones de seguridad (versión preliminar)
  • Se detectó una terminación sospechosa del proceso de seguridad (versión preliminar)
  • Acceso Files confidencial detectado
  • Sha1-Hulud campaña detectada: posible inyección de comandos para filtrar credenciales (versión preliminar)
  • Proceso que se ve accediendo al archivo de claves autorizadas ssh de una manera inusual
  • Se detectó un intento de conexión poco frecuente
  • Descarga de archivos detectada desde un origen malintencionado conocido
  • Se detectó una ejecución de PHP sospechosa
  • Posible reenvío de puertos a una dirección IP externa
  • Invocación de proceso por un proceso de base de datos detectado
  • Actividad sospechosa de Netcat detectada en un nodo de Kubernetes (versión preliminar)
  • Posible actividad de manipulación de registros detectada
  • Modificación de marca de tiempo de archivo sospechosa
  • Posible shell web malintencionado detectado
  • Solicitud sospechosa a la API de Kubernetes
  • Posible actividad del shell web detectada
  • Se detectó un acceso sospechoso al token de identidad de carga de trabajo o al token de cuenta de servicio
  • Se han concedido permisos para ejecutar un archivo binario desde una carpeta sospechosa después de la descarga (versión preliminar)
  • Una línea de comandos ejecutada dentro de un contenedor contiene un DNS sospechoso
  • Una línea de comandos ejecutada dentro de un contenedor contiene una dirección IP sospechosa
  • Microsoft Defender para la ejecución de malware de Kubernetes en la nube detectada (versión preliminar)
  • Microsoft Defender para la ejecución de malware de Kubernetes en la nube bloqueada (versión preliminar)
Alertas de identidad (versión preliminar)
Visualización de todas las alertas de identidad
  • Difusión de contraseñas
  • Posible regla de bandeja de entrada relacionada con BEC
  • Cuenta en peligro después de un ataque de difusión de contraseña

Requisitos previos

Estos requisitos previos se aplican independientemente de los tipos de alerta que desee que el agente triage.

Requisito previo Detalles
Security Copilot Capacidad aprovisionada en unidades de proceso de seguridad (SCU). Consulte Introducción a Security Copilot o compruebe si tiene derecho a las SCU como parte del modelo de inclusión de Microsoft Security Copilot.
complementos de Security Copilot Security Alert Triage Agent activa automáticamente estos complementos: Microsoft Defender XDR, Microsoft Threat Intelligence y Security Alert Triage Agent. Para obtener más información, consulte Introducción a los complementos: Microsoft Security Copilot.
Reglas de optimización de alertas Deshabilite las reglas de optimización que resuelven las alertas que desea que el agente triage. El agente no evalúa las alertas resueltas. Para obtener más información, vea Optimizar una alerta.
RBAC unificado Habilite el control de acceso basado en rol unificado y active las cargas de trabajo pertinentes para los tipos de alertas que desea evaluar. Para obtener más información, consulte Requisitos previos específicos de la carga de trabajo.
Productos y licencias Necesita productos y licencias específicos en función de los tipos de alertas que desea que el agente triage. Para obtener más información, consulte Requisitos previos específicos de la carga de trabajo.

Requisitos previos específicos de la carga de trabajo

Los siguientes requisitos previos dependen de los tipos de alerta que desea que el agente triage.

Requisitos de producto y licencia
Requisitos de RBAC unificados

Active Defender para Office 365 en Microsoft Defender XDR configuración de RBAC unificada. Para obtener más información, consulte Activar cargas de trabajo en Microsoft Defender XDR configuración.

Captura de pantalla de la página Activar control de acceso basado en rol unificado que muestra el botón de alternancia de Defender para Office 365, que debe habilitarse para el agente de evaluación de prioridad de alertas de seguridad.

Configuración de los valores notificados por el usuario

Habilite Supervisar mensajes notificados en Outlook para definir cómo los usuarios notifican mensajes potencialmente malintencionados en Microsoft Outlook y seleccione cualquiera de las opciones Destinos de mensajes notificados :

Captura de pantalla de la página Configuración notificada por el usuario que muestra el botón de informe de Outlook y las configuraciones de destinos de mensajes notificados.

Para obtener más información, consulte Uso del portal de Microsoft Defender para configurar las opciones notificadas por el usuario.

Si usa una herramienta de informes de correo electrónico de terceros, revise Opciones para herramientas de informes de terceros y vea las opciones de configuración del proveedor para integrar los mensajes notificados con Microsoft Defender.

Agregar directiva de alertas

El agente de evaluación de alertas de seguridad aborda los incidentes de correo electrónico y colaboración que incluyen alertas con el tipo Email notificadas por el usuario como malware o phish.

Asegúrese de que tiene habilitada la directiva de alerta correspondiente.
Para obtener más información, consulte Directivas de alerta en el portal de Microsoft Defender.

Importante

El agente de evaluación de prioridades de alertas de seguridad no evalúa las alertas resueltas mediante el ajuste de alertas.
Asegúrese de deshabilitar la resolución automática: Email notificada por el usuario como regla de optimización de alertas integrada de malware o phish y cualquier regla de optimización personalizada que resuelva esta alerta.

Permisos de usuario necesarios

Los usuarios que interactúan con el agente de evaluación de prioridades de alertas de seguridad necesitan estos permisos:

Acción del usuario Permisos necesarios
Visualización de los resultados del agente Los mismos permisos que el agente (o superior), como se describe en Security Alert Triage Agent required permissions (Permisos necesarios del agente de evaluación de alertas de seguridad).
Visualización de la configuración del agente Security Copilot (lectura) y Conceptos básicos de datos de seguridad (lectura) en el grupo Permisos de operaciones de seguridad en el portal de Defender.

O

Administrador de seguridad en Microsoft Entra ID.
Administrar la configuración del agente (configurar, pausar, quitar el agente y administrar la identidad del agente) Administrador de seguridad en Microsoft Entra ID.

Estos permisos se aplican al flujo de trabajo de comentarios del agente:

Acción del usuario Permisos necesarios
Enseñar al agente a través de comentarios Los mismos permisos que el agente (o superior), como se describe en Security Alert Triage Agent required permissions (Permisos necesarios del agente de evaluación de alertas de seguridad).
Ver página de comentarios Security Copilot (lectura),Conceptos básicos de datos de seguridad (lectura) y Email & metadatos de colaboración (lectura) en el grupo Permisos de operaciones de seguridad en el portal de Defender.

O

Administrador de seguridad en Microsoft Entra ID.
Rechazar comentarios Administrador de seguridad en Microsoft Entra ID.

Para obtener más información sobre RBAC unificado en el portal de Defender, consulte Microsoft Defender XDR Control de acceso basado en rol unificado (RBAC).

Configuración del agente de evaluación de prioridades de alertas de seguridad

Asegúrese de que tiene los permisos de usuario necesarios y de que se cumplen todos los requisitos previos antes de configurar el agente.

Iniciar la instalación

Abra el Asistente para la configuración del agente de evaluación de alertas de seguridad de una de estas dos maneras:

  • En la cola Incidentes del portal de Microsoft Defender, seleccione Configurar agente.

    Captura de pantalla de la cola de incidentes con la opción Configuración del agente de evaluación de alertas de seguridad resaltada.

  • En el Almacén de seguridad del portal de Microsoft Defender, como se explica en Implementación de agentes de inteligencia artificial en Microsoft Defender. El agente podría aparecer como agente de evaluación de identidades de suplantación de identidad (Phishing Triage Agent ) en el Almacén de seguridad, pero es el mismo agente.

Siga los pasos del Asistente para la instalación, como se describe en las secciones siguientes.

Selección de los tipos de alertas que se van a evaluar

Seleccione los tipos de alerta que desea que el agente triage en la lista de tipos de alerta admitidos. Los permisos y los ámbitos de datos dependen de esa selección.

Captura de pantalla de la configuración de alertas admitidas por el agente con alternancias para las alertas de correo electrónico, nube e identidad, y los botones Continuar y Atrás.

Asignación de la identidad y los permisos del agente

El asistente para la instalación le guiará a través de la asignación al agente de una identidad y los permisos necesarios para realizar su trabajo.

Asignación de una identidad

El agente requiere una identidad para funcionar. El asistente le pide que seleccione uno de los dos tipos de identidad.

Captura de pantalla de la pantalla Seleccionar una nueva identidad en el Asistente para la configuración del agente de evaluación de alertas de seguridad.

Seleccione:

  • Creación de una nueva identidad de agente (recomendado): cree automáticamente una nueva Agente de Microsoft Entra ID. Microsoft Entra crea identificadores de agente específicamente para agentes de inteligencia artificial. El uso de identificadores de agente mantiene el acceso con ámbito, seguro y fácil de administrar. Para obtener más información, consulte ¿Qué son las identidades de agente?.

    OR

  • Conexión de una cuenta de usuario existente : asigne una cuenta de usuario existente como identidad del agente. El agente hereda los permisos y el acceso de la cuenta de usuario. Para usar esta opción de identidad, debe crear la identidad usted mismo y asignarle los permisos que necesita el agente antes de la instalación. Para obtener información sobre cómo crear una cuenta de usuario, consulte Creación de un nuevo usuario.

    Al conectar el agente a una cuenta, se recomienda establecer una fecha de expiración de cuenta larga y supervisar estrechamente su estado de autenticación para garantizar el funcionamiento continuo del agente. Si la autenticación expira, el agente deja de funcionar hasta que se renueva.

    La identidad de usuario especificada del agente no es compatible con PIM o TAP porque no admiten operaciones en segundo plano a largo plazo.

    Sugerencia

    Use una cuenta de identidad dedicada con los permisos mínimos necesarios para el agente. Al crear la cuenta, asigne un nombre para mostrar distinto, como Agente de evaluación de prioridad de alertas de seguridad, para identificarla fácilmente en el portal de Microsoft Defender.

    Establezca directivas de acceso condicional para Security Copilot para permitir que el agente funcione en función de la cuenta de usuario creada para él. Para obtener más información, consulte Solución de problemas de directivas de acceso condicional para Microsoft Security Copilot.

Nota:

Puede cambiar la identidad del agente después de la instalación, como se describe en Editar configuración del agente.

Asignar permisos

En consonancia con el principio de privilegios mínimos, se recomienda asignar la identidad del agente solo los permisos que requiere el agente de evaluación de alertas de seguridad para realizar sus tareas.

  • Si usa un identificador de agente, la lista desplegable solo muestra los roles de la organización que tienen los permisos que necesita el agente. Seleccione un rol existente en su organización o cree automáticamente un nuevo rol con los permisos necesarios si aún no tiene configurado un rol adecuado.

    Captura de pantalla de la pantalla Crear una nueva identidad de agente en el Asistente para configuración del agente de evaluación de alertas de seguridad.

  • Si usa una cuenta de usuario existente, debe asignar los permisos necesarios a esa identidad antes de asignar la identidad del agente durante la instalación; no puede hacerlo desde el asistente para la instalación.

    Captura de pantalla de la pantalla Conectar con una cuenta de usuario existente en el Asistente para configuración del agente de evaluación de alertas de seguridad

Permisos necesarios del agente de evaluación de prioridades de alertas de seguridad

El agente de evaluación de prioridades de alertas de seguridad requiere permisos específicos para acceder a los datos necesarios y realizar sus funciones de evaluación de prioridades. Los permisos necesarios dependen de los tipos de alerta y los productos asociados con los que desea que el agente trabaje.

En esta tabla se resumen los permisos y ámbitos de datos necesarios para cada tipo de alerta:

Tipo de alerta Permissions Ámbitos de datos
Email y alertas de colaboración, incluida la suplantación de identidad (phishing) Security Copilot (lectura), Conceptos básicos de datos de seguridad (lectura), Alertas (administrar), metadatos de colaboración Email & (lectura), Email & contenido de colaboración (lectura) Microsoft Defender para Office 365
Alertas en la nube, incluidos los contenedores Security Copilot (lectura), Conceptos básicos de datos de seguridad (lectura), Alertas (administrar) Microsoft Defender para la nube
Alertas de identidad Security Copilot (lectura), Conceptos básicos de datos de seguridad (lectura), Alertas (administrar) Microsoft Defender for Identity y Microsoft Defender for Cloud Apps

Estos permisos se encuentran en el grupo Permisos de operaciones de seguridad :

Captura de pantalla de los permisos necesarios para la evaluación de prioridades de alertas

Para crear un rol manualmente:

  1. Asegúrese de que las cargas de trabajo de RBAC unificadas pertinentes están activadas para permitir que el agente analice de forma eficaz las alertas con un contexto completo. Siga los pasos descritos en Requisitos previos específicos de la carga de trabajo.

  2. Cree un rol con los permisos necesarios o asigne un rol existente con estos permisos al agente.

    Asegúrese de conceder acceso al rol a todos los orígenes de datos pertinentes en función de las alertas admitidas que quiera asociar al agente de evaluación de prioridades de alertas de seguridad.

    Captura de pantalla de los orígenes de datos necesarios para la evaluación de prioridades de alertas de seguridad

  3. Asigne el rol a la identidad del agente.

Importante

Después de asignar al agente sus permisos, asegúrese de que el grupo de usuarios que supervisa el agente tiene permisos iguales o superiores para supervisar su actividad y salida. Para ello, compare los permisos del grupo de usuarios con el agente de la página Permisos del portal de Microsoft Defender.

Uso del agente de evaluación de prioridades de alertas de seguridad

El agente ayuda a los equipos de seguridad a administrar el gran volumen de alertas que las organizaciones reciben diariamente mediante la evaluación automática de las alertas admitidas y la actualización de su clasificación y estado en Microsoft Defender incidentes.

Desencadenador y flujo del agente

Después de la instalación, el agente de evaluación de prioridades de alertas de seguridad se ejecuta automáticamente cuando se crea una alerta pertinente. A continuación, el agente analiza de forma autónoma la alerta mediante herramientas sofisticadas de inteligencia artificial y el contexto de su organización para determinar si la amenaza asociada es malintencionada o simplemente una falsa alarma.

Si se determina que la alerta es una falsa alarma, el agente la clasifica como falso positivo y la resuelve en consecuencia. Si la alerta se considera malintencionada, se clasifica como verdadero positivo y el estado del incidente asociado permanece abierto y en curso para que un analista investigue y tome medidas adicionales.

Para cada alerta que procesa, el agente proporciona una explicación detallada de su veredicto en el incidente correspondiente.

Colaboración con el agente

Para mantener la transparencia, el agente actualiza de forma rutinaria los campos de incidentes durante el proceso de evaluación de prioridades. Cuando se inicia la triaging, el agente asigna la alerta a sí mismo y agrega una etiqueta agent al incidente correspondiente. Los analistas pueden filtrar la cola de incidentes para ver solo los incidentes etiquetados por el agente, lo que simplifica la supervisión y la priorización.

Sugerencia

También puede filtrar la cola de incidentes con el nombre de la identidad que asignó al agente de evaluación de prioridades de alertas de seguridad para ver los incidentes en los que el agente está trabajando activamente.

Cuando una alerta se identifica como una amenaza verdadera, el agente de evaluación de prioridades de alertas de seguridad la marca como un verdadero positivo, lo que permite a los analistas filtrar y priorizar incidentes en función de las clasificaciones confirmadas.

Captura de pantalla de la cola de incidentes filtrada por la etiqueta agente de evaluación de alertas de seguridad

Transparencia y explicación en la evaluación de prioridades de alertas

Para cada alerta que procesa, el agente de evaluación de prioridades de alertas de seguridad proporciona una explicación detallada de su veredicto y una representación gráfica de su flujo de trabajo de toma de decisiones.

Para revisar los resultados del agente, siga estos pasos:

  1. Seleccione un incidente en la cola incidentes.

  2. En la página del incidente, busque la tarjeta Agente de evaluación de alertas de seguridad en el panel lateral Copilot o Tareas en la sección Evaluación de la respuesta guiada. La tarea se marca como completada y se asigna al agente. La tarjeta presenta el veredicto del agente en función de su clasificación, resaltando piezas clave de pruebas incriminatorias que informaron de la decisión.

    Captura de pantalla de la página del incidente con la tarjeta Agente de evaluación de prioridad de alertas de seguridad resaltada

  3. Puede seleccionar los puntos suspensivos Más acciones para ver más detalles de alerta, copiar los detalles de clasificación del agente en el Portapapeles o administrar los comentarios.

    Captura de pantalla en la que se resaltan las opciones de más acciones dentro de la tarjeta agente de evaluación de alertas de seguridad

  4. Para ver los pasos que tomó el agente antes de alcanzar su clasificación, seleccione Ver actividad del agente en la tarjeta Agente de evaluación de alertas de seguridad. Esto muestra la lógica detrás de la clasificación final del agente.

    Captura de pantalla que resalta el panel Ver actividad del agente.

Enseñar al agente el contexto de su organización a través de comentarios

Importante

La opción de comentarios solo está disponible actualmente para las alertas de correo electrónico y colaboración.

En el caso de los tipos de alerta admitidos, los analistas pueden proporcionar opcionalmente comentarios sobre las clasificaciones de agentes en lenguaje natural sin formato, sin que se requieran configuraciones complejas. Los usuarios autorizados pueden revisar los comentarios, evaluarlos y aplicarlos explícitamente para influir en la forma en que el agente clasifica alertas similares en el futuro. Esta funcionalidad solo está disponible actualmente para las alertas de correo electrónico y colaboración.

Para proporcionar comentarios y enseñar al agente, siga estos pasos:

  1. En la página del incidente, busque la tarjeta Agente de evaluación de alertas de seguridad en el panel lateral Copilot o Tareas en la sección Evaluación de la respuesta guiada.

  2. Revise la clasificación y el razonamiento del agente que se muestran en el título y el contenido de la tarjeta. Si la decisión no se alinea con los criterios de clasificación de la organización, seleccione Cambiar clasificación. Como alternativa, puede actualizar la clasificación seleccionando la alerta específica en la pestaña Alertas y, a continuación, seleccionando Administrar alerta.

    Captura de pantalla que resalta la opción Cambiar clasificación en la tarjeta Agente de evaluación de alertas de seguridad

  3. En el panel Administrar alertas , seleccione la nueva clasificación en el menú desplegable Clasificación . A continuación, proporcione el motivo del cambio rellenando el campo ¿Por qué ha cambiado esta clasificación ?. En este paso se registra la entrada en la página de administración de comentarios solo con fines de auditoría. El agente no usará estos comentarios para mejorar su toma de decisiones hasta que seleccione explícitamente Usar estos comentarios para enseñar al agente. Si decide no usar estos comentarios para enseñar al agente, puede seleccionar Guardar, que solo auditará los comentarios sin insertarlos en la memoria del agente.

    Captura de pantalla que resalta los campos de clasificación y comentarios en el panel Administrar alertas

  4. Para aplicar sus comentarios, seleccione Usar estos comentarios para enseñar al agente. Puede usar la guía para escribir comentarios que le ayuden a crear entradas eficaces y, a continuación, elegir Evaluar comentarios para permitirle obtener una vista previa de cómo el agente traduce sus comentarios en una lección y evaluar si el resultado se alinea con su intención. Además, la evaluación de comentarios realiza comprobaciones de seguridad básicas para asegurarse de que los comentarios aplicados son pertinentes para que el agente los use y no entre en conflicto con los comentarios anteriores.

    Nota:

    Solo puede proporcionar comentarios al agente una vez por alerta y solo se puede usar para enseñar al agente cómo clasificar las alertas de correo electrónico y colaboración, en concreto seleccionando True Positive (phishing) o False Positive (no malintencionado). Revise siempre los comentarios y compruebe la respuesta generada por IA antes de guardar la lección.

  5. Si el resultado cumple sus expectativas, puede elegir insertar la lección en la memoria del agente para influir en sus decisiones futuras. Seleccione Guardar para guardar la lección y almacenarla como una lección en la memoria del agente si procede. Todos los comentarios se registran con fines de auditoría y las lecciones agregadas a la memoria del agente se pueden revisar más adelante en la página de administración de comentarios.

El agente usa los comentarios almacenados para evaluar y clasificar alertas similares en el futuro. Cuando se recibe una alerta pertinente que coincide con las características de los comentarios, el agente aplica estos comentarios para determinar su clasificación, incorporándola como evidencia auxiliar en su proceso de toma de decisiones.

Procedimientos recomendados para escribir comentarios

Las lecciones proporcionan directrices sistemáticas que ayudan al agente a determinar si una alerta es una amenaza de suplantación de identidad (phishing) auténtica o una falsa alarma. Para asegurarse de que el agente incorpora eficazmente sus comentarios, siga estos procedimientos recomendados al proporcionar entradas al agente de evaluación de alertas de seguridad:

  1. Asegúrese de que los comentarios son pertinentes y contextuales. Los comentarios solo deben pertenecer al correo electrónico que se está revisando actualmente. También debe alinearse con la clasificación actualizada que ha asignado.
  2. Sea descriptivo y específico. Explicar claramente las características del correo electrónico. Proporcione detalles relevantes como el asunto del correo electrónico, el cuerpo del mensaje, el remitente o los destinatarios para ayudar al agente a comprender el contexto. Comentarios específicos con varios detalles mejoran la eficacia.
  3. Garantizar la claridad y la determinación. Evite instrucciones vagas o universales. Proporcione comentarios claros y accionables. Use términos de identificación claros y decisivos.
  4. Sea coherente con los comentarios anteriores. Asegúrese de que los nuevos comentarios se alineen con lo que se proporcionó anteriormente para evitar contradicciones que pudieran confundir al agente o reducir la precisión de sus decisiones. Puede revisar todas las entradas enviadas anteriormente en la página Administración de comentarios .
  5. Revise la interpretación del agente de sus comentarios. Cuando envíe comentarios, compruebe siempre que los comentarios se traducen con precisión en una lección. Confirme que la lección refleja su intención y mantiene la coherencia con la entrada original. Comprobar la validez de las respuestas generadas por IA para asegurarse de que se aplican al escenario.

Estos son ejemplos de cómo puede escribir sus comentarios en el agente.

Área Ejemplos de comentarios bien escritos Ejemplos de comentarios que pueden provocar errores Comparison
Comentarios sobre un remitente Cualquier correo electrónico que reclame ser de proveedores de beneficios debe originarse en "@benefits.company.com". El remitente de la segunda alerta del incidente no es legítimo. Los comentarios deben estar relacionados con el correo electrónico de la alerta actual y su contexto. Se asociará a la clasificación elegida (aunque no se mencione explícitamente en los comentarios) y se usará para alertas futuras similares.
Comentarios sobre el remitente y el cuerpo del correo electrónico Los correos electrónicos que ofrecen el uso compartido de archivos o el acceso a documentos solo deben proceder de nuestro proveedor autorizado Contoso.com. Los correos electrónicos que ofrecen el uso compartido de archivos o el acceso a documentos solo deben provenir de nuestros proveedores autorizados. Los comentarios bien escritos indican claramente requisitos específicos (por ejemplo, dominio del remitente), mientras que las referencias vagas (por ejemplo, "proveedores autorizados") no contienen información accionable.
Comentarios sobre el asunto del correo electrónico Cualquier correo electrónico que contenga un asunto que contenga una solicitud de transacción de facturación no está permitido en nuestra organización y se considera phishing. Si el sujeto tiene un sentimiento natural positivo, es legítimo. Los comentarios descriptivos y específicos se pueden validar de forma eficaz, mientras que los comentarios subjetivos pueden dar lugar a resultados no deseados.
Comentarios sobre el cuerpo del correo electrónico Los correos electrónicos que solicitan la verificación de credenciales deben incluir una referencia a la cuenta o servicio específica. Cualquier solicitud genérica de "comprobar la cuenta" sin detalles debe tratarse como suplantación de identidad (phishing). Este correo electrónico debe tratarse como phishing. Es más probable que se entiendan claramente los comentarios que incluyen información detallada, mientras que los comentarios que carecen de detalle pueden interpretarse de varias maneras y podrían dar lugar a resultados imprevisibles.
Comentarios sobre un destinatario y el cuerpo del correo electrónico Este correo electrónico se envió a varios empleados y el cuerpo indica a los destinatarios que descarguen un "dato adjunto importante" sin describir su contenido; los correos electrónicos legítimos siempre especifican los detalles de los datos adjuntos. Los correos electrónicos internos masivos con datos adjuntos son phishing. Los comentarios que resaltan detalles específicos que faltan habitualmente en los correos electrónicos legítimos son más eficaces. Los comentarios que contienen generalizaciones amplias (correos electrónicos masivos) o términos vagos (como "internos") pueden dar lugar a un número excesivo de verdaderos positivos.
Comentarios sobre un destinatario y un dominio Los correos electrónicos de incorporación de nuevos contratistas solo deben enviarse a direcciones de correo electrónico a partir de "v-" para asegurarse de que se dirigen a los destinatarios correctos. Los correos electrónicos del contratista parecen diferentes de los habituales, por lo que podrían ser suplantación de identidad (phishing). Los comentarios bien escritos definen claramente el formato de destinatario esperado, mientras que los comentarios que son indecisos ("podrían ser") y carecen de criterios de identificación claros ("parece diferente de lo habitual" sin especificar lo que es diferente), hace que la detección no sea confiable.

Resolución de errores de comentarios

Cuando el agente toma sus comentarios, lo traduce en una lección. Si el agente no interpreta correctamente los comentarios, un mensaje pertinente muestra lo que provocó el error. Puede solucionar estos errores en función del mensaje devuelto por el agente.

Estos son ejemplos de errores que puede encontrar al escribir comentarios en el agente y cómo resolverlos.

Mensaje de error Acción recomendada
Captura de pantalla del mensaje de error sobre información irrelevante en los comentarios proporcionados
Parte de los comentarios proporcionados no se pueden abordar, ya que el agente actualmente no admite este tipo de entrada y, por lo tanto, no se puede traducir a una lección en absoluto.		 Vuelva a escribir sus comentarios y asegúrese de que sigue los procedimientos recomendados. Seleccione Evaluar comentarios para intentarlo de nuevo.
Captura de pantalla del mensaje de error sobre las características no admitidas en los comentarios proporcionados
Los comentarios contienen entradas que el agente puede admitir, pero no son pertinentes para el correo electrónico en cuestión y, por tanto, no se pueden traducir en una lección accionable que se guardará en la memoria.		 Vuelva a escribir sus comentarios y asegúrese de que aborda las descripciones del correo electrónico que puede admitir. A continuación, seleccione Evaluar comentarios para intentarlo de nuevo.
Captura de pantalla del mensaje de error sobre los datos en conflicto en los comentarios proporcionados
Los comentarios dados entran en conflicto con los comentarios anteriores proporcionados a un correo electrónico similar.		 En la página de administración de comentarios , busque el identificador de comentarios para ver los comentarios con los que entra en conflicto. En función de la revisión, puede hacer lo siguiente:
- Rechazar los comentarios anteriores en la página de administración de comentarios. Después, seleccione Evaluar para intentar insertar sus comentarios de nuevo.
- Vuelva a escribir los comentarios dados de forma que no entren en conflicto y, a continuación, seleccione Evaluar comentarios para que el agente vuelva a evaluar la nueva entrada.

Nota:

Puede optar por no resolver errores de comentarios. Puede dejar sus comentarios y seleccionar Guardar sin activar la casilla para enseñar al agente. Los comentarios no se guardarán en la memoria del agente y solo se documentarán en la página de administración de comentarios para los futuros cambios de clasificación de seguimiento.

Cuando se aprueban y almacenan los comentarios aplicables, el agente puede aplicarlo al evaluar alertas similares en el futuro, con los mismos permisos y controles.

Supervisión y administración del agente de evaluación de alertas de seguridad

Para ver las métricas del agente y administrar el agente, vaya a la tarjeta Agente de evaluación de alertas de seguridad en la cola de incidentes o en la página Agentes:

  • Para abrir la página Agente de evaluación de alertas de seguridad directamente, seleccione agentes de Security Copilot>, busque agente de evaluación de alertas de seguridad en Agentes en uso y seleccione Ir al agente.

    Esta página consta de dos pestañas: Información general y Rendimiento.

    • En la pestaña Información general se proporcionan detalles sobre el estado actual, la identidad, el rol y la actividad reciente del agente.

      Captura de pantalla de la pestaña Información general de la página Agente de evaluación de prioridades de alertas de seguridad.

      Seleccione una actividad de la lista Actividad reciente para ver detalles sobre la investigación del agente y el flujo de trabajo completo del agente.

      Captura de pantalla del panel de detalles de la actividad que se abre desde la página Agente de evaluación de alertas de seguridad.

      Seleccione Ver flujo de trabajo de agente completo para ver una representación gráfica del proceso de toma de decisiones del agente para esa actividad específica.

      Captura de pantalla de la página de flujo de trabajo de agente completa que se abre desde la página Agente de evaluación de alertas de seguridad.

    • En la pestaña Rendimiento se muestran métricas clave sobre la actividad del agente a lo largo del tiempo, incluida la actividad diaria, el tiempo medio de evaluación de prioridades (MTTT) y el consumo de SCU.

      Captura de pantalla de la pestaña Rendimiento de la página Agente de evaluación de prioridad de alertas de seguridad.

    Seleccione los puntos suspensivos (...) en la esquina superior derecha de la página para acceder a las opciones de administración del agente, como se describe en las secciones siguientes.

    Seleccione Pausar o Ejecutar para detener o reiniciar temporalmente las actividades del agente.

  • Para abrir la tarjeta Agente de evaluación de alertas de seguridad en la cola de incidentes, seleccione Investigación & respuesta > Incidentes & alertas > Incidentes .

    La tarjeta Agente de evaluación de alertas de seguridad situada encima de la cola de incidentes muestra algunas de las métricas clave del agente, incluidos los incidentes solucionados, que son incidentes que contienen alertas que el agente ha clasificado como verdaderas amenazas o falsas alarmas.

    Estos datos ayudan a demostrar el impacto del agente y se pueden usar para informar sobre conversaciones estratégicas más amplias, resaltar el retorno de la inversión o respaldar decisiones en torno al escalado de la automatización en toda la organización.

    Las métricas se calculan en función de la actividad del agente, a partir de su primer incidente registrado o de los últimos 30 días, lo que sea más reciente.

    Captura de pantalla de la cola de incidentes con la tarjeta Agente de evaluación de alertas de seguridad resaltada.

    Seleccione Administrar agente en la tarjeta para abrir la página Agente de evaluación de alertas de seguridad , que tiene más métricas de rendimiento y opciones de administración.

Edición de la configuración del agente

Para editar la configuración del agente:

  1. Seleccione agentes de Security Copilot>.

  2. Busque security alert triage Agent (Agente de evaluación de alertas de seguridad) en Agents in use (Agentes en uso) y seleccione Ir al agente.

  3. Seleccione los puntos suspensivos (...) > Edite el agente en la esquina superior derecha de la página Agente de evaluación de alertas de seguridad .

    La página Editar agente tiene tres pestañas:

    • Identidad y rol : cambie la identidad del agente. Seleccione Seleccionar una nueva identidad y siga los pasos descritos en Asignar la identidad y los permisos del agente.

    • Comentarios : ver y administrar los comentarios enviados por el usuario. Para obtener más información, vea Ver y administrar comentarios al agente.

    • Alertas admitidas : vea cuál de los tipos de alerta admitidos puede evaluar el agente. Para activar o desactivar tipos de alerta específicos para el agente:

      1. Seleccione Editar alertas admitidas para abrir la página Alertas admitidas por el Agente .

        Captura de pantalla de la opción Editar alertas admitidas en la página Editar agente.

      2. Active o desactive los tipos de alerta individuales y seleccione Actualizar.

        Captura de pantalla de la página alertas admitidas por el agente con alternancias para cada tipo de alerta.

      3. Seleccione Actualizar permisos de rol para aplicar las actualizaciones.

        Captura de pantalla del panel de alertas compatibles con el agente con alternancias para las alertas de correo electrónico, nube e identidad, y el botón Actualizar resaltado.

Visualización y administración de comentarios al agente

El agente de evaluación de alertas de seguridad aprende de los comentarios enviados por el usuario y mejora su rendimiento con el tiempo. Almacena los comentarios aplicables en su memoria como lecciones. Puede ver y administrar los comentarios del agente de evaluación de alertas de seguridad en la página Comentarios del agente .

Esta página proporciona una lista completa de todos los comentarios enviados al agente. Puede revisar los detalles clave de cada fragmento de comentarios, entre los que se incluyen:

  • Clasificación original del agente y cambio aplicado por el usuario
  • Los comentarios originales proporcionados por el usuario al cambiar la clasificación
  • La lección traducida generada por el agente (si procede)
  • Estado de los comentarios: en uso, no en uso o en conflicto
  • El usuario que proporcionó los comentarios
  • Fecha de envío de comentarios, identificador de comentarios, identificador de alerta y el identificador de incidente

Captura de pantalla de la página Administración de comentarios

En esta tabla se explican los estados de los comentarios:

Estado Descripción
En uso Los comentarios se han convertido correctamente en una lección en la memoria del agente y se usan activamente para evaluar y clasificar incidentes similares.
Conflicto (Conflict) Los comentarios proporcionados entraron en conflicto con los comentarios proporcionados anteriormente en un incidente similar. Obtenga información sobre cómo puede resolver errores de comentarios.
No en uso Los comentarios no se incorporaron en la memoria del agente o no fueron marcados por el usuario para la enseñanza. Las lecciones rechazadas aparecen como "no en uso" y solo se guardan para la auditoría, no para la evaluación y clasificación de incidentes. Para obtener más información, seleccione el panel de detalles.

Sugerencia

Los comentarios solo se pueden administrar individualmente. Actualmente no se admite la administración masiva de varias entradas de comentarios.

Para ver y administrar los comentarios enviados por el usuario:

  1. Seleccione Security Copilot > Agentes, busque agente de evaluación de alertas de seguridad en Agentes en uso y seleccione Ir al agente.

  2. Seleccione los puntos suspensivos (...) > Edite el agente en la esquina superior derecha de la página. Se abrirá la página Editar agente .

  3. Seleccione Comentarios en el panel izquierdo para abrir la página Comentarios del agente .

  4. Seleccione una entrada de la lista de comentarios para abrir el panel Revisar comentarios .

  5. Compruebe los detalles de los comentarios proporcionados, la lección del agente, los cambios de clasificación y otros detalles importantes.

    Captura de pantalla del panel Revisar comentarios

  6. Para rechazar comentarios específicos, seleccione Rechazar comentarios. El agente deja de usar los comentarios en futuras decisiones de evaluación de prioridades.

    Nota:

    Para rechazar los comentarios proporcionados, necesita el rol Administrador de seguridad en Microsoft Entra ID.

Quitar el agente

Al quitar el agente, se detiene la evaluación y clasificación de los nuevos incidentes y se eliminan todos los comentarios. Sin embargo, el historial de incidentes previamente evaluados se conserva para su referencia.

Para quitar el agente:

  1. Seleccione Security Copilot > Agentes, busque agente de evaluación de alertas de seguridad en Agentes en uso y seleccione Ir al agente.
  2. Seleccione los puntos suspensivos (...) en la esquina superior derecha de la página y, a continuación, seleccione Quitar.

Preguntas frecuentes

A continuación se muestran las respuestas a las preguntas más frecuentes sobre el agente de evaluación de alertas de seguridad. Para obtener información sobre las funcionalidades y los requisitos del agente, consulte las secciones Sobre el funcionamiento y los requisitos previos del agente de evaluación de alertas de seguridad de este artículo.

¿Qué es el agente de evaluación de prioridades de alertas de seguridad, en qué se diferencia del agente de evaluación de suplantación de identidad y cómo se incorpora si ya estoy usando el agente para evaluar las alertas de suplantación de identidad?

El agente de evaluación de prioridades de alertas de seguridad es un agente de Microsoft Security Copilot autónomo en Microsoft Defender que ayuda a los equipos de seguridad a evaluar las alertas a escala. Evalúa las alertas mediante el razonamiento basado en inteligencia artificial, llega a un veredicto y registra sus conclusiones directamente en Microsoft Defender incidentes para ayudar a los analistas a priorizar lo que requiere acción.

El agente de evaluación de prioridades de alertas de seguridad es el mismo agente que el agente de evaluación de identidades de suplantación de identidad (Phishing Triage Agent), ampliado para evaluar los tipos de alerta adicionales más allá del correo electrónico y la colaboración. El agente de evaluación de prioridades de alertas de seguridad es modular: puede elegir qué tipos de alerta desea que el agente triage. El agente ahora se extiende a las alertas de identidad y nube, empezando por los contenedores, que están actualmente en versión preliminar. las funcionalidades de evaluación de prioridades de alertas de colaboración y Email ya están disponibles con carácter general (GA). Se espera que el conjunto de alertas admitidas aumente con el tiempo.

Si ya usa el agente de evaluación de suplantación de identidad, no es necesario instalar un nuevo agente. El agente existente seguirá funcionando y puede habilitar los tipos de alerta adicionales a través de la configuración. Para incorporarse a las funcionalidades ampliadas, revise los requisitos previos para los tipos de alerta adicionales y edite la configuración del agente para seleccionar los tipos de alerta que desea habilitar.

La configuración de evaluación de suplantación de identidad existente y los comentarios se realizan automáticamente. Para obtener más información, consulte Funcionamiento del agente de evaluación de prioridades de alertas de seguridad y Configuración del agente de evaluación de prioridades de alertas de seguridad.

¿Cuándo se desencadena el agente?

Este agente se ejecuta automáticamente cuando se detecta una nueva alerta. Las reglas de ajuste integradas que resuelven los tipos de alerta admitidos se deshabilitarán durante la instalación.

¿Se puede confiar en el agente de evaluación de prioridades de alertas de seguridad?

Microsoft AI agentes siguen estrictas directrices de inteligencia artificial responsable y se someten a revisiones exhaustivas para garantizar el cumplimiento de todos los estándares y garantías de IA. El agente de evaluación de prioridades de alertas de seguridad está totalmente incorporado en estos controles. Durante la instalación, asigne al agente una identidad y configúrela con los permisos mínimos necesarios para su operación, lo que garantiza que no tiene permisos innecesarios. Todas las actividades del agente se registran en detalle, con el flujo completo disponible para su revisión por parte de analistas y administradores en cualquier momento. Los comentarios proporcionados al agente para ayudarle a adaptarse al entorno de la organización se registran, se reflejan en el sistema y son accesibles para su revisión y modificación por parte de los administradores según sea necesario.

¿En qué se diferencia el agente de una solución SOAR estándar?

Aunque las soluciones SOAR y el agente de evaluación de alertas de seguridad automatizan aspectos de las operaciones de seguridad, usan diferentes enfoques.

Las soluciones SOAR suelen basarse en flujos de trabajo predefinidos basados en reglas que requieren configuración manual y mantenimiento continuo. Por el contrario, el agente de evaluación de prioridades de alertas de seguridad usa el análisis basado en razonamiento para evaluar las alertas y registrar las clasificaciones dentro de Microsoft Defender, con supervisión humana y comentarios opcionales cuando se admiten.

El agente funciona dentro de los permisos y flujos de trabajo definidos en Microsoft Defender y no reemplaza las herramientas de investigación o respuesta existentes.

¿Qué nivel de visibilidad y control tengo sobre el agente?

Microsoft proporciona herramientas para que las organizaciones mantengan la visibilidad y el control sobre el agente de evaluación de alertas de seguridad desde la implementación a través de operaciones en curso. Los agentes cumplen los estándares de inteligencia artificial responsable (RAI) de Microsoft para la equidad, confiabilidad, seguridad, privacidad, seguridad, inclusión, transparencia y responsabilidad. Los administradores configuran los niveles de identidad y acceso del agente durante la instalación, siguiendo los principios con privilegios mínimos. Los equipos de seguridad y TI pueden autorizar acciones específicas, supervisar el rendimiento y revisar los resultados directamente en Microsoft Defender. Los administradores también pueden configurar el consumo de capacidad y los límites de acceso a datos.

El agente de evaluación de prioridades de alertas de seguridad funciona dentro de un entorno de confianza cero. El sistema aplica directivas organizativas en cada acción del agente mediante la evaluación de la intención y el ámbito de cada operación. Todas las decisiones, razonamientos y acciones tomadas por el agente se documentan de forma transparente como un árbol de decisión dentro de Defender y se registran en los registros de auditoría de Microsoft Purview para la trazabilidad y el cumplimiento.

Quiero probar el agente de evaluación de alertas de seguridad: ¿cómo lo configuro en Microsoft Defender?

Para configurar el agente, debe tener acceso a Security Copilot en Microsoft Defender y cumplir los requisitos previos necesarios. Si no se ha incorporado a Security Copilot, consulte Introducción a Security Copilot o póngase en contacto con su representante de Microsoft. Después de incorporarse a Security Copilot, la opción de configuración del agente puede tardar un poco en estar disponible en el portal de Microsoft Defender.

He probado el agente de evaluación de alertas de seguridad: ¿cómo puedo calcular la capacidad de SCU necesaria para el agente de mi organización?

Es importante asegurarse de que su organización tiene suficientes SCU para el funcionamiento correcto del agente. Para evaluar el uso de SCU y planear la capacidad en el futuro, consulte el panel Supervisión de uso en el portal de Security Copilot y compruebe si tiene derecho a las SCU como parte del modelo de inclusión de Microsoft Security Copilot. El panel muestra lo siguiente:

  • Costo por correo electrónico procesado
  • Consumo de capacidad con el tiempo

También puede exportar los datos del panel a Excel para un análisis más detallado y filtrar solo las operaciones del agente.

Después de evaluar las necesidades de uso de SCU, actualice la capacidad de SCU para su organización. Para obtener más información sobre la administración de SCU, consulte Administración del uso de unidades de proceso de seguridad en Security Copilot.

Contenido relacionado

  • Last updated on