Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Les centres d’opérations de sécurité (SOC) traitent de grands volumes d’alertes sur plusieurs charges de travail, chacune nécessitant un contexte, des signaux et une profondeur d’investigation différents. Les différences dans la façon dont ces alertes sont évaluées peuvent entraîner des décisions de triage incohérentes et ralentir la capacité à distinguer les menaces réelles des fausses alarmes. Par conséquent, les activités à haut risque peuvent être manquées ou retardées, tandis que les analystes passent un temps disproportionné à filtrer le bruit au lieu d’agir sur ce qui importe le plus.
L’agent de triage des alertes de sécurité Microsoft Security Copilot est un agent autonome incorporé dans Microsoft Defender qui aide les équipes de sécurité à trier les alertes à grande échelle. Il applique un raisonnement dynamique piloté par l’IA entre les preuves pour fournir des verdicts clairs pour les charges de travail de sécurité prises en charge. En identifiant les alertes qui représentent des attaques réelles et celles qui sont de faux positifs, l’agent permet aux analystes de se concentrer sur l’investigation des menaces réelles, avec un raisonnement pas à pas transparent pour prendre en charge chaque décision.
Cet article fournit une vue d’ensemble de l’agent de triage des alertes de sécurité, de son fonctionnement et de ses fonctionnalités de triage des alertes. Regardez cette vidéo pour voir une démonstration rapide :
Remarque
L’agent de triage d’alerte de sécurité est le même agent que l’agent de triage de hameçonnage, qui a démontré des améliorations mesurables de la précision et de l’efficacité du triage dans les évaluations contrôlées. L’agent est étendu pour trier un ensemble plus large d’alertes dans Microsoft Defender, en commençant par un sous-ensemble d’alertes d’identité et de cloud. Ces fonctionnalités développées sont actuellement en préversion. L’ensemble des alertes prises en charge devrait croître au fil du temps.
Fonctionnement de l’agent de triage des alertes de sécurité
L’agent de triage des alertes de sécurité est un agent Security Copilot dans Microsoft Defender qui classifie et trie les alertes entre les charges de travail et les types d’alerte pris en charge. Les principales fonctionnalités de l’agent sont les suivantes :
- Triage autonome : Utilise des outils IA avancés pour évaluer les alertes et déterminer s’ils représentent une activité malveillante ou de fausses alarmes sans nécessiter d’intervention humaine pas à pas.
- Justification transparente : Enregistre les verdicts de classification et fournit un raisonnement à l’appui dans le langage naturel et les graphiques visuels, y compris les preuves utilisées pour parvenir à chaque conclusion.
- Apprentissage basé sur les commentaires : Pour les types d’alertes pris en charge, l’agent peut incorporer les commentaires des analystes lorsqu’ils sont explicitement fournis et approuvés pour régler son analyse de verdict. Cette fonctionnalité est actuellement disponible pour les alertes de messagerie électronique et de collaboration uniquement.
Alertes prises en charge
L’agent de triage des alertes de sécurité prend actuellement en charge le sous-ensemble suivant de types d’alerte dans Microsoft Defender. L’ensemble des alertes prises en charge devrait croître au fil du temps.
| type d’alerte | Nom de l’alerte |
|---|---|
| alertes de Email et de collaboration, y compris l’hameçonnage (disponibilité générale) | E-mail signalé par l’utilisateur en tant que programme malveillant ou hameçonnage |
| Alertes cloud, y compris les conteneurs (préversion) |
Afficher toutes les alertes cloud
|
| Alertes d’identité (préversion) |
Afficher toutes les alertes d’identité
|
Configuration requise
Ces prérequis s’appliquent quels que soient les types d’alerte que vous souhaitez que l’agent trie.
| Conditions préalables | Détails |
|---|---|
| Security Copilot | Capacité provisionnée dans les unités de calcul de sécurité (SCU). Consultez Bien démarrer avec Security Copilot ou case activée si vous avez droit aux SKU dans le cadre du modèle d’inclusion Microsoft Security Copilot. |
| plug-ins Security Copilot | L’agent de triage des alertes de sécurité active automatiquement les plug-ins suivants : Microsoft Defender XDR, Microsoft Threat Intelligence et Agent de triage des alertes de sécurité. Pour plus d’informations, consultez Vue d’ensemble des plug-ins - Microsoft Security Copilot. |
| Règles de réglage des alertes | Désactivez les règles de paramétrage qui résolvent les alertes que vous souhaitez que l’agent trie. L’agent ne trie pas les alertes résolues. Pour plus d’informations, consultez Régler une alerte. |
| RBAC unifié | Activez le contrôle d’accès unifié en fonction du rôle et activez les charges de travail appropriées pour les types d’alerte que vous souhaitez trier. Pour plus d’informations, consultez Prérequis spécifiques à la charge de travail. |
| Produits et licences | Vous avez besoin de produits et de licences spécifiques basés sur les types d’alerte que vous souhaitez que l’agent trie. Pour plus d’informations, consultez Prérequis spécifiques à la charge de travail. |
Prérequis spécifiques à la charge de travail
Les prérequis suivants dépendent des types d’alerte que l’agent doit trier.
Exigences relatives aux produits et aux licences
Exigences RBAC unifiées
Activez Defender pour Office 365 dans Microsoft Defender XDR paramètres RBAC unifiés. Pour plus d’informations, consultez Activer les charges de travail dans les paramètres de Microsoft Defender XDR.
Configurer les paramètres signalés par l’utilisateur
Activez Surveiller les messages signalés dans Outlook pour définir la façon dont les utilisateurs signalent les messages potentiellement malveillants dans Microsoft Outlook et sélectionnez l’une des options Destinations des messages signalés :
Pour plus d’informations, consultez Utiliser le portail Microsoft Defender pour configurer les paramètres signalés par l’utilisateur.
Si vous utilisez un outil de création de rapports par e-mail tiers, consultez Options pour les outils de création de rapports tiers et affichez les options de configuration de votre fournisseur pour intégrer les messages signalés à Microsoft Defender.
Ajouter une stratégie d’alerte
L’agent de triage des alertes de sécurité traite les incidents de messagerie et de collaboration qui incluent des alertes de type Email signalées par l’utilisateur comme des programmes malveillants ou des hameçonnages.
Vérifiez que la stratégie d’alerte correspondante est activée.
Pour plus d’informations, consultez Stratégies d’alerte dans le portail Microsoft Defender.
Importante
L’agent de triage des alertes de sécurité ne trie pas les alertes résolues par le réglage des alertes.
Veillez à désactiver la règle de résolution automatique - Email signalée par l’utilisateur comme règle de paramétrage d’alerte intégrée de programme malveillant ou d’hameçonnage, ainsi que toutes les règles de réglage personnalisées qui résolvent cette alerte.
Autorisations utilisateur requises
Les utilisateurs qui interagissent avec l’agent de triage des alertes de sécurité ont besoin des autorisations suivantes :
| Action de l’utilisateur | Autorisations requises |
|---|---|
| Afficher les résultats de l’agent | Les mêmes autorisations que l’agent (ou supérieures), comme décrit dans Security Alert Triage Agent (Agent de triage des alertes de sécurité) autorisations requises. |
| Afficher les paramètres de l’agent |
Security Copilot (lecture) et Informations de base sur les données de sécurité (lecture) sous le groupe Autorisations des opérations de sécurité dans le portail Defender. OU Administrateur de la sécurité dans Microsoft Entra ID. |
| Gérer les paramètres de l’agent (configurer, suspendre, supprimer l’agent et gérer l’identité de l’agent) | Administrateur de la sécurité dans Microsoft Entra ID. |
Ces autorisations s’appliquent au flux de travail de commentaires de l’agent :
| Action de l’utilisateur | Autorisations requises |
|---|---|
| Enseigner l’agent par le biais de commentaires | Les mêmes autorisations que l’agent (ou supérieures), comme décrit dans Security Alert Triage Agent (Agent de triage des alertes de sécurité) autorisations requises. |
| Page Afficher les commentaires |
Security Copilot (lecture), Notions de base sur les données de sécurité (lecture) et Email & métadonnées de collaboration (lecture) sous le groupe Autorisations des opérations de sécurité dans le portail Defender. OU Administrateur de la sécurité dans Microsoft Entra ID. |
| Rejeter les commentaires | Administrateur de la sécurité dans Microsoft Entra ID. |
Pour plus d’informations sur le RBAC unifié dans le portail Defender, consultez Microsoft Defender XDR contrôle d’accès en fonction du rôle (RBAC) unifié.
Configurer l’agent de triage des alertes de sécurité
Vérifiez que vous disposez des autorisations utilisateur requises et que toutes les conditions préalables sont remplies avant de configurer l’agent.
Commencer la configuration
Ouvrez l’Assistant Installation de l’agent de triage des alertes de sécurité de l’une des deux manières suivantes :
Dans la file d’attente Incidents du portail Microsoft Defender, sélectionnez Configurer l’agent.
À partir du magasin de sécurité dans le portail Microsoft Defender, comme expliqué dans Déployer des agents IA dans Microsoft Defender. L’agent peut apparaître en tant qu’agent de triage d’hameçonnage dans le magasin de sécurité, mais il s’agit du même agent.
Suivez les étapes de l’Assistant Installation, comme décrit dans les sections ci-dessous.
Sélectionner les types d’alerte à trier
Sélectionnez les types d’alerte que l’agent doit trier dans la liste des types d’alerte pris en charge. Les autorisations et les étendues de données dépendent de cette sélection.
Attribuer l’identité et les autorisations de l’agent
L’Assistant Installation vous guide tout au long de l’attribution d’une identité à l’agent et des autorisations nécessaires pour effectuer son travail.
Attribuer une identité
L’agent a besoin d’une identité pour fonctionner. L’Assistant vous invite à sélectionner l’un des deux types d’identité.
Sélectionnez:
Créer une identité d’agent (recommandé) : créez automatiquement une nouvelle Identifiant d’assistant Microsoft Entra. Microsoft Entra crée des ID d’agent spécifiquement pour les agents IA. L’utilisation des ID d’agent permet de maintenir l’accès étendu, sécurisé et plus facile à gérer. Pour plus d’informations, consultez Que sont les identités d’agent ?.
OR
Connecter un compte d’utilisateur existant : affectez un compte d’utilisateur existant comme identité d’agent. L’agent hérite de l’accès et des autorisations du compte d’utilisateur. Pour utiliser cette option d’identité, vous devez créer l’identité vous-même et lui attribuer les autorisations dont l’agent a besoin avant l’installation . Pour plus d’informations sur la création d’un compte d’utilisateur, consultez Créer un utilisateur.
Lorsque vous connectez l’agent à un compte, nous vous recommandons de définir une date d’expiration de compte longue et de surveiller de près son status d’authentification pour garantir le fonctionnement continu de l’agent. Si l’authentification expire, l’agent cesse de fonctionner jusqu’à ce qu’il soit renouvelé.
L’identité utilisateur spécifiée de l’agent n’est pas compatible avec PIM ou TAP, car ils ne prennent pas en charge les opérations en arrière-plan à long terme.
Conseil
Utilisez un compte d’identité dédié avec les autorisations minimales requises pour l’agent. Lors de la création du compte, attribuez un nom d’affichage distinct comme Agent de triage des alertes de sécurité pour l’identifier facilement dans le portail Microsoft Defender.
Définissez des stratégies d’accès conditionnel pour Security Copilot afin de permettre à l’agent de fonctionner en fonction du compte d’utilisateur créé pour celui-ci. Pour plus d’informations, consultez Résoudre les problèmes liés aux stratégies d’accès conditionnel pour Microsoft Security Copilot.
Remarque
Vous pouvez modifier l’identité de l’agent après l’installation, comme décrit dans Modifier les paramètres de l’agent.
Attribuer des autorisations
Conformément au principe des privilèges minimum, nous vous recommandons d’attribuer à l’identité de l’agent uniquement les autorisations dont l’agent de triage d’alerte de sécurité a besoin pour effectuer ses tâches.
Si vous utilisez un ID d’agent, la liste déroulante affiche uniquement les rôles dans votre organization qui disposent des autorisations dont l’agent a besoin. Sélectionnez un rôle existant dans votre organization ou créez automatiquement un rôle avec les autorisations requises si vous n’avez pas déjà configuré un rôle approprié.
Si vous utilisez un compte d’utilisateur existant, vous devez attribuer les autorisations requises à cette identité avant d’attribuer l’identité de l’agent pendant l’installation. Vous ne pouvez pas le faire à partir de l’Assistant Installation.
Autorisations requises de l’agent de triage des alertes de sécurité
L’agent de triage des alertes de sécurité nécessite des autorisations spécifiques pour accéder aux données nécessaires et effectuer ses fonctions de triage. Les autorisations requises dépendent des types d’alerte et des produits associés avec lesquels vous souhaitez que l’agent fonctionne.
Ce tableau récapitule les autorisations requises et les étendues de données pour chaque type d’alerte :
| type d’alerte | Autorisations | Étendues de données |
|---|---|---|
| alertes de Email et de collaboration, y compris le hameçonnage | Security Copilot (lecture), Notions de base des données de sécurité (lecture), Alertes (gérer), métadonnées de collaboration Email & (lecture), Email & contenu de collaboration (lecture) | Microsoft Defender pour Office 365 |
| Alertes cloud, y compris les conteneurs | Security Copilot (lecture), Notions de base sur les données de sécurité (lecture), Alertes (gérer) | Microsoft Defender pour le cloud |
| Alertes d’identité | Security Copilot (lecture), Notions de base sur les données de sécurité (lecture), Alertes (gérer) | Microsoft Defender pour Identity et Microsoft Defender for Cloud Apps |
Ces autorisations se trouvent sous le groupe Autorisations des opérations de sécurité :
Pour créer un rôle manuellement :
Vérifiez que les charges de travail RBAC unifiées pertinentes sont activées pour permettre à l’agent d’analyser efficacement les alertes avec un contexte complet. Suivez les étapes décrites dans Prérequis spécifiques à la charge de travail.
Créez un rôle avec les autorisations requises ou attribuez un rôle existant avec ces autorisations à l’agent.
Veillez à accorder au rôle l’accès à toutes les sources de données pertinentes en fonction des alertes prises en charge que vous souhaitez associer à l’agent de triage des alertes de sécurité.
Attribuez le rôle à l’identité de l’agent.
Importante
Après avoir affecté ses autorisations à l’agent, vérifiez que le groupe d’utilisateurs qui surveille l’agent dispose d’autorisations égales ou supérieures pour superviser son activité et sa sortie. Pour ce faire, comparez les autorisations du groupe d’utilisateurs à l’agent dans la page Autorisations du portail Microsoft Defender.
Utiliser l’agent de triage des alertes de sécurité
L’agent aide les équipes de sécurité à gérer le grand volume d’alertes que les organisations reçoivent quotidiennement en triant automatiquement les alertes prises en charge et en mettant à jour leur classification et leur status dans Microsoft Defender incidents.
Déclencheur et flux d’agent
Après l’installation, l’agent de triage des alertes de sécurité s’exécute automatiquement lorsqu’une alerte appropriée est créée. L’agent analyse ensuite de manière autonome l’alerte à l’aide d’outils IA sophistiqués et du contexte de votre organization pour déterminer si la menace associée est malveillante ou simplement une fausse alerte.
Si l’alerte est considérée comme une fausse alarme, l’agent la classifie en tant que faux positif et la résout en conséquence. Si l’alerte est considérée comme malveillante, elle est classée comme étant un vrai positif, et la status de l’incident associé reste ouverte et en cours pour qu’un analyste enquête et prenne d’autres mesures.
Pour chaque alerte qu’il traite, l’agent fournit une explication détaillée de son verdict dans l’incident correspondant.
Collaborer avec l’agent
Pour maintenir la transparence, l’agent met régulièrement à jour les champs d’incident pendant le processus de triage. Lorsque le triage démarre, l’agent s’attribue l’alerte et ajoute une balise Agent à l’incident correspondant. Les analystes peuvent filtrer la file d’attente des incidents pour voir uniquement les incidents étiquetés par l’agent, ce qui simplifie la supervision et la hiérarchisation.
Conseil
Vous pouvez également filtrer la file d’attente des incidents à l’aide du nom de l’identité que vous avez affectée à l’agent de triage des alertes de sécurité pour voir les incidents sur lesquels l’agent travaille activement.
Lorsqu’une alerte est identifiée comme une véritable menace, l’agent de triage des alertes de sécurité la marque comme étant un vrai positif, ce qui permet aux analystes de filtrer et de hiérarchiser les incidents en fonction de classifications confirmées.
Transparence et explicabilité dans le tri des alertes
Pour chaque alerte qu’il traite, l’agent de triage des alertes de sécurité fournit une explication détaillée de son verdict et une représentation graphique de son workflow de prise de décision.
Pour passer en revue les résultats de l’agent, procédez comme suit :
Sélectionnez un incident dans la file d’attente des incidents.
Dans la page de l’incident, recherchez l’agent de triage des alertes de sécurité carte dans le panneau latéral Copilot ou Tâches sous la section Triage des réponses guidées. La tâche est marquée comme terminée et affectée à l’agent. Le carte présente le verdict de l’agent en fonction de sa classification, en mettant en évidence des éléments clés de preuve incriminants qui ont éclairé la décision.
Vous pouvez sélectionner les points de suspension Autres actions pour afficher plus de détails d’alerte, copier les détails de classification de l’agent dans le Presse-papiers ou gérer les commentaires.
Pour afficher les étapes effectuées par l’agent avant d’atteindre sa classification, sélectionnez Afficher l’activité de l’agent dans l’carte Agent de triage des alertes de sécurité. Cela montre la logique derrière la classification finale de l’agent.
Enseigner à l’agent le contexte de votre organization par le biais de commentaires
Importante
L’option de commentaires est actuellement disponible uniquement pour les alertes de messagerie électronique et de collaboration.
Pour les types d’alerte pris en charge, les analystes peuvent éventuellement fournir des commentaires sur les classifications d’agents en langage naturel simple, sans configuration complexe requise. Les utilisateurs autorisés peuvent consulter les commentaires, les évaluer et les appliquer explicitement pour influencer la façon dont l’agent classifie des alertes similaires à l’avenir. Cette fonctionnalité est actuellement disponible pour les alertes de messagerie électronique et de collaboration uniquement.
Pour fournir des commentaires et enseigner à l’agent, procédez comme suit :
Dans la page de l’incident, recherchez l’agent de triage des alertes de sécurité carte dans le panneau latéral Copilot ou Tâches sous la section Triage des réponses guidées.
Passez en revue la classification et le raisonnement de l’agent affichés dans le titre et le contenu du carte. Si la décision ne s’aligne pas sur les critères de classification de votre organization, sélectionnez Modifier la classification. Vous pouvez également mettre à jour la classification en sélectionnant l’alerte spécifique sous l’onglet Alertes , puis en choisissant Gérer l’alerte.
Dans le volet Gérer l’alerte , sélectionnez la nouvelle classification dans le menu déroulant Classification . Ensuite, indiquez la raison de la modification en remplissant le champ Pourquoi avez-vous modifié cette classification . Cette étape enregistre vos commentaires dans la page de gestion des commentaires à des fins d’audit uniquement. L’agent n’utilisera pas ces commentaires pour améliorer sa prise de décision tant que vous n’aurez pas explicitement sélectionné Utiliser ces commentaires pour enseigner à l’agent. Si vous choisissez de ne pas utiliser ces commentaires pour enseigner à l’agent, vous pouvez sélectionner Enregistrer, ce qui permet uniquement d’auditer les commentaires sans les insérer dans la mémoire de l’agent.
Pour appliquer vos commentaires, sélectionnez Utiliser ces commentaires pour enseigner à l’agent. Vous pouvez utiliser le guide de rédaction de commentaires pour vous aider à créer une entrée efficace, puis choisir Évaluer les commentaires pour vous permettre d’afficher un aperçu de la façon dont l’agent traduit vos commentaires en leçon et d’évaluer si le résultat s’aligne sur votre intention. En outre, l’évaluation des commentaires effectue des vérifications de sécurité de base pour s’assurer que les commentaires appliqués sont pertinents pour l’agent à utiliser et qu’ils n’entrent pas en conflit avec les commentaires précédents.
Remarque
Vous ne pouvez fournir des commentaires à l’agent qu’une seule fois par alerte, et ils ne peuvent être utilisés que pour enseigner à l’agent comment classifier les alertes de messagerie électronique et de collaboration, en sélectionnant soit Vrai positif (hameçonnage) soit Faux positif (non malveillant). Passez toujours en revue vos commentaires et vérifiez la réponse générée par l’IA avant d’enregistrer la leçon.
Si le résultat répond à vos attentes, vous pouvez choisir d’insérer la leçon dans la mémoire de l’agent pour influencer ses décisions futures. Sélectionnez Enregistrer pour enregistrer la leçon et la stocker en tant que leçon dans la mémoire de l’agent, le cas échéant. Tous les commentaires sont enregistrés à des fins d’audit, et les leçons ajoutées à la mémoire de l’agent peuvent être examinées plus tard dans la page de gestion des commentaires.
L’agent utilise les commentaires stockés pour trier et classer des alertes similaires à l’avenir. Lorsqu’une alerte pertinente qui correspond aux caractéristiques des commentaires est reçue, l’agent applique ce commentaire pour déterminer sa classification, en l’incorporant comme preuve à l’appui dans son processus de prise de décision.
Bonnes pratiques pour la rédaction de commentaires
Les leçons fournissent des instructions systématiques qui aident l’agent à déterminer si une alerte est une véritable menace d’hameçonnage ou une fausse alerte. Pour vous assurer que l’agent intègre efficacement vos commentaires, suivez ces bonnes pratiques lors de la fourniture d’une entrée à l’agent de triage des alertes de sécurité :
- Vérifiez que les commentaires sont pertinents et contextuels. Les commentaires doivent concerner uniquement l’e-mail actuellement en cours d’examen. Il doit également s’aligner sur la classification mise à jour que vous avez affectée.
- Être descriptif et spécifique. Expliquer clairement les caractéristiques de l’e-mail. Fournissez des détails pertinents tels que l’objet de l’e-mail, le corps du message, l’expéditeur ou les destinataires pour aider l’agent à comprendre le contexte. Des commentaires spécifiques avec plusieurs détails améliorent l’efficacité.
- Garantir la clarté et la détermination. Évitez les instructions vagues ou universelles. Envoyez des commentaires clairs et exploitables. Utilisez des termes d’identification décisifs et clairs.
- Être cohérent avec les commentaires précédents. Assurez-vous que les nouveaux commentaires s’alignent sur ce qui a été fourni précédemment afin d’éviter les contradictions qui pourraient perturber l’agent ou réduire l’exactitude de ses décisions. Vous pouvez passer en revue toutes les entrées précédemment envoyées sur la page Gestion des commentaires .
- Passez en revue l’interprétation de vos commentaires par l’agent. Lorsque vous envoyez des commentaires, vérifiez toujours que les commentaires sont traduits avec précision en leçon. Vérifiez que la leçon reflète votre intention et maintient la cohérence avec votre entrée d’origine. Vérification de la validité des réponses générées par l’IA pour vous assurer qu’elles sont applicables au scénario.
Voici quelques exemples de la façon dont vous pouvez écrire vos commentaires à l’agent.
| Zone | Exemples de commentaires bien écrits | Exemples de commentaires pouvant entraîner un échec | Comparaison |
|---|---|---|---|
| Commentaires sur un expéditeur | Tout e-mail prétendant provenir de fournisseurs d’avantages doit provenir de « @benefits.company.com ». | L’expéditeur dans la 2e alerte de l’incident n’est pas légitime. | Les commentaires doivent se rapporter à l’e-mail dans l’alerte actuelle et à son contexte. Il sera lié à la classification choisie (même s’il n’est pas mentionné explicitement dans les commentaires) et utilisé pour des alertes futures similaires. |
| Commentaires sur l’expéditeur et le corps de l’e-mail | Les e-mails offrant le partage de fichiers ou l’accès aux documents doivent provenir uniquement de notre fournisseur autorisé Contoso.com. | Les e-mails offrant le partage de fichiers ou l’accès aux documents doivent provenir uniquement de nos fournisseurs autorisés. | Les commentaires bien écrits indiquent clairement des exigences spécifiques (par exemple, domaine de l’expéditeur), tandis que les références vagues (par exemple, les « fournisseurs autorisés ») ne contiennent pas d’informations exploitables. |
| Commentaires sur l’objet de l’e-mail | Tout e-mail dont l’objet contient une demande de transaction de facturation n’est pas autorisé dans notre organization et est considéré comme un hameçonnage. | Si le sujet a un sentiment naturel positif, il est légitime. | Les commentaires descriptifs et spécifiques peuvent être validés efficacement, tandis que les commentaires subjectifs peuvent entraîner des résultats inattendus. |
| Commentaires sur le corps de l’e-mail | Les e-mails demandant la vérification des informations d’identification doivent inclure une référence au compte ou au service spécifique. Toute demande générique de « vérification de votre compte » sans détails doit être traitée comme un hameçonnage. | Cet e-mail doit être traité comme un hameçonnage. | Les commentaires qui incluent des informations détaillées sont plus susceptibles d’être clairement compris, tandis que les commentaires qui manquent de détails peuvent être interprétés de différentes façons et peuvent entraîner des résultats imprévisibles. |
| Commentaires sur le corps d’un destinataire et d’un e-mail | Cet e-mail a été envoyé à plusieurs employés, et le corps demande aux destinataires de télécharger une « pièce jointe importante » sans en décrire le contenu. Les e-mails légitimes spécifient toujours les détails des pièces jointes. | Les e-mails internes de masse avec pièces jointes sont des hameçonnages. | Les commentaires qui mettent en évidence des détails manquants spécifiques couramment trouvés dans les e-mails légitimes sont plus efficaces. Les commentaires qui contiennent des généralisations générales (e-mails de masse) ou des termes vagues (comme « interne ») peuvent entraîner un nombre excessif de vrais positifs. |
| Commentaires sur un destinataire et un domaine | Les e-mails d’intégration des nouveaux prestataires doivent uniquement être envoyés aux adresses de messagerie commençant par « v- » pour s’assurer qu’ils sont dirigés vers les destinataires appropriés. | Les e-mails des prestataires sont différents des messages habituels, donc il peut s’agir d’hameçonnage. | Les commentaires bien écrits définissent clairement le format de destinataire attendu, tandis que les commentaires indécis (« peut-être ») et qui manquent de critères d’identification clairs (« semble différent de l’habituel » sans spécifier ce qui est différent), rend la détection peu fiable. |
Résoudre les échecs de commentaires
Lorsque l’agent prend vos commentaires, il les traduit en leçons. Si l’agent ne parvient pas à interpréter les commentaires, un message pertinent indique la cause de l’échec. Vous pouvez résoudre ces échecs en fonction du message retourné par l’agent.
Voici des exemples d’échecs que vous pouvez rencontrer lors de l’écriture de commentaires à l’agent, et la façon dont vous pouvez les résoudre.
| Message d’échec | Action recommandée |
|---|---|
Une partie des commentaires fournis ne peut pas être traitée, car l’agent ne prend actuellement pas en charge ce type d’entrée et n’a donc pas pu être traduit en leçon. |
Réécrire vos commentaires et s’assurer qu’ils suivent les meilleures pratiques. Sélectionnez Évaluer les commentaires pour réessayer. |
Les commentaires contiennent des entrées que l’agent peut prendre en charge, mais qui ne sont pas pertinentes pour l’e-mail à portée de main et ne peuvent donc pas être traduites en une leçon actionnable à enregistrer en mémoire. |
Réécrire vos commentaires et assurez-vous qu’ils traitent les descriptions de l’e-mail qu’ils peuvent prendre en charge. Sélectionnez ensuite Évaluer les commentaires pour réessayer. |
Les commentaires donnés sont en conflit avec les commentaires précédents donnés à un e-mail similaire. |
Dans la page de gestion des commentaires , recherchez l’ID de commentaires pour afficher les commentaires avec 2000. En fonction de votre avis, vous pouvez : - Rejeter les commentaires précédents dans la page de gestion des commentaires. Ensuite, sélectionnez Évaluer pour essayer d’insérer à nouveau vos commentaires. - Réécrire vos commentaires donnés d’une manière qui n’est pas en conflit, puis sélectionnez Évaluer les commentaires pour que l’agent réévalue votre nouvelle entrée. |
Remarque
Vous pouvez choisir de ne pas résoudre les échecs de commentaires. Vous pouvez laisser vos commentaires et sélectionner Enregistrer sans cocher la case pour enseigner à l’agent. Les commentaires ne seront pas enregistrés dans la mémoire de l’agent et seront uniquement documentés dans la page de gestion des commentaires pour vos futures modifications de classification de suivi.
Lorsque les commentaires applicables sont approuvés et stockés, l’agent peut les appliquer lors du tri des alertes similaires à l’avenir, sous réserve des mêmes autorisations et contrôles.
Surveiller et gérer l’agent de triage des alertes de sécurité
Pour afficher les métriques de l’agent et gérer l’agent, accédez à l’agent de triage des alertes de sécurité carte dans la file d’attente des incidents ou dans la page Agents :
Pour ouvrir directement la page Agent de triage des alertes de sécurité, sélectionnez Security Copilot > Agents, recherchez Agent de triage des alertes de sécurité sous Agents en cours d’utilisation, puis sélectionnez Accéder à l’agent.
Cette page se compose de deux onglets : Vue d’ensemble et Performances.
L’onglet Vue d’ensemble fournit des détails sur l’status, l’identité, le rôle et l’activité récente de l’agent.
Sélectionnez une activité dans la liste Activité récente pour afficher des détails sur l’examen de l’agent et le flux de travail complet de l’agent.
Sélectionnez Afficher le flux de travail complet de l’agent pour afficher une représentation graphique du processus de prise de décision de l’agent pour cette activité spécifique.
L’onglet Performances affiche des métriques clés sur l’activité de l’agent au fil du temps, notamment l’activité quotidienne, le temps moyen de triage (MTTT) et la consommation SCU.
Sélectionnez les points de suspension (...) en haut à droite de la page pour accéder aux options de gestion de l’agent, comme décrit dans les sections ci-dessous.
Sélectionnez Suspendre ou Exécuter pour arrêter ou redémarrer temporairement les activités de l’agent.
Pour ouvrir l’agent de triage des alertes de sécurité carte dans la file d’attente des incidents, sélectionnez Investigation & response > Incidents & alertes > Incidents .
L’agent de triage des alertes de sécurité carte au-dessus de la file d’attente des incidents affiche certaines des métriques clés de l’agent, notamment les incidents traités, qui sont des incidents contenant des alertes que l’agent a classées comme des menaces vraies ou des fausses alarmes.
Ces données permettent de démontrer l’impact de l’agent et peuvent être utilisées pour informer des conversations stratégiques plus larges, mettre en évidence le retour sur investissement ou prendre des décisions relatives à la mise à l’échelle de l’automatisation dans votre organization.
Les métriques sont calculées en fonction de l’activité de l’agent, à partir de son premier incident enregistré ou des 30 derniers jours, selon la date la plus récente.
Sélectionnez Gérer l’agent sur le carte pour ouvrir la page Agent de triage des alertes de sécurité, qui contient davantage de métriques de performances et d’options de gestion.
Modifier les paramètres de l’agent
Pour modifier les paramètres de l’agent :
Sélectionnez Security Copilot > Agents.
Recherchez l’Agent de triage des alertes de sécurité sous Agents en cours d’utilisation, puis sélectionnez Accéder à l’agent.
Sélectionnez les points de suspension (...) > Modifiez l’agent en haut à droite de la page Agent de triage des alertes de sécurité .
La page Modifier l’agent comporte trois onglets :
Identité et rôle : modifiez l’identité de l’agent. Sélectionnez Sélectionner une nouvelle identité et suivez les étapes décrites dans Attribuer l’identité et les autorisations de l’agent.
Commentaires : affichez et gérez les commentaires soumis par l’utilisateur. Pour plus d’informations, consultez Afficher et gérer les commentaires à l’agent.
Alertes prises en charge : affichez les types d’alertes pris en charge que l’agent peut trier. Pour activer ou désactiver des types d’alerte spécifiques pour l’agent :
Sélectionnez Modifier les alertes prises en charge pour ouvrir la page Alertes prises en charge par l’agent .
Activez ou désactivez les types d’alerte individuels, puis sélectionnez Mettre à jour.
Sélectionnez Mettre à jour les autorisations de rôle pour appliquer les mises à jour.
Afficher et gérer les commentaires à l’agent
L’agent de triage des alertes de sécurité apprend des commentaires soumis par l’utilisateur et améliore ses performances au fil du temps. Il stocke les commentaires applicables dans sa mémoire sous forme de leçons. Vous pouvez afficher et gérer les commentaires de l’agent de triage des alertes de sécurité sur la page commentaires de l’agent .
Cette page fournit une liste complète de tous les commentaires envoyés à l’agent. Vous pouvez consulter les détails clés de chaque commentaire, notamment :
- Classification d’origine de l’agent et modification appliquée par l’utilisateur
- Commentaires d’origine fournis par l’utilisateur, lors de la modification de la classification
- Leçon traduite générée par l’agent (le cas échéant)
- Commentaires status : en cours d’utilisation, non utilisé ou en conflit
- L’utilisateur qui a fourni les commentaires
- Date de soumission des commentaires, ID de commentaires, ID d’alerte et ID d’incident
Ce tableau décrit les états des commentaires :
| Statut | Description |
|---|---|
| En cours d’utilisation | Les commentaires ont été correctement convertis en leçon dans la mémoire de l’agent et sont activement utilisés pour trier et classer des incidents similaires. |
| Conflit | Les commentaires fournis étaient en conflit avec les commentaires précédemment fournis dans un incident similaire. Découvrez comment résoudre les échecs de commentaires. |
| Non utilisé | Les commentaires n’ont pas été incorporés dans la mémoire de l’agent ou non marqués par l’utilisateur pour l’enseignement. Les leçons rejetées apparaissent comme « non utilisées » et sont enregistrées uniquement pour l’audit, et non pour le triage et la classification des incidents. Pour plus d’informations, sélectionnez le panneau d’informations. |
Conseil
Les commentaires ne peuvent être gérés qu’individuellement. La gestion en bloc de plusieurs entrées de commentaires n’est actuellement pas prise en charge.
Pour afficher et gérer les commentaires envoyés par l’utilisateur :
Sélectionnez Security Copilot > Agents, recherchez l’agent de triage des alertes de sécurité sous Agents en cours d’utilisation, puis sélectionnez Accéder à l’agent.
Sélectionnez les points de suspension (...) > Modifier l’agent en haut à droite de la page. La page Modifier l’agent s’ouvre.
Sélectionnez Commentaires dans le volet gauche pour ouvrir la page Commentaires de l’agent .
Sélectionnez une entrée dans la liste des commentaires pour ouvrir le volet Vérifier les commentaires .
Vérifiez les détails des commentaires fournis, la leçon de l’agent, les modifications de classification et d’autres détails importants.
Pour rejeter des commentaires spécifiques, sélectionnez Rejeter les commentaires. L’agent cesse d’utiliser les commentaires dans les décisions de triage futures.
Remarque
Pour rejeter les commentaires fournis, vous avez besoin du rôle Administrateur de la sécurité dans Microsoft Entra ID.
Supprimer l’agent
Lorsque vous supprimez l’agent, le triage et la classification des nouveaux incidents s’arrêtent, et tous les commentaires sont supprimés. Toutefois, l’historique des incidents précédemment triés est conservé pour référence.
Pour supprimer l’agent :
- Sélectionnez Security Copilot > Agents, recherchez l’agent de triage des alertes de sécurité sous Agents en cours d’utilisation, puis sélectionnez Accéder à l’agent.
- Sélectionnez les points de suspension (...) en haut à droite de la page, puis sélectionnez Supprimer.
Foire aux questions
Voici les réponses aux questions fréquemment posées sur l’agent de triage des alertes de sécurité. Pour plus d’informations sur les fonctionnalités et les exigences de l’agent, consultez les sections Fonctionnement de l’agent de triage des alertes de sécurité et conditions préalables de cet article.
Qu’est-ce que l’agent de triage des alertes de sécurité, en quoi diffère-t-il de l’agent de triage de hameçonnage et comment puis-je l’intégrer si j’utilise déjà l’agent pour trier les alertes de hameçonnage ?
L’agent de triage des alertes de sécurité est un agent de Microsoft Security Copilot autonome dans Microsoft Defender qui aide les équipes de sécurité à trier les alertes à grande échelle. Il évalue les alertes à l’aide d’un raisonnement basé sur l’IA, arrive à un verdict et enregistre ses conclusions directement dans Microsoft Defender incidents pour aider les analystes à hiérarchiser ce qui nécessite une action.
L’agent de triage des alertes de sécurité est le même agent que l’agent de triage de hameçonnage, étendu au triage de types d’alertes supplémentaires au-delà de la messagerie électronique et de la collaboration. L’agent de triage des alertes de sécurité est modulaire : vous choisissez les types d’alerte que vous souhaitez que l’agent trie. L’agent s’étend désormais aux alertes d’identité et de cloud, en commençant par les conteneurs, qui sont actuellement en préversion. Les fonctionnalités de triage des alertes Email et de collaboration sont déjà en disponibilité générale. L’ensemble des alertes prises en charge devrait croître au fil du temps.
Si vous utilisez déjà l’agent de triage de hameçonnage, vous n’avez pas besoin d’installer un nouvel agent. Votre agent existant continuera à fonctionner et vous pouvez activer les types d’alerte supplémentaires via la configuration. Pour intégrer les fonctionnalités étendues, passez en revue les prérequis pour les types d’alerte supplémentaires et modifiez les paramètres de l’agent pour sélectionner les types d’alerte que vous souhaitez activer.
Votre configuration et vos commentaires de triage d’hameçonnage existants sont automatiquement reportés. Pour plus d’informations, consultez Fonctionnement de l’agent de triage des alertes de sécurité et Configurer l’agent de triage des alertes de sécurité.
Quand l’agent est-il déclenché ?
Cet agent s’exécute automatiquement lorsqu’une nouvelle alerte est détectée. Les règles de réglage intégrées qui résuraient les types d’alerte pris en charge seront désactivées pendant l’installation.
L’agent de triage des alertes de sécurité peut-il être approuvé ?
Microsoft AI agents suivent des directives strictes en matière d’IA responsable et font l’objet d’examens approfondis pour garantir la conformité à toutes les normes et protections de l’IA. L’agent de triage des alertes de sécurité est entièrement intégré à ces contrôles. Pendant l’installation, vous attribuez une identité à l’agent et vous la configurez avec les autorisations minimales requises pour son fonctionnement, en veillant à ce qu’il ne dispose pas d’autorisations inutiles. Toutes les activités de l’agent sont consignées en détail, le flux complet pouvant être examiné par les analystes et les administrateurs à tout moment. Les commentaires fournis à l’agent pour l’aider à s’adapter à l’environnement de l’organization sont consignés, reflétés dans le système et accessibles pour révision et modification par les administrateurs si nécessaire.
En quoi l’agent diffère-t-il d’une solution SOAR standard ?
Bien que les solutions SOAR et l’agent de triage des alertes de sécurité automatisent les aspects des opérations de sécurité, ils utilisent des approches différentes.
Les solutions SOAR s’appuient généralement sur des workflows prédéfinis basés sur des règles qui nécessitent une configuration manuelle et une maintenance continue. En revanche, l’agent de triage des alertes de sécurité utilise l’analyse basée sur le raisonnement pour trier les alertes et enregistrer les classifications au sein de Microsoft Defender, avec une supervision humaine et des commentaires facultatifs lorsque cela est pris en charge.
L’agent fonctionne dans le cadre d’autorisations et de workflows définis dans Microsoft Defender et ne remplace pas les outils d’investigation ou de réponse existants.
Quel niveau de visibilité et de contrôle ai-je sur l’agent ?
Microsoft fournit des outils permettant aux organisations de conserver une visibilité et un contrôle sur l’agent de triage des alertes de sécurité depuis le déploiement jusqu’aux opérations en cours. Les agents adhèrent aux normes IA responsable (RAI) de Microsoft en matière d’équité , de fiabilité, de sécurité, de confidentialité, de sécurité, d’inclusion, de transparence et de responsabilité. Les administrateurs configurent les niveaux d’identité et d’accès de l’agent pendant l’installation, en suivant les principes de privilège minimum. Les équipes de sécurité et informatiques peuvent autoriser des actions spécifiques, surveiller les performances et examiner les sorties directement dans Microsoft Defender. La consommation de capacité et les limites d’accès aux données sont également configurables par les administrateurs.
L’agent de triage des alertes de sécurité fonctionne dans un environnement de confiance zéro. Le système applique des stratégies organisationnelles à chaque action de l’agent en évaluant l’intention et l’étendue de chaque opération. Toutes les décisions, raisonnements et actions prises par l’agent sont documentés en toute transparence sous la forme d’un arbre de décision dans Defender et enregistrés dans les journaux d’audit Microsoft Purview pour la traçabilité et la conformité.
Je souhaite essayer l’agent de triage des alertes de sécurité : comment le configurer dans Microsoft Defender ?
Pour configurer l’agent, vous devez avoir accès à Security Copilot dans Microsoft Defender et remplir les conditions préalables nécessaires. Si vous n’avez pas intégré Security Copilot, consultez Bien démarrer avec Security Copilot ou contactez votre représentant Microsoft. Une fois que vous êtes intégré à Security Copilot, l’option de configuration de l’agent peut prendre un peu de temps pour être disponible dans le portail Microsoft Defender.
J’ai essayé l’agent de triage des alertes de sécurité : comment puis-je estimer la capacité SCU nécessaire pour l’agent dans mon organization ?
Il est important de vous assurer que votre organization dispose de suffisamment de SKU pour un fonctionnement sain de l’agent. Pour évaluer l’utilisation des SCU et planifier la capacité à l’avenir, consultez le tableau de bord Surveillance de l’utilisation dans le portail Security Copilot et case activée si vous avez droit aux SCU dans le cadre du modèle d’inclusion Microsoft Security Copilot. Le tableau de bord montre :
- Coût par e-mail traité
- Consommation de capacité au fil du temps
Vous pouvez également exporter les données du tableau de bord dans Excel pour une analyse plus détaillée et pour filtrer uniquement sur les opérations de l’agent.
Après avoir évalué vos besoins d’utilisation de SCU, mettez à jour la capacité de SCU pour votre organization. Pour plus d’informations sur la gestion des SKU, consultez Gérer l’utilisation des unités de calcul de sécurité dans Security Copilot.