Microsoft Security Copilot suojaushälytyksen triage-agentti Microsoft Defender (esikatselu)

  • Koskee seuraavia:: Microsoft Defender XDR

Suojaustoimintojen keskukset käsittelevät suuria määriä ilmoituksia useissa kuormitusten välillä, joista jokainen vaatii eri kontekstia, signaaleja ja tutkinnallisen syvyyden. Erot näiden hälytysten arvioinnissa voivat johtaa epäyhtenäisiin triage-päätöksiin ja hidastaa kykyä erottaa todelliset uhat valheellisista hälytyksistä. Tämän seurauksena suuren riskin toiminta voi jäädä huomaamatta tai viivästyä, kun taas analyytikot käyttävät suhteettoman paljon aikaa melun suodattamiseen sen sijaan, että toimittaisiin tärkeimpien asioiden perusteella.

Microsoft Security Copilot-tietoturvahälytysagentti on Microsoft Defender upotettu autonominen agentti, joka auttaa tietoturvaryhmiä lajittelemaan hälytyksiä suuressa mittakaavassa. Se soveltaa tekoälypohjaista, dynaamista päättelyä kaikkiin todisteisiin antaakseen selkeät tuomiot tuetuista suojauskuormista. Tunnistamalla, mitkä hälytykset edustavat todellisia hyökkäyksiä ja mitkä ovat vääriä positiivisia, agentti antaa analyytikoille mahdollisuuden keskittyä tutkimaan todellisia uhkia sekä läpinäkyviä, vaiheittaisia perusteluja jokaisen päätöksen tueksi.

Tässä artikkelissa on yleiskatsaus suojausilmoitusten triage-agentista, sen toiminnasta ja ilmoitusten toiminnoista. Katso tämä video, niin näet pikaesittelyn:

Huomautus

Suojaushälytysagentti on sama agentti kuin tietojenkalastelun triage-agentti, joka on osoittanut mitattavissa olevia parannuksia triagen tarkkuudessa ja tehokkuudessa valvotuissa arvioinneissa. Edustajaa laajennetaan käsittelemään laajempia ilmoituksia Microsoft Defender alkaen käyttäjätietojen ja pilvi-hälytysten osajoukosta. Nämä laajennetut ominaisuudet ovat tällä hetkellä esikatseluvaiheessa. Tuettujen ilmoitusten joukon odotetaan kasvavan ajan myötä.

Suojaushälytyksen triage-agentin toiminta

Suojaushälytysagentti on Security Copilot-agenttiti Microsoft Defender joka luokittelee ja lajittelee hälytyksiä tuettujen kuormitusten ja hälytystyyppien välillä. Agentin tärkeimpiä ominaisuuksia ovat seuraavat:

  • Autonominen alue: Käyttää kehittyneitä tekoälytyökaluja hälytysten arviointiin ja sen määrittämiseen, edustavatko ne haitallista toimintaa vai vääriä hälytyksiä ilman vaiheittaista syötettä.
  • Läpinäkyvät perustelut: Kirjaa luokituspäätökset ja antaa niitä tukevat perustelut luonnollisella kielellä ja visuaalisilla kaavioilla, mukaan lukien todisteet, joita käytetään kunkin päätöksen tekemiseen.
  • Palautteeseen perustuva oppiminen: Tuetuissa ilmoitustyypeissä agentti voi sisällyttää analyytikkopalautteen, kun se on nimenomaisesti annettu ja hyväksytty tuomioanalyysin hienosäätämiseksi. Tämä ominaisuus on tällä hetkellä käytettävissä vain sähköposti- ja yhteistyöilmoituksille.

Tuetut ilmoitukset

Suojaushälytysagentti tukee tällä hetkellä seuraavia ilmoitustyyppien alijoukkoa Microsoft Defender. Tuettujen ilmoitusten joukon odotetaan kasvavan ajan myötä.

Ilmoituksen tyyppi Ilmoituksen nimi
Sähköposti- ja yhteistyöilmoitukset, mukaan lukien tietojenkalastelu (yleisesti saatavilla) Sähköposti, jonka käyttäjä on ilmoittanut haittaohjelmaksi tai tietojenkalasteluksi
Pilvi-ilmoitukset, mukaan lukien säilöt (esikatselu)
Näytä kaikki pilvipalveluilmoitukset
  • Mahdolliset takaoven apuohjelmat tai välityspalvelimen binaaritiedostot havaittu (esikatselu)
  • Mahdolliset takaoven asennukset käynnissä olleista prosesseista (esikatselu)
  • Mahdollinen suoritettava ohjelma havaittu komentorivillä Base64:ssä (esikatselu)
  • Mahdollinen Base64-koodattu shell-komentosarjan suorittaminen (esikatselu)
  • Bash-profiilitiedoston epätavallinen käyttö
  • SSH-palvelin suoritetaan säilön sisällä (esikatselu)
  • Havaittiin epäilyttäviä Cron-toimintoja komentorivillä
  • Digitaalisen valuutan louhintaan liittyvä prosessi havaittu
  • Mahdollinen Cryptocoinminer-lataus havaittu
  • Kubernetesin salauslouhijaprosessissa havaittiin tappoja (esikatselu)
  • Kryptovaluutan louhintavarannon mahdollinen käyttö havaittu (esikatselu)
  • Digitaalisen valuutan louhintaan liittyvä käyttäytyminen havaittu
  • Verkkopalvelun mahdollinen hyödyntäminen polun läpikulun avulla (esikatselu)
  • Havaittu suojaustyökalujen mahdollinen poistaminen käytöstä (esikatselu)
  • Säilössä suoritettava estetty binaarinen ajo (esikatselu)
  • Säilössä havaittu ajobinaari
  • Havaittiin epäilyttäviä tiedostomääritteiden muutoksia chattr-toiminnon avulla (esikatselu)
  • Kubernetes-solmussa havaittiin Docker-koontitoiminto (esikatselu)
  • Pääsy pilvipalvelun metatietopalveluun havaittu
  • Komentohistorian kirjaamisen mahdollinen heikentäminen (esikatselu)
  • Mahdollinen hyökkäystyökalu havaittu
  • Mahdollinen tunnistetietojen käyttötyökalu havaittu
  • Kubelet kubeconfig -tiedoston käyttö havaittu
  • Yritys luoda uusi Linux nimitila tunnistetun säilön avulla
  • Verkkoskannaustyökalu havaittu (esikatselu)
  • Tili lisätty sudo-ryhmään
  • Havaittu OAST-toimialueen käyttö (esikatselu)
  • Kubernetes penetraatiotestaustyökalu havaittu (esikatselu)
  • Java-pohjaisen ohjelman mahdollinen hyödyntäminen on havaittu (esikatselu)
  • Komento säilössä, jossa on suuret oikeudet
  • Epäilyttävät välityspalvelinohjelmistot tai traffic monetizer -mittarit havaittu komentorivillä
  • Havaittu mahdollinen React2Shell-komennon lisäys
  • Bash-historiatiedoston epätavallinen käyttö
  • Mahdollinen käänteinen kuori havaittu
  • Mahdollinen salainen tiedustelu havaittu
  • Havaittu suojausmääritysten mahdollinen peukalointi (esikatselu)
  • Havaittu tietoturvaprosessin epäilyttävä päättyminen (esikatselu)
  • Luottamuksellisia Files havaittu
  • Sha1-Hulud havaittu: Mahdollinen komennon lisääminen tunnistetietojen suodattimeen (esikatselu)
  • Prosessi nähty käyttämästä SSH:n valtuutettuja avaimia epätavallisella tavalla
  • Havaittiin epätavallinen yhteysyritys
  • Havaittu tiedoston lataus tunnetusta haitallisesta lähteestä
  • Havaittiin epäilyttävä PHP-suoritus
  • Mahdollinen portti, joka lähetetään edelleen ulkoiseen IP-osoitteeseen
  • DB-prosessin havaittu kutsu
  • Kubernetes-solmussa havaittiin epäilyttävää Netcat-toimintaa (esikatselu)
  • Mahdollisia lokin peukalointitoimintoja havaittu
  • Epäilyttävä tiedoston aikaleiman muokkaaminen
  • Mahdollinen haitallinen verkko-käyttöliittymä havaittu
  • Epäilyttävä pyyntö Kubernetes-ohjelmointirajapinnalle
  • Verkkoliittymän mahdollinen toiminta havaittu
  • Kuormituksen käyttäjätietojen tunnuksen tai palvelutilitunnuksen epäilyttävä käyttö havaittu
  • Oikeudet suorittaa binaari epäilyttävästä kansiosta on myönnetty latauksen jälkeen (esikatselu)
  • Säilössä suoritettava komentorivi sisältää epäilyttävän DNS:n
  • Säilössä suoritettava komentorivi sisältää epäilyttävän IP-osoitteen
  • Microsoft Defender Havaittiin Cloud Kubernetes Malware -suoritus (esikatselu)
  • Microsoft Defender Cloud Kubernetes Malware Execution on estetty (esikatselu)
Käyttäjätietoilmoitukset (esikatselu)
Näytä kaikki käyttäjätietoilmoitukset
  • Salasanasuihke
  • Mahdollinen BEC:hen liittyvä Saapuneet-kansion sääntö
  • Tili vaarantui salasanasyihkehyökkäyksen jälkeen

Ennakkovaatimukset

Nämä edellytykset ovat voimassa riippumatta siitä, mitä ilmoitustyyppejä haluat edustajan lajittelevan.

Edellytys Tiedot
Security Copilot Valmistettu kapasiteetti suojauslaskennan yksiköissä (SCU). Katso Security Copilot käytön aloittaminen tai tarkista, onko sinulla oikeus varastointiyksiköihin osana Microsoft Security Copilot sisällytysmallia.
Security Copilot laajennukset Suojaushälytysagentti aktivoi automaattisesti nämä laajennukset: Microsoft Defender XDR, Microsoft Threat Intelligence ja Suojaushälytys Triage Agent. Lisätietoja on artikkelissa Laajennusten yleiskatsaus – Microsoft Security Copilot.
Ilmoitusten säätösäännöt Poista käytöstä säätösäännöt, jotka ratkaisevat hälytykset, jotka haluat agentin käsittelevän. Agentti ei lajittele ratkaistuja ilmoituksia. Lisätietoja on kohdassa Ilmoituksen hienosäätäminen.
Yhdistetty RBAC Ota käyttöön yhdistetty roolipohjainen käyttöoikeuksien valvonta ja aktivoi tarvittavat kuormitukset niille ilmoitustyypeille, joita haluat käsitellä. Lisätietoja on kohdassa Kuormituskohtaiset edellytykset.
Tuotteet ja käyttöoikeudet Tarvitset tiettyjä tuotteita ja käyttöoikeuksia niiden ilmoitustyyppien perusteella, joita haluat agentin lajittelevan. Lisätietoja on kohdassa Kuormituskohtaiset edellytykset.

Kuormituskohtaiset edellytykset

Seuraavat edellytykset määräytyvät sen mukaan, mitä ilmoitustyyppejä haluat edustajan lajittelevan.

Tuotteiden ja käyttöoikeuksien vaatimukset
Yhtenäiset RBAC-vaatimukset

Aktivoi Defender Office 365 Microsoft Defender XDR yhdistetyissä RBAC-asetuksissa. Lisätietoja on kohdassa Kuormitusten aktivoiminen Microsoft Defender XDR asetuksissa.

Näyttökuva Aktivoi yhdistetty roolipohjainen käyttöoikeuksien hallinta -sivusta, jossa näkyy Defender for Office 365 -vaihtopainike, joka on otettava käyttöön suojaushälytysagentille.

Määritä käyttäjän raportoidut asetukset

Ota Käyttöön Valvo ilmoitettuja viestejä Outlookissa , jos haluat määrittää, miten käyttäjät ilmoittavat mahdollisesti haitallisista viesteistä Microsoft Outlookissa, ja valitse mikä tahansa Raportoidun viestin kohdesijainnin vaihtoehdoista :

Näyttökuva Käyttäjän raportoimien asetusten sivusta, jossa näkyy Outlookin raporttipainike ja raportoidut viestikohteiden määritykset.

Lisätietoja on artikkelissa Käyttäjän raportoidut asetukset Microsoft Defender portaalin käyttäminen.

Jos käytät kolmannen osapuolen sähköpostin raportointityökalua, tutustu kolmannen osapuolen raportointityökalujen asetuksiin ja tarkastele toimittajan määritysvaihtoehtoja, joilla voit integroida raportoidut viestit Microsoft Defender.

Lisää ilmoituskäytäntö

Suojaushälytys triage-agentti käsittelee sähköposti- ja yhteistyötapauksia, jotka sisältävät hälytyksiä, joiden tyyppi on Käyttäjän haittaohjelmaksi tai tietojenkalasteluksi ilmoittama sähköposti.

Varmista, että vastaava ilmoituskäytäntö on käytössä.
Lisätietoja on Microsoft Defender portaalin ilmoituskäytäntöjen kohdassa.

Tärkeää

Suojaushälytysagentti ei tee ilmoituksia, jotka on ratkaistu hälytysten säätämisen avulla.
Muista poistaa käytöstä Automaattinen ratkaisu – Sähköposti, jonka käyttäjä on ilmoittanut haittaohjelmaksi tai tietojenkalastelun valmiin ilmoituksen virityssäännöksi, ja mahdolliset mukautetut virityssäännöt, jotka korjaavat tämän ilmoituksen.

Vaaditut käyttöoikeudet

Suojaushälytysagentin kanssa vuorovaikutuksessa olevat käyttäjät tarvitsevat seuraavat oikeudet:

Käyttäjän toiminto Vaaditut käyttöoikeudet
Näytä agentin tulokset Samat oikeudet kuin edustajalla (tai sitä uudemmalla), jotka on kuvattu kohdassa Suojaushälytys Triage Agentin edellyttämät käyttöoikeudet.
Näytä agentin asetukset Security Copilot (luku) ja suojaustietojen perusteet (lue) Defender-portaalin Suojaustoimintojen käyttöoikeudet -ryhmässä.

TAI

Microsoft Entra ID suojauksen järjestelmänvalvoja.
Hallitse agentin asetuksia (määritä, keskeytä, poista agentti ja hallitse agentin käyttäjätietoja) Microsoft Entra ID suojauksen järjestelmänvalvoja.

Nämä oikeudet koskevat edustajan palautetyönkulkua:

Käyttäjän toiminto Vaaditut käyttöoikeudet
Opeta agenttia palautteen kautta Samat oikeudet kuin edustajalla (tai sitä uudemmalla), jotka on kuvattu kohdassa Suojaushälytys Triage Agentin edellyttämät käyttöoikeudet.
Näytä palautesivu Security Copilot (luku), suojaustietojen perusteet (luku) ja sähköposti & yhteiskäytön metatiedot (luku) Defender-portaalin Suojaustoimintojen käyttöoikeudet -ryhmässä.

TAI

Microsoft Entra ID suojauksen järjestelmänvalvoja.
Hylkää palaute Microsoft Entra ID suojauksen järjestelmänvalvoja.

Lisätietoja yhtenäisestä RBAC:sta Defender-portaalissa on kohdassa Microsoft Defender XDR Yhdistetty roolipohjainen käyttöoikeuksien valvonta (RBAC).

Suojaushälytysagentin määrittäminen

Varmista, että sinulla on tarvittavat käyttöoikeudet ja että kaikki edellytykset täyttyvät ennen edustajan määrittämistä.

Aloita asennus

Avaa Triage Agentin ohjattu suojaushälytystoiminto kahdella tavalla:

Noudata ohjatun asennuksen vaiheita alla olevissa osissa kuvatulla tavalla.

Valitse, mitkä ilmoitustyypit lajittelevat

Valitse ilmoitustyypit, jotka haluat agentin lajittelevan tuettujen ilmoitustyyppien luettelosta. Käyttöoikeudet ja tietoalueet riippuvat tästä valinnasta.

Näyttökuva agentin tukemien ilmoitusten asetuksista, joissa on sähköposti-, pilvi- ja käyttäjätietoilmoitusten vaihtopainikkeet sekä Jatka- ja Takaisin-painikkeet.

Agentin henkilöllisyyden ja käyttöoikeuksien määrittäminen

Ohjattu määritystoiminto opastaa määrittämään agentille käyttäjätiedot ja sen työn edellyttämät käyttöoikeudet.

Käyttäjätietojen määrittäminen

Agentti tarvitsee henkilöllisyyden toimiakseen. Ohjattu toiminto kehottaa valitsemaan toisen kahdesta käyttäjätietotyypistä.

Näyttökuva Valitse uusi käyttäjätiedot -näytöstä Ohjatussa Suojaushälytysagentin määritystoiminnossa.

Valitse:

  • Luo uusi agentin käyttäjätieto (suositus) – Luo uusi Microsoft Entra -agenttitunnus automaattisesti. Microsoft Entra luo agenttitunnuksia nimenomaan tekoälyagenteille. Agenttien tunnuksien käyttäminen pitää käyttöalueen, suojatun ja helpommin hallittavan. Lisätietoja on kohdassa Mitä ovat agentin käyttäjätiedot?.

    TAI

  • Yhdistä olemassa oleva käyttäjätili – Määritä olemassa oleva käyttäjätili agentin käyttäjätiedeiksi. Edustaja perii käyttäjätilin käyttöoikeudet. Jotta voit käyttää tätä käyttäjätietovaihtoehtoa, sinun on luotava käyttäjätiedot itse ja määritettävä heille oikeudet, jotka agentti tarvitsee ennen asennusta. Lisätietoja käyttäjätilin luomisesta on kohdassa Uuden käyttäjän luominen.

    Kun yhdistät agentin tiliin, suosittelemme pitkän tilin vanhenemispäivän määrittämistä ja sen todennustilan tarkkaa seurantaa agentin jatkuvan toiminnan varmistamiseksi. Jos todennus vanhenee, agentti lakkaa toimimasta, kunnes se uusitaan.

    Agentin määrittämät käyttäjätiedot eivät ole yhteensopivia PIM:n tai TAP:n kanssa, koska ne eivät tue pitkän aikavälin taustatoimintoja.

    Vihje

    Käytä erillistä käyttäjätietotiliä, jolla on agentin vähimmäisoikeudet. Kun luot tiliä, määritä erillinen näyttönimi, kuten Suojaushälytysagentti, jotta se tunnistetaan helposti Microsoft Defender portaalissa.

    Määritä Security Copilot ehdolliset käyttöoikeuskäytännöt, jotta agentti voi toimia sille luodun käyttäjätilin perusteella. Lisätietoja on artikkelissa Microsoft Security Copilot ehdollisten käyttöoikeuskäytäntöjen vianmääritys.

Huomautus

Voit muuttaa agentin käyttäjätietoja asennuksen jälkeen kohdassa Muokkaa agentin asetuksia kuvatulla tavalla.

Käyttöoikeuksien määrittäminen

Pienin oikeuksien periaatteen mukaisesti suosittelemme määrittämään agentin käyttäjätietoihin vain oikeudet, joita suojaushälytysagentti tarvitsee tehtäviensä suorittamiseen.

  • Jos käytät agentin tunnusta, avattava valikko näyttää vain ne organisaatiosi roolit, joilla on agentin tarvitsemat käyttöoikeudet. Valitse aiemmin luotu rooli organisaatiossasi tai luo automaattisesti uusi rooli, jolla on tarvittavat käyttöoikeudet, jos sinulla ei vielä ole sopivaa rooliasetusta.

    Näyttökuva Uuden agentin käyttäjätietojen luominen -näytöstä Ohjatussa Suojausilmoitus triage-agentin määrityksessä.

  • Jos käytät aiemmin luotua käyttäjätiliä, sinun on määritettävä tarvittavat käyttöoikeudet kyseiselle käyttäjälle ennen agentin käyttäjätietojen määrittämistä asennuksen aikana. Et voi tehdä tätä ohjatusta määrityksestä.

    Näyttökuva Yhteyden muodostaminen olemassa olevaan käyttäjätiliin -näytöstä ohjatussa Suojausilmoitus triage agentin määrityksessä

Suojaushälytys Triage Agentin edellyttämät käyttöoikeudet

Suojaushälytysagentti edellyttää erityisiä käyttöoikeuksia tarvittavien tietojen käyttämiseen ja triage-funktioiden suorittamiseen. Pakolliset käyttöoikeudet riippuvat ilmoitustyypeistä ja niihin liittyvistä tuotteista, joiden kanssa haluat agentin työskentelevän.

Tässä taulukossa on yhteenveto kunkin ilmoitustyypin vaadituista käyttöoikeuksista ja tietoalueista:

Ilmoituksen tyyppi Käyttöoikeudet Tietoalueet
Sähköposti- ja yhteistyöilmoitukset, mukaan lukien tietojenkalastelu Security Copilot (luku), suojaustietojen perusteet (luku), ilmoitukset (hallinta), sähköpostin & yhteistyön metatiedot (luku), sähköposti & yhteistyösisältö (luku) Microsoft Defender for Office 365
Pilvi-ilmoitukset, mukaan lukien säilöt Security Copilot (luku), suojaustietojen perusteet (luku), ilmoitukset (hallitse) Microsoft Defender for Cloud
Käyttäjätietoilmoitukset Security Copilot (luku), suojaustietojen perusteet (luku), ilmoitukset (hallitse) Microsoft Defender for Identity ja Microsoft Defender for Cloud Apps

Nämä oikeudet kuuluvat Suojaustoimintojen käyttöoikeudet -ryhmään:

Näyttökuva Hälytys triage-toiminnolle vaadituista käyttöoikeuksista

Roolin luominen manuaalisesti:

  1. Varmista, että asianmukaiset yhdistetyt RBAC-kuormitukset on aktivoitu, jotta agentti voi analysoida hälytyksiä tehokkaasti kattavalla kontekstilla. Noudata kuormituskohtaisia edellytyksiä koskevia ohjeita.

  2. Luo rooli , jolla on tarvittavat oikeudet, tai määritä olemassa oleva rooli näillä käyttöoikeuksilla edustajalle.

    Varmista, että myönnät roolikäyttöoikeuden kaikille asiaankuuluville tietolähteille niiden tuettujen ilmoitusten perusteella, jotka haluat liittää suojausilmoitusten triage-agenttiin.

    Näyttökuva suojaushälytyksen triagen tarvittavista tietolähteistä

  3. Määritä rooli agentin käyttäjätietoihin.

Tärkeää

Kun olet määrittänyt edustajalle sen käyttöoikeudet, varmista, että edustajaa valvovalla käyttäjäryhmällä on samat tai suuremmat oikeudet valvoa sen toimintaa ja tulosta. Voit tehdä tämän vertaamaan käyttäjäryhmän käyttöoikeuksia agentin käyttöoikeuksiin Microsoft Defender portaalin Käyttöoikeudet-sivulla.

Suojaushälytyksen triagentin käyttäminen

Edustaja auttaa suojausryhmiä hallitsemaan organisaatioille päivittäin vastaanottavien ilmoitusten suurta määrää lajittelemalla tuetut hälytykset automaattisesti ja päivittämällä niiden luokituksen ja tilan Microsoft Defender tapauksissa.

Agentin käynnistin ja työnkulku

Asennuksen jälkeen suojaushälytysagentti suoritetaan automaattisesti, kun asianmukainen ilmoitus luodaan. Tämän jälkeen agentti analysoi hälytyksen itsenäisesti kehittyneillä tekoälytyökaluilla ja organisaatiosi kontekstilla selvittääkseen, onko liittyvä uhka haitallinen vai vain väärä hälytys.

Jos ilmoitus on määritetty vääräksi hälytykseksi, edustaja luokittelee sen false-positiiviseksi ja ratkaisee sen vastaavasti. Jos ilmoitusta pidetään pahantahtoisena, se luokitellaan True-positiiviseksi, ja siihen liittyvän tapauksen tila pysyy avoimena ja käynnissä analyytikolle, joka tutkii asiaa ja ryhtyy lisätoimiin.

Edustaja antaa yksityiskohtaisen selityksen tuomiostaan jokaiselle käsittelemalleen ilmoitulle vastaavassa tapauksessa.

Tee yhteistyötä agentin kanssa

Läpinäkyvyyden säilyttämiseksi edustaja päivittää tapahtumakenttiä rutiininomaisesti triage-prosessin aikana. Kun triaging alkaa, agentti määrittää hälytyksen itselleen ja lisää Agent-tunnisteen vastaavaan tapaukseen. Analyytikot voivat suodattaa tapausjonon nähdäkseen vain agentin merkitsemät tapaukset, mikä yksinkertaistaa valvontaa ja priorisointia.

Vihje

Voit myös suodattaa tapausjonon käyttämällä suojaushälytysagentille määrittämiesi käyttäjätietojen nimeä nähdäksesi tapaukset, joita agentti aktiivisesti työstää.

Kun hälytys tunnistetaan todelliseksi uhaksi, suojaushälytysagentti merkitsee sen True-positiiviseksi, jolloin analyytikot voivat suodattaa ja priorisoida tapauksia vahvistettujen luokitusten perusteella.

Näyttökuva tapahtumajonosta, joka on suodatettu Suojausilmoitus Triage Agent -tunnisteen mukaan

Läpinäkyvyys ja selitettävyys ilmoitusten yhteydessä

Suojaushälytysagentti antaa jokaiselle käsittelemälleen ilmoituksille yksityiskohtaisen selvityksen tuomiostaan ja graafisen esityksen päätöksentekotyönkulusta.

Jos haluat tarkastella agentin havaintoja, toimi seuraavasti:

  1. Valitse tapaus tapausjonosta.

  2. Etsi tapaussivulta Suojausilmoitus Triage Agent -kortti Copilot- tai Tehtävät-sivupaneelista Ohjatun vastauksen triage-osiosta. Tehtävä on merkitty valmiiksi ja määritetty edustajalle. Kortti esittää agentin tuomion sen luokituksen perusteella ja korostaa tärkeimmät todisteet, jotka ilmoittivat päätöksestä.

    Näyttökuva tapaussivusta, jossa on korostettu suojausilmoitus triage-agenttikortti

  3. Voit valita Lisää toimintoja -ellipsikuvakkeen, jos haluat nähdä lisätietoja ilmoituksesta, kopioida edustajan luokitustiedot leikepöydälle tai hallita palautetta.

    Näyttökuva, jossa korostetaan suojausilmoitusten triage-agentin kortin lisää toimintoasetuksia

  4. Jos haluat tarkastella ohjeita, jotka agentti suoritti ennen luokituksen saavuttamista, valitse Näytä agentin toiminta Suojaushälytys triagentin agentti -kortissa. Tämä osoittaa agentin lopullisen luokituksen taustalla olevan logiikan.

    Näyttökuva, jossa korostetaan Näytä agentin toiminta -ruutua.

Opeta edustajasi kontekstia palautteen avulla

Tärkeää

Palautevaihtoehto on tällä hetkellä käytettävissä vain sähköposti- ja yhteistyöilmoituksille.

Tuetuissa ilmoitustyypeissä analyytikot voivat halutessaan antaa palautetta agenttiluokitteluista tavallisella, luonnollisella kielellä ilman monimutkaisia määrityksiä. Valtuutetut käyttäjät voivat tarkastella palautetta, arvioida sitä ja käyttää sitä eksplisiittisesti vaikuttaakseen siihen, miten agentti luokittelee samankaltaisia ilmoituksia tulevaisuudessa. Tämä ominaisuus on tällä hetkellä käytettävissä vain sähköposti- ja yhteistyöilmoituksille.

Jos haluat antaa palautetta ja opettaa edustajaa, toimi seuraavasti:

  1. Etsi tapaussivulta Suojaushälytys Triage Agent -kortti Copilot- tai Tehtävät-sivupaneelista Ohjatun vastauksen triage-osiosta.

  2. Tarkista agentin luokitus ja perustelut, jotka näkyvät kortin otsikossa ja sisällössä. Jos päätös ei vastaa organisaatiosi luokitusehtoja, valitse Muuta luokitusta. Vaihtoehtoisesti voit päivittää luokituksen valitsemalla haluamasi ilmoituksen Ilmoitukset-välilehdestä ja valitsemalla sitten Hallitse ilmoitusta.

    Näyttökuva, jossa korostetaan Muuta luokitusta -asetusta Suojaushälytys Triage Agent -kortissa

  3. Valitse Ilmoitusten hallinta - ruudussa uusi luokitus avattavasta Luokitus-valikosta . Anna sitten muutokselle syy täyttämällä Miksi muutit tätä luokituskenttää . Tämä vaihe kirjaa syötteesi palautteen hallintasivulle vain valvontatarkoituksiin. Edustaja ei käytä tätä palautetta päätöksenteon parantamiseen, ennen kuin valitset eksplisiittisesti Käytä tätä palautetta agentin opettamiseksi. Jos et halua käyttää tätä palautetta agentin opettamiseen, voit valita Tallenna, jolloin vain valvot palautetta lisäämättä sitä edustajan muistiin.

    Näyttökuva luokitus- ja palautekenttien korostamisesta Ilmoitusten hallinta -ruudussa

  4. Jos haluat ottaa palautteesi käyttöön, valitse Opeta edustajaa tämän palautteen avulla. Voit käyttää opasta palautteen kirjoittamiseen , jotta voit luoda tehokkaan syötteen, ja valita sitten Arvioi palautetta , jotta voit esikatsella, miten agentti kääntää palautteesi oppitunniksi, ja arvioida, vastaako tulos tarkoitustasi. Lisäksi palautteen arviointi suorittaa perustason turvallisuustarkistuksia sen varmistamiseksi, että sovelletulla palautteella on merkitystä agentin käyttöön eikä se ole ristiriidassa aiemman palautteen kanssa.

    Huomautus

    Voit antaa palautetta edustajalle vain kerran ilmoitusta kohden, ja sen avulla voidaan opettaa edustajalle sähköposti- ja yhteistyöilmoitusten luokittelu erityisesti valitsemalla joko Tosi positiivinen (tietojenkalastelu) tai False-positiivinen (ei haitallinen). Tarkista aina palautteesi ja tarkista tekoälyn luoma vastaus ennen oppitunnin tallentamista.

  5. Jos tulos vastaa odotuksiasi, voit lisätä oppitunnin agentin muistiin vaikuttaaksesi sen tuleviin päätöksiin. Tallenna oppitunti valitsemalla Tallenna ja tallenna se tarvittaessa oppituntina agentin muistiin. Kaikki palaute tallennetaan valvontatarkoituksia varten, ja agentin muistiin lisätyt oppitunnit voidaan tarkistaa myöhemmin palautteen hallintasivulla.

Edustaja käyttää tallennettua palautetta triageen ja luokittelee vastaavat hälytykset tulevaisuudessa. Kun vastaanotetaan asiaankuuluva ilmoitus, joka vastaa palauteominaisuuksia, edustaja soveltaa tätä palautetta määrittääkseen sen luokituksen ja sisällyttää sen tukevaksi todisteeksi päätöksentekoprosessissaan.

Palautteen kirjoittamisen parhaat käytännöt

Oppitunnit tarjoavat järjestelmällisiä ohjeita, jotka auttavat edustajaa määrittämään, onko hälytys todellinen tietojenkalasteluuhka vai väärä hälytys. Varmista, että agentti sisällyttää palautteesi tehokkaasti noudattamalla näitä parhaita käytäntöjä antaessaan tietoja suojaushälytysagentille:

  1. Varmista, että palaute on merkityksellistä ja tilannekohtaista. Palautteen tulee koskee vain parhaillaan tarkistettavana olevaa sähköpostiviestiä. Sen on myös oltava yhdenmukainen määrittämäsi päivitetyn luokituksen kanssa.
  2. Ole kuvaava ja tarkka. Selitetään selvästi sähköpostin ominaisuudet. Anna aiheeseen liittyvät tiedot, kuten sähköpostiviestin aihe, viestin teksti, lähettäjä tai vastaanottajat, jotta agentti ymmärtää kontekstin. Tietty palaute, jossa on useita tietoja, parantaa tehokkuutta.
  3. Varmista selkeys ja päättäväisyys. Vältä epämääräisiä tai universaaleja lausuntoja. Anna palautetta, joka on selkeää ja toteutettavissa. Käytä ratkaisevia ja selkeitä tunnistustermejä.
  4. Ole johdonmukainen aiemman palautteen kanssa. Varmista, että uusi palaute vastaa aiemmin annettua, jotta vältetään ristiriidat, jotka saattavat hämmentää edustajaa tai pienentää sen päätösten tarkkuutta. Voit tarkastella kaikkia aiemmin lähetettyjä syötteitä Palautteen hallinta -sivulla.
  5. Tarkista edustajan tulkinta palautteestasi. Kun lähetät palautetta, varmista aina, että palaute on käännetty oikein oppitunniksi. Vahvista, että oppitunti vastaa tarkoitustasi ja että se on yhdenmukainen alkuperäisen syötteesi kanssa. Tarkistetaan tekoälyn luomien vastausten oikeellisuus sen varmistamiseksi, että ne soveltuvat skenaarioon.

Seuraavassa on esimerkkejä siitä, miten voit kirjoittaa palautteesi edustajalle.

Alue Esimerkkejä kirjoitetusta palautteesta Esimerkkejä palautteesta, joka voi johtaa epäonnistumiseen Vertailu
Palaute lähettäjästä Kaikki sähköpostit, joiden väitetään olevan etuuspalveluntarjoajilta, ovat peräisin kohteesta @benefits.company.com. Välikohtauksen toisen hälytyksen lähettäjä ei ole oikeutettu. Palautteen on liityttävä nykyisessä hälytyksessä olevaan sähköpostiviestiin ja sen kontekstiin. Se sidotaan valittuun luokitukseen (vaikka sitä ei olisi mainittu erikseen palautteessa) ja sitä käytetään vastaaviin tuleviin hälytyksiin.
Palaute lähettäjästä ja sähköpostin tekstistä Tiedostojen jakamista tai tiedoston käyttöä tarjoavan sähköpostin tulee olla peräisin vain valtuutetulta palveluntarjoajaltamme Contoso.com. Tiedostojen jakamista tai tiedostojen käyttöä tarjoavan sähköpostin tulee olla peräisin vain valtuutetuilta palveluntarjoajiltamme. Hyvin kirjoitetussa palautteessa ilmoitetaan selvästi tietyt vaatimukset (esimerkiksi lähettäjän toimialue), kun taas epämääräiset viittaukset (esimerkiksi "valtuutetut palveluntarjoajat") eivät sisällä toiminnallisia tietoja.
Palaute sähköpostin aiheesta Sähköpostiviestiä, jonka aihe sisältää laskutuspyynnön, ei sallita organisaatiossamme, ja sitä pidetään tietojenkalasteluna. Jos aiheessa on positiivinen luonnollinen asenne, se on oikeutettua. Kuvaava ja täsmällinen palaute voidaan vahvistaa tehokkaasti, kun taas subjektiivinen palaute voi johtaa tahattomaan lopputulokseen.
Palaute sähköpostiviestin leipätekstistä Tunnistetietojen tarkistamista pyytävien sähköpostiviestien tulee sisältää viittaus tiettyyn tiliin tai palveluun. Kaikkia yleisiä "vahvista tilisi" -pyynnöt ilman tietoja on käsiteltävä tietojen kalasteluna. Tätä sähköpostiviestiä tulee käsitellä tietojenkalasteluna. Palaute, joka sisältää yksityiskohtaisia tietoja, ymmärretään todennäköisemmin selvästi, kun taas palautetta, jossa ei ole yksityiskohtaisia tietoja, voidaan tulkita eri tavoin ja se voi johtaa arvaamattomiin tuloksiin.
Palaute vastaanottajasta ja sähköpostiviestin tekstistä Tämä sähköpostiviesti lähetettiin useille työntekijöille, ja leipäteksti kehottaa vastaanottajia lataamaan "tärkeän liitteen" kuvailematta sen sisältöä – lailliset sähköpostiviestit määrittävät aina liitteen tiedot. Joukko sisäiset sähköpostiviestit liitteineen ovat tietojenkalastelua. Palaute, joka korostaa tiettyjä puuttuvia tietoja, joita usein löytyy laillisista sähköposteista, on tehokkaampaa. Palaute, joka sisältää laajoja yleistyksiä (joukkosähköposteja) tai epämääräisiä termejä (kuten "sisäinen"), voi johtaa liialliseen määrään tosia positiivisia.
Palautetta vastaanottajasta ja toimialueista Uudet alihankkijan perehdyttämissähköpostit tulee lähettää sähköpostiosoitteisiin vain v-:stä alkaen sen varmistamiseksi, että ne ohjataan oikeille vastaanottajille. Urakoitsijan sähköpostit näyttävät erilaisilta kuin tavallisesti, joten ne saattavat olla tietojenkalastelu. Hyvin kirjoitettu palaute määrittää selvästi odotetun vastaanottajamuodon, kun taas palaute, joka on päättämätöntä ("voi olla") ja josta puuttuu selkeät tunnistusehdot ("näyttää erilaiselta" määrittämättä, mikä on erilaista), tekee tunnistamisesta epäluotettavan.

Palautevirheiden ratkaiseminen

Kun agentti ottaa palautteesi, se käännetään oppitunniksi. Jos edustaja ei onnistu tulkitsemaan palautetta, saat ilmoituksen epäonnistumisen aiheuttaneesta viestistä. Voit korjata nämä virheet agentin palauttaman viestin perusteella.

Seuraavassa on esimerkkejä virheistä, joita saatat kohdata kirjoittaessasi palautetta edustajalle ja miten voit ratkaista ne.

Virhesanoma Suositeltu toiminto
Näyttökuvassa on virhesanoma epäolennaisista tiedoista annetussa
palautteessa Osaa annetusta palautteesta ei voida käsitellä, koska agentti ei tällä hetkellä tue tämäntyyppistä syötettä, joten sitä ei voitu kääntää oppitunnille ollenkaan.		 Kirjoita palautteesi uudelleen ja varmista, että se noudattaa parhaita käytäntöjä. Yritä uudelleen valitsemalla Laske palaute .
Näyttökuvassa on virhesanoma ominaisuuksista, joita ei tueta annetussa
palautteessa Palaute sisältää syötteen, jota agentti voi tukea, mutta se ei ole merkityksellinen käsillä olevan sähköpostiviestin kannalta, joten sitä ei voitu kääntää toiminnalliseksi oppitunniksi tallennettavaksi muistiin.		 Kirjoita palautteesi uudelleen ja varmista, että se käsittelee sähköpostin kuvauksia, joita se voi tukea. Valitse sitten Arvioi palaute ja yritä uudelleen.
Näyttökuva ristiriitaisten tietojen virhesanomasta annetussa
palautteessa Annettu palaute on ristiriidassa aiemman samanlaiselle sähköpostille annetun palautteen kanssa.		 Hae palautteen hallintasivulta palautetunnus, jotta näet palautteen, jonka kanssa se on ristiriidassa. Arviosi perusteella voit tehdä seuraavaa:
- Hylkää aiempi palaute palautteen hallintasivulla. Sen jälkeen voit yrittää lisätä palautteesi uudelleen valitsemalla Arvioi .
- Kirjoita antamasi palaute uudelleen tavalla, joka ei ole ristiriidassa, ja valitse sitten Arvioi palautetta agentille, jos haluat arvioida uuden syötteesi uudelleen.

Huomautus

Voit olla ratkaisematta palautevirheitä. Voit jättää palautteesi ja valita Tallenna valitsematta agentin opetusruutua. Palautetta ei tallenneta agentin muistiin, ja se dokumentoidaan vain palautteen hallintasivulla tulevia luokitusmuutoksia varten.

Kun soveltuva palaute hyväksytään ja tallennetaan, edustaja voi ottaa sen käyttöön, kun samankaltaisia ilmoituksia lajiteltaessa tulevaisuudessa, samoilla käyttöoikeuksilla ja ohjausobjekteilla.

Suojaushälytysagentin valvonta ja hallinta

Jos haluat tarkastella agentin arvoja ja hallita agenttia, siirry tapausjonon Suojaushälytys Triage Agent -korttiin tai Agents-sivulle:

  • Jos haluat avata suojaushälytysagentin sivun suoraan, valitse Security Copilot > Agentit, etsi Suojaushälytys triage-agentti kohdasta Käytössä olevat agentit ja valitse Siirry edustajaan.

    Tämä sivu koostuu kahdesta välilehdestä: Yleiskatsaus ja Suorituskyky.

    • Yleiskatsaus-välilehdessä on tietoja agentin nykyisestä tilasta, identiteetistä, roolista ja viimeisimmästä toiminnasta.

      Näyttökuva Yleiskatsaus-välilehdestä Suojausilmoitus triage-agentti -sivulla.

      Valitse toiminta Viimeisimmät-toimintaluettelosta , jos haluat tarkastella agentin tutkimuksen tietoja ja agentin koko työnkulkua.

      Näyttökuva Toiminnan tiedot -ruudusta, joka avautuu Suojaushälytysasiamies-sivulta.

      Valitse Näytä koko agentin työnkulku , niin näet graafisen esityksen edustajan kyseisen toiminnon päätöksentekoprosessista.

      Näyttökuva agentin koko työnkulun sivusta, joka avautuu Suojausilmoitus triage-agentti -sivulta.

    • Suorituskyky-välilehdessä näkyvät tärkeimmät mittausarvot agentin toiminnasta ajan kuluessa, mukaan lukien päivittäinen toiminta, keskimääräinen aika triage-aikaan (MTTT) ja SCU-kulutus.

      Näyttökuva suojausilmoitusten triage-agentin sivun Suorituskyky-välilehdestä.

    Valitse kolme pistettä (...) sivun oikeasta yläkulmasta agentin hallintavaihtoehtojen käyttämiseksi alla olevien osioiden mukaisesti.

    Pysäytä tai käynnistä agentti tilapäisesti uudelleen valitsemalla Keskeytä tai Suorita .

  • Jos haluat avata tietoturvahälytysagentin kortin tapausjonossa, valitse Tutkinta & vastaustapaukset > & hälytykset > Tapaukset .

    Tapausjonon yläpuolella olevassa Turvallisuushälytys Triage Agent -kortissa näkyy joitakin agentin keskeisiä mittareita, kuten käsiteltyjä tapauksia, jotka ovat tapauksia, jotka sisältävät hälytyksiä, jotka agentti luokitteli todellisiksi uhkiksi tai vääriksi hälytyksiksi.

    Nämä tiedot auttavat havainnollistamaan agentin vaikutusta, ja niiden avulla voidaan informoida laajempia strategisia keskusteluja, korostaa sijoitetun pääoman tuottoa tai tukea päätöksiä, jotka koskevat skaalauksen automaatiota koko organisaatiossasi.

    Mittarit lasketaan agentin toiminnan perusteella, joko sen ensimmäisestä tallennetuista tapahtumista tai viimeisten 30 päivän ajalta - sen mukaan, kumpi on uudempi.

    Näyttökuva tapahtumajonosta, jossa on korostettu suojausilmoitusten triage-agenttikortti.

    Avaa Suojausilmoitus Triage Agent -sivu, jossa on enemmän suorituskykymittareita ja hallintavaihtoehtoja, valitsemalla kortista Hallitse agenttia.

Muokkaa agentin asetuksia

Agentin asetusten muokkaaminen:

  1. Valitse Security Copilot > agentit.

  2. Etsi suojaushälytys triage-agentti kohdasta Käytössä olevat agentit ja valitse Siirry edustajaan.

  3. Valitse kolme pistettä (...) > Muokkaa agenttiaSuojausilmoitus Triage Agent -sivun oikeassa yläkulmassa.

    Muokkaa agenttia -sivulla on kolme välilehteä:

    • Käyttäjätiedot ja rooli – Muuta agentin käyttäjätietoja. Valitse Valitse uudet käyttäjätiedot ja noudata ohjeita kohdassa Agentin käyttäjätietojen ja käyttöoikeuksien määrittäminen.

    • Palaute – Tarkastele ja hallitse käyttäjän lähettämää palautetta. Lisätietoja on artikkelissa Agentin palautteen tarkasteleminen ja hallinta.

    • Tuetut ilmoitukset – Näytä, mitä tuettuja ilmoitustyyppejä agentti voi käsitellä. Voit aktivoida agentin tietyt ilmoitustyypit tai poistaa niiden aktivoinnin seuraavasti:

      1. Avaa Agentin tukemat ilmoitukset -sivu valitsemalla Muokkaa tuettuja ilmoituksia.

        Näyttökuva Muokkaa tuettuja ilmoituksia -vaihtoehdosta Muokkaa agenttia -sivulla.

      2. Vaihda yksittäisten ilmoitustyyppien tiedot käyttöön tai poista ne käytöstä ja valitse Päivitä.

        Näyttökuva Agentin tukemasta ilmoitussivusta, jossa on kunkin ilmoitustyypin vaihtopainikkeet.

      3. Ota päivitykset käyttöön valitsemalla Päivitä roolien käyttöoikeudet .

        Näyttökuva Agentin tukemasta hälytyspaneelista, jossa on sähköposti-, pilvi- ja käyttäjätietoilmoitusten vaihtopainikkeet sekä Korostettu Päivitys-painike.

Tarkastele ja hallitse palautetta edustajalle

Suojaushälytysagentti oppii käyttäjän lähettämästä palautteesta ja parantaa sen suorituskykyä ajan mittaan. Se tallentaa soveltuvan palautteen muistiinsa oppitunteina. Voit tarkastella ja hallita suojausilmoitusten triage-agentin palautetta Agentin palautesivulla .

Tämä sivu sisältää kattavan luettelon kaikista agentille lähetetyistä palautteesta. Voit tarkistaa jokaisen palautteen tärkeimmät tiedot, mukaan lukien:

  • Edustajan alkuperäinen luokitus ja käyttäjän soveltama muutos
  • Käyttäjän antama alkuperäinen palaute luokitusta muutettaessa
  • Agentin luoma käännetty oppitunti (jos käytettävissä)
  • Palautteen tila: käytössä, ei käytössä tai ristiriita
  • Palautteen antanut käyttäjä
  • Palautteen lähetyspäivämäärä, palautetunnus, hälytystunnus ja tapahtumatunnus

Näyttökuva Palautteen hallinta -sivusta

Tässä taulukossa kerrotaan palautetilanteista:

Tila Kuvaus
Käytössä Palaute muunnettiin agentin muistin oppitunniksi, ja sitä käytetään aktiivisesti samankaltaisten tapausten lajittelemiseen ja luokittelemiseen.
Konflikti Annettu palaute oli ristiriidassa aiemmin annetun palautteen kanssa vastaavassa tapauksessa. Lue, miten voit ratkaista palautevirheitä.
Ei käytössä Palautetta ei sisällytetty edustajan muistiin tai käyttäjä ei merkinnyt sitä opettamista varten. Hylätyt oppitunnit näkyvät muodossa "ei käytössä", ja ne tallennetaan vain valvontaa varten, ei tapausten lajittelemista ja luokittelua varten. Saat lisätietoja valitsemalla tietopaneelin.

Vihje

Palautetta voi hallita vain erikseen. Useiden palautemerkintöjen joukkohallintaa ei tällä hetkellä tueta.

Käyttäjän lähettämän palautteen tarkasteleminen ja hallinta:

  1. Valitse Security Copilot > agenteista, etsi suojausilmoitusten triage-agentti käytössä olevien agenttien alta ja valitse Siirry edustajaan.

  2. Valitse kolme pistettä (...) > Muokkaa agenttia sivun oikeassa yläkulmassa. Tämä avaa Muokkaa agenttia -sivun.

  3. Avaa Agentin palautesivu valitsemalla Vasemmassa ruudussa Palaute.

  4. Avaa Palaute-ruutu valitsemalla merkintä palauteluettelosta.

  5. Tarkista annetun palautteen tiedot, edustajan oppitunti, luokituksen muutokset ja muut tärkeät tiedot.

    Näyttökuva Tarkista palaute -ruudusta

  6. Jos haluat hylätä tietyn palautteen, valitse Hylkää palaute. Edustaja lopettaa palautteen käyttämisen tulevissa triage-päätöksissä.

    Huomautus

    Jos haluat hylätä annetun palautteen, tarvitset suojauksen järjestelmänvalvojan roolin Microsoft Entra ID.

Poista agentti

Kun poistat agentin, uusien tapausten triage ja luokitus pysähtyvät ja kaikki palaute poistetaan. Aiemmin kolminaisten tapahtumien historia säilytetään kuitenkin sinun viitteesi vuoksi.

Agentin poistaminen:

  1. Valitse Security Copilot > agenteista, etsi suojausilmoitusten triage-agentti käytössä olevien agenttien alta ja valitse Siirry edustajaan.
  2. Valitse sivun oikeasta yläkulmasta kolme pistettä (...) ja valitse sitten Poista.

Usein kysytyt kysymykset

Seuraavassa on vastauksia usein kysyttyihin kysymyksiin, jotka koskevat Suojaushälytys triage-agenttia. Lisätietoja agentin ominaisuuksista ja vaatimuksista on tämän artikkelin osiossa Suojausilmoitusten triage-agentin toiminta ja edellytykset .

Mikä on triage-agentti, miten se eroaa tietojenkalastelun triage-agentista ja miten olen perillä, jos käytän agenttia jo tietojenkalasteluhälytyksiin?

Suojaushälytysagentti on Microsoft Defender autonominen Microsoft Security Copilot-agenttiti, joka auttaa suojaustiimejä tarkastelemaan hälytyksiä suuressa mittakaavassa. Se arvioi hälytyksiä tekoälypohjaisella päättelyllä, päätyy tuomioon ja kirjaa päätelmänsä suoraan Microsoft Defender tapauksiin auttaakseen analyytikoita priorisoimaan toimia edellyttäviä toimia.

Suojaushälytysagentti on sama agentti kuin tietojenkalastelun triage-agentti, joka on laajennettu tekemään lisäilmoitustyyppejä sähköpostin ja yhteistyön lisäksi. Suojaushälytysagentti on modulaarinen - voit valita, mitkä ilmoitustyypit haluat agentin lajittelevan. Agentti ulottuu nyt käyttäjätieto- ja pilvi-hälytyksiin alkaen säilöistä, jotka ovat tällä hetkellä esikatselussa. Sähköposti- ja yhteistyöilmoitusten triage-ominaisuudet ovat jo yleisesti saatavilla (GA). Tuettujen ilmoitusten joukon odotetaan kasvavan ajan myötä.

Jos käytät jo tietojenkalastelun triage-agenttia, sinun ei tarvitse asentaa uutta agenttia. Nykyinen edustaja jatkaa toimintaansa, ja voit ottaa muut ilmoitustyypit käyttöön määrityksen kautta. Jos haluat ottaa käyttöön laajennetut ominaisuudet, tarkista lisäilmoitustyyppien edellytykset ja muokkaa agentin asetuksia ja valitse käyttöön otettavat ilmoitustyypit.

Tietojenkalastelun nykyinen määritys ja palaute siirretään automaattisesti. Lisätietoja on artikkelissa Suojaushälytys triage agentin toiminta ja Suojaushälytys-triage-agentin määrittäminen.

Milloin agentti käynnistetään?

Tämä agentti suoritetaan automaattisesti, kun uusi ilmoitus havaitaan. Sisäiset säätösäännöt, joilla ratkaistaan tuetut ilmoitustyypit, poistetaan käytöstä asennuksen aikana.

Voiko suojaushälytysagenttiin luottaa?

Microsoft AI edustajat noudattavat tiukkoja vastuullisia tekoälyohjeita ja käyvät läpi perusteelliset tarkistukset varmistaakseen, että kaikki tekoälystandardit ja -suojatoimet täyttyvät. Suojaushälytysagentti on täysin sisällytetty näihin ohjausobjekteihin. Asennuksen aikana määrität agentille käyttäjätiedot ja määrität sille sen toiminnon edellyttämät vähimmäisoikeudet ja varmistat, ettei sillä ole tarpeettomia käyttöoikeuksia. Kaikki agenttitoiminnot kirjataan yksityiskohtaisesti, ja koko työnkulku on analyytikoiden ja järjestelmänvalvojien tarkasteltavissa milloin tahansa. Edustajalle annettu palaute, jonka avulla se voi sopeutua organisaation ympäristöön, kirjataan, se näkyy järjestelmässä, ja sitä voi tarvittaessa tarkastella ja muokata järjestelmänvalvojien toimesta.

Miten aine eroaa tavallisesta SOAR-ratkaisusta?

Vaikka sekä SOAR-ratkaisut että suojaushälytysagentti automatisoivat suojaustoimintojen näkökohtia, ne käyttävät erilaisia lähestymistapoja.

SOAR-ratkaisut perustuvat yleensä ennalta määritettyihin sääntöpohjaisiin työnkulkuihin, jotka edellyttävät manuaalista määritystä ja jatkuvaa ylläpitoa. Suojaushälytysagentti sen sijaan käyttää päättelyperusteista analyysia Microsoft Defender sisältämien hälytysten ja tietueluokitusten lajittelemiseen sekä inhimilliseen valvontaan ja valinnaiseen palautteeseen, jos sitä tuetaan.

Edustaja toimii määritetyissä käyttöoikeuksissa ja työnkuluissa Microsoft Defender eikä korvaa olemassa olevia tutkinta- tai vastaustyökaluja.

Minkä tasoista näkyvyyttä ja hallintaa minulla on agentin suhteen?

Microsoft tarjoaa organisaatioille työkaluja, joiden avulla ne voivat ylläpitää näkyvyyttä tietoturvahälytysagenttiin ja hallita sitä käyttöönotosta jatkuvien toimintojen kautta. Agentit noudattavat Microsoftin vastuullisia tekoälystandardeja oikeudenmukaisuudesta, luotettavuudesta, turvallisuudesta, tietosuojasta, turvallisuudesta, osallistamisesta, läpinäkyvyydestä ja vastuuvelvollisuudesta. Järjestelmänvalvojat määrittävät agentin käyttäjätiedot ja käyttöoikeustasot asennuksen aikana pienintä oikeutta koskevien periaatteiden mukaisesti. Suojaus- ja IT-tiimit voivat valtuuttaa tiettyjä toimintoja, valvoa suorituskykyä ja tarkastella tuloksia suoraan Microsoft Defender. Järjestelmänvalvojat voivat määrittää myös kapasiteetin kulutuksen ja tietojen käyttörajoitukset.

Suojaushälytysagentti toimii nollaluottamusympäristössä. Järjestelmä valvoo organisaation käytäntöjä jokaiselle agentin toiminnolle arvioimalla kunkin toiminnon tarkoituksen ja laajuuden. Kaikki agentin tekemät päätökset, perustelut ja toimet dokumentoidaan läpinäkyvästi Defenderin päätöspuuksi ja kirjataan Microsoft Purview -valvontalokeihin jäljitettävyyden ja yhteensopivuuden varmistamiseksi.

Haluan kokeilla triage-agenttia, miten määritän sen Microsoft Defender?

Jotta voit määrittää agentin, sinulla on oltava käyttöoikeus Security Copilot Microsoft Defender ja täytettävä tarvittavat edellytykset. Jos et ole vielä perehdytnyt Security Copilot, katso Security Copilot käytön aloittaminen tai ota yhteyttä Microsoftin edustajaan. Kun olet perehdytnyt Security Copilot, agentin asetusvaihtoehdon tuleminen saataville Microsoft Defender portaalissa voi kestää jonkin aikaa.

Olen kokeillut turvallisuushälytysagenttia - miten voin arvioida organisaationi agentin tarvitseman SCU-kapasiteetin?

On tärkeää varmistaa, että organisaatiollasi on riittävät varastointiyksiköt kunnossa olevan agentin toimintaan. Jos haluat arvioida SCU:n käyttöä ja suunnitelman kapasiteettia jatkossa, tutustu Security Copilot portaalin Käytön seuranta -koontinäyttöön ja tarkista, onko sinulla oikeus varastointiyksiköihin osana Microsoft Security Copilot sisällytysmallia. Koontinäytössä näkyvät seuraavat:

  • Käsittelyn sähköpostikohtainen kustannus
  • Kapasiteetin kulutus ajan kuluessa

Voit myös viedä koontinäytön tiedot Exceliin tarkempia analyyseja varten ja suodattaa vain agenttitoimintoja.

Kun olet arvioinut SCU-käyttötarpeesi, päivitä organisaatiosi SCU-kapasiteetti. Lisätietoja varastointiyksiköiden hallinnasta on artikkelissa Suojauslaskennan yksikkökäytön hallinta Security Copilot.

Aiheeseen liittyvä sisältö

  • Last updated on