Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Käyttöönotetut tekoälyagentit toimivat itsenäisesti, käynnistävät työkaluja, käyttävät tietoja ja ryhtyvät toimiin eri järjestelmissä vastauksena luonnollisen kielen syötteeseen. Tämä tekee jatkuvasta tunnistamisesta, suorituksenaikaisesta suojauksesta ja tutkinnasta ratkaisevan tärkeää. Microsoft Defender havaitsee epäilyttävän ja pahantahtoisen agentin toiminnan, estää vaaralliset toimet reaaliajassa, antaa hälytyksiä lähes reaaliaikaisesti ja antaa tietoturvatiimeille mahdollisuuden tutkia tapauksia ja jäljittää koko pääsyy ja räjähdyksen säde.
Tässä artikkelissa kerrotaan, miten Microsoft Defender havaitsee, estää ja mahdollistaa sen, että suojaustiimit voivat tutkia Microsoft Agent 365 hallinnoiduille tekoälyagenteille kohdistuvia uhkia, mukaan lukien tuetuissa agenttiympäristöissä käytettävissä olevat laajennetut tunnistus- ja suojausominaisuudet.
Huomautus
Jotkin tässä artikkelissa kuvatut ominaisuudet edellyttävät tällä hetkellä perehdytystä Microsoft Defender for Cloud Apps kautta. Tämä on tilapäinen määritys, joka on osa Agent 365 tuotekokemusta. Organisaatiosi tarvitsee 1.7.2026 alkaen Agent 365-tilauksen, jotta se voi jatkaa agenttien suojaus- ja näkyvyysominaisuuksien käyttöä.
Estä vaaralliset tekoälyagentin toimet reaaliaikaisesti
Microsoft Defender tarjoaa reaaliaikaisen suojauksen (RTP), jotta tekoälyagentit eivät voi suorittaa vahingottomia toimia suorituksen aikana. Defender integroituu suoraan työ-IQ MCP:hen arvioidakseen tuetut agentin käynnistämät työkalukutsut ennen niiden suorittamista. Jos Defender määrittää, että toiminto on riskialtis, se estää toiminnon ennen kuin agentti suorittaa sen, estäen haitallisen käyttäytymisen.
Huomautus
Reaaliaikainen suojaus on käytettävissä vain tekoälyagenteille, jotka käyttävät tällä hetkellä töiden IQ MCP:ssä tuettuja työkaluja. Agentit, jotka käyttävät työkaluja, joita ei tueta tai jotka eivät ole integroituneet work IQ MCP:hen, eivät kuulu tämän ominaisuuden piiriin.
Reaaliaikaisessa suojauksessa keskitytään erittäin luotettavaan uhkaan, kuten:
- Yrittää poimia tai exfiltrate järjestelmäohjeita tai sisäisiä työkalun tietoja
- Suorat tietovuodot Arkaluonteiset tiedot
- Vain sisäisesti käytettävien työkalujen väärinkäyttö
- Tietojen reititys ei-luotettuihin tai haitallisiin kohteisiin
- Tarpeettoman tai piilotetun sisällön käyttö agentin toiminnan muokkaamiseen
- Tunnistetietojen vuotaminen luotettavien kanavien, kuten sähköpostin tai ulkoisten ohjelmointirajapintojen, kautta
Huomautus
Microsoft Copilot Studio avulla rakennetuille agenteille Microsoft Defender tarjoaa myös reaaliaikaisen suojauksen arvioimalla mallikehotteita ja vastauksia. Tämä ominaisuus ei riipu työ-IQ:sta.
Kun Microsoft Defender estää toiminnon, se luo yksityiskohtaisen ilmoituksen, jossa kerrotaan, mikä estettiin, miksi toimintoa pidettiin riskialttiina ja mikä agentti, käyttäjä ja työkalu olivat mukana. Näin varmistetaan, että suojaustiimit voivat tutkia estettyjä toimintoja tutuilla Defender-työnkuluilla.
Ota reaaliaikainen suojaus käyttöön
Jos haluat ottaa käyttöön reaaliaikaisen suojauksen tekoälyagenteillesi, toimi
ValitseAI-agenttienjärjestelmäasetusten>> suojaus. Tämä avaa Suojaus tekoälyagenteille -asetussivun.
Varmista, että tekoälyagenttien suojaus on käytössä.
Varmista, että Agent 365 on yhdistetty tekoälyn reaaliaikaisen suojauksen & tutkimuksessa.
Jos haluat ottaa Microsoft Copilot Studio agenteille käyttöön laajennetut reaaliaikaiset suojaustoiminnot, varmista, että Copilot Studio on yhdistetty tekoälyn reaaliaikaisen suojauksen & tutkimuksessa.
Lisätietoja on Copilot Studio integroinnissa Microsoft Defender for Cloud Apps.
Tekoälyagentin uhkien tunnistaminen lähes reaaliaikaisesti
Microsoft Defender valvoo jatkuvasti tekoälyagentin toimintaa ja havaitsee epäilyttävän ja pahantahtoisen toiminnan kaikissa Agent 365 hallituissa agenteissa. Defender analysoi agentin telemetriatietoja, työkalujen käyttöä ja suoritusmalleja tunnistaakseen uhkia, kuten pysyviä jailbreak-yrityksiä, epäilyttävää käyttäjän toimintaa, johon liittyy vankilamurtoyritys, ja epäilyttäviä agentin teloitusyrityksiä.
Microsoft Defender pintojen tunnistuksia lähes reaaliaikaisiksi hälytyksiksi Defender-portaalissa ja mahdollistaa sen, että suojaustiimit voivat tutkia niitä tuttujen suojaustoimintojen työnkulkujen avulla, mukaan lukien hälytyskommentti, tapausten korrelaatio ja kehittynyt metsästys.
Lisätietoja on Microsoft Defender portaalin kohdassa Tapaukset ja hälytykset.
Lähes reaaliaikaiset tunnistamiset perustuvat Agent 365 havaittavuustietoihin, mikä tarjoaa myös arvokkaan kontekstin tapausten ja uhkien metsästyksen tutkimiseen. Microsoft Defender analysoi nämä tiedot epäilyttävän agentin toiminnan tunnistamiseksi ja hälytysten luomiseksi.
Huomautus
agenteille, jotka on rakennettu Microsoft Copilot Studio ja Microsoft Foundrylla, Microsoft Defender tukee myös tunnistusta mallikehotteiden ja vastausten arvioinnin perusteella.
Ota käyttöön lähes reaaliaikaiset tunnistamiset ja edistynyt uhkien metsästys
Lähes reaaliaikaisten hälytysten ja uhkien metsästyksen mahdollistaminen:
- Salli Microsoft 365 -sovellusliittimen kerätä Agent 365 havaittavuustietoja tekoälyagentin toimintoja varten. Lisätietoja on artikkelissa Microsoft 365:n yhdistäminen Microsoft Defender for Cloud Apps.
- Varmista, että tekoälyagentisi lähettää todennettavuustietoja Microsoft 365:lle.
- Microsoft Copilot Studio avulla rakennetut agentit lähettävät oletusarvoisesti havainnoitavuustietoja Microsoft 365:een.
- Muille alustoille rakennettujen tekoälyagenttien osalta on mahdollista havainnoitavuus Microsoft Agent 365 SDK:n avulla, kuten Agent 365 kehityksen elinkaaridokumentaatiossa on kuvattu.
Ota käyttöön laajennetut lähes reaaliaikaiset tunnistuksia Microsoft Copilot Studio ja Microsoft Foundry -agenteille
Kun otat käyttöön tarvittavat ominaisuudet, Microsoft Copilot Studio ja Microsoft Foundrylla luoduilla agenteilla on laajennettu joukko lähes reaaliaikaisia tunnistusilmoituksia perusaikataulun ulkopuolella kaikkien Microsoft Agent 365 hallinnoimien agenttien käytettävissä.
Jos haluat ottaa käyttöön nämä laajennetut ominaisuudet, toimi seuraavasti:
- Lisätietoja Microsoft Foundry -agenteista on artikkelissa Microsoft Foundry AI -kuormitusten uhkien suojauksen ottaminen käyttöön.
- Jos kyseessä on Microsoft Copilot Studio edustaja, katso Copilot Studio integrointi Microsoft Defender for Cloud Apps.
Tutki tekoälyagentin uhkia ja etsi riskejä kehittyneen metsästyksen avulla
Microsoft Defender korreloi tekoälyagentin hälytykset tapauksiin ja tuo esiin liittyvän kontekstin, jotta tietoturvatiimit voivat nopeasti arvioida vaikutuksia ja priorisoida reagointia. Kehittynyt metsästys antaa analyytikoiden tehdä kyselyjä Agent 365 todennettavuustietoja käyttämällä Kusto Query Languagea (KQL) tutkiakseen tapauksia ja etsiäkseen riskejä koko ympäristössään.
Tapausten ja hälytysten tutkiminen
Microsoft Defender korreloi tekoälyagentin hälytykset, mukaan lukien lähes reaaliaikaiset tunnistuksia ja hälytyksiä, jotka luodaan, kun reaaliaikainen suojaus estää toiminnon, tapauksiin.
Tietoturva-analyytikot voivat käyttää tapauskaaviota ja tutkimuskokemusta ymmärtääkseen mahdollisen hyökkäyksen täyden kontekstin, mukaan lukien toisiinsa liittyvien entiteettien väliset suhteet ja tekoälyagentin uhkien räjähdyssäteen. Lisätietoja on Microsoft Defender portaalin kohdassa Tapaukset ja hälytykset.
Korreloi hälytyksiä ja Agent 365 todennettavuustietoja ja etsi riskejä kehittyneen metsästyksen avulla
Kehittynyt metsästys Microsoft Defender mahdollistaa sen, että suojaustiimit voivat kysellä Agent 365 todennettavuustietoja yhdessä muiden suojaustietojen kanssa käyttämällä Kusto Query Languagea (KQL). Tämä tukee ennakoivaa uhkien metsästystä, tapausten tutkintaa ja pääsyyn analysointia agenttien, sovellusten, käyttäjätietojen ja laitteiden välillä.
Käytä esimerkiksi kehittynyttä metsästystä kohteeseen:
- Jäljitä tietyt agenttityökalun kutsut ja korreloi ne liittyvien hälytysten kanssa tai estä tapahtumat
- Tutki havaitun tekoälyagentin uhan perimmäistä syytä ja laajuutta
- Poikkeamien suoritusmallien tai riskialttiiden agenttien toiminnan tunnistaminen eri ympäristöissä
- Luo mukautettuja tunnistussääntöjä agenttitoimintojen signaalien perusteella
Kehittyneet metsästystaulukot tekoälyagentin tutkimusta varten
Seuraavat Kehittyneet metsästys -taulukot tarjoavat näkyvyyden tekoälyagentin määrityksiin, hälytyksiin ja toimintaan. Voit tehdä näistä taulukoista kyselyjä yksitellen tai korreloida ne tutkiaksesi tapauksia ja etsiäksesi agentteihin liittyviä riskejä.
| Taulukon nimi | Kuvaus | Yleiset käyttötapaukset |
|---|---|---|
| AlertInfo | Sisältää Microsoft Defender luomat hälytyksen metatiedot, mukaan lukien hälytykset, jotka liittyvät lähes reaaliaikaisiin tunnistamiseen ja reaaliaikaisiin suojauslohkotapahtumiin. | Tutki tekoälyagentin ilmoituksia, tutustu hälytyskontekstiin ja pivotoi toisiinsa liittyviin tapauksiin ja entiteetteihin. |
| CloudAppEvents | Sisältää Agent 365 tekoälyagentin toiminnan havaittavuustietoja, kuten agentin toimintoja, työkalukutsuja ja tietojen käyttötapahtumia. | Etsi epäilyttävää agentin toimintaa, jäljitysagentin toimintoja ja suorita pääsyyanalyysi käyttämällä Agent 365 havaittavuustietoja. |
| AIAgentsInfo | Sisältää tekoälyagenttien inventaario- ja määritystiedot, mukaan lukien agentin käyttäjätiedot, ympäristön, omistajuuden ja metatiedot. | Tarkista edustajan asento, tunnista riskialttiit tai väärin määritetyt agentit ja korreloi agentin käyttäjätiedot hälytyksiin ja toimintaan. |
| AlertEvidence | Sisältää hälytyksiin liittyviä entiteettejä ja artefakteja, kuten agentteja, käyttäjiä, työkaluja, URL-osoitteita tai resursseja. | Tutustu hälytyksen laajuuteen ja tunnista tekoälyagentin tapaukseen liittyvät entiteetit. |