agente di valutazione degli avvisi di sicurezza Microsoft Security Copilot in Microsoft Defender (anteprima)

  • Si applica a: Microsoft Defender XDR

I centri operativi di sicurezza elaborano grandi volumi di avvisi in più carichi di lavoro, ognuno dei quali richiede contesto, segnali e profondità investigativa diversi. Le differenze nel modo in cui vengono valutati questi avvisi possono portare a decisioni di valutazione incoerenti e rallentare la capacità di distinguere le minacce reali dai falsi allarmi. Di conseguenza, l'attività ad alto rischio può essere persa o ritardata, mentre gli analisti trascorrono tempo sproporzionato a filtrare il rumore invece di agire su ciò che conta di più.

L'agente di valutazione degli avvisi di sicurezza Microsoft Security Copilot è un agente autonomo incorporato in Microsoft Defender che consente ai team di sicurezza di valutare gli avvisi su larga scala. Applica il ragionamento dinamico basato sull'intelligenza artificiale tra le prove per fornire verdetti chiari per i carichi di lavoro di sicurezza supportati. Identificando quali avvisi rappresentano attacchi reali e che sono falsi positivi, l'agente consente agli analisti di concentrarsi sull'analisi delle minacce reali, con un ragionamento trasparente e dettagliato per supportare ogni decisione.

Questo articolo offre una panoramica dell'agente di valutazione degli avvisi di sicurezza, del suo funzionamento e delle relative funzionalità di valutazione degli avvisi.

Nota

L'agente di valutazione degli avvisi di sicurezza è lo stesso agente dell'agente di valutazione del phishing, che ha dimostrato miglioramenti misurabili nell'accuratezza e nell'efficienza della valutazione controllata. L'agente viene esteso per valutare un set più ampio di avvisi in Microsoft Defender, a partire da un subset di avvisi di identità e cloud. Queste funzionalità espanse sono attualmente in anteprima. Il set di avvisi supportati dovrebbe crescere nel tempo.

Funzionamento dell'agente di valutazione degli avvisi di sicurezza

L'agente di valutazione degli avvisi di sicurezza è un agente Security Copilot in Microsoft Defender che classifica e classifica gli avvisi tra i carichi di lavoro e i tipi di avviso supportati. Le funzionalità chiave dell'agente includono:

  • Valutazione autonoma: Usa strumenti avanzati di intelligenza artificiale per valutare gli avvisi e determinare se rappresentano attività dannose o falsi allarmi senza richiedere l'input umano passo passo.
  • Logica trasparente: Registra i verdetti di classificazione e fornisce il ragionamento di supporto nel linguaggio naturale e nei grafici visivi, incluse le prove usate per raggiungere ogni conclusione.
  • Apprendimento basato sul feedback: Per i tipi di avviso supportati, l'agente può incorporare il feedback degli analisti quando viene fornito e approvato in modo esplicito per ottimizzare l'analisi del verdetto. Questa funzionalità è attualmente disponibile solo per gli avvisi di posta elettronica e collaborazione.

Avvisi supportati

L'agente di valutazione degli avvisi di sicurezza supporta attualmente il subset seguente di tipi di avviso in Microsoft Defender. Il set di avvisi supportati dovrebbe crescere nel tempo.

Tipo di avviso Nome avviso
Email e avvisi di collaborazione, incluso il phishing (disponibile a livello generale) Email segnalata dagli utenti come malware o phishing
Avvisi cloud, inclusi i contenitori (anteprima)
Visualizzare tutti gli avvisi cloud
  • Potenziali utilità backdoor o file binari proxy rilevati (anteprima)
  • Potenziali installazioni backdoor da processi in esecuzione (anteprima)
  • Possibile eseguibile rilevato in una riga di comando, codificato in Base64 (anteprima)
  • Potenziale esecuzione di script della shell con codifica Base64 (anteprima)
  • Accesso insolito al file del profilo Bash
  • Il server SSH è in esecuzione all'interno di un contenitore (anteprima)
  • Rilevate operazioni cron sospette nella riga di comando
  • Rilevato processo associato al data mining della valuta digitale
  • Possibile download di Cryptocoinminer rilevato
  • Rilevate uccisioni del processo di crittografia di Kubernetes (anteprima)
  • Possibile accesso a un pool di data mining di criptovaluta rilevato (anteprima)
  • Rilevato comportamento correlato al data mining di valuta digitale
  • Possibile utilizzo del servizio Web tramite l'attraversamento del percorso (anteprima)
  • Rilevata possibile disabilitazione degli strumenti di sicurezza (anteprima)
  • Esecuzione della deriva binaria bloccata nel contenitore (anteprima)
  • Rilevato un binario drift in esecuzione nel contenitore
  • Sono stati rilevati modifiche sospette agli attributi dei file tramite chattr (anteprima)
  • Operazione di compilazione Docker rilevata in un nodo Kubernetes (anteprima)
  • È stato rilevato l'accesso al servizio metadati cloud
  • Possibile danneggiamento della registrazione della cronologia dei comandi (anteprima)
  • Possibile strumento di attacco rilevato
  • Possibile strumento di accesso alle credenziali rilevato
  • Accesso al file kubelet kubeconfig rilevato
  • Tentativo di creare un nuovo spazio dei nomi Linux da un contenitore rilevato
  • Rilevato strumento di analisi di rete (anteprima)
  • Account aggiunto al gruppo sudo
  • Utilizzo del dominio OAST rilevato (anteprima)
  • Rilevato strumento di test di penetrazione kubernetes (anteprima)
  • È stato rilevato un possibile sfruttamento del programma basato su Java (anteprima)
  • Comando all'interno di un contenitore in esecuzione con privilegi elevati
  • Proxyware o monetizzatori del traffico sospetti rilevati nella riga di comando
  • Potenziale inserimento di comandi React2Shell rilevato
  • Accesso insolito al file di cronologia bash
  • Potenziale shell inversa rilevata
  • Possibile ricognizione segreta rilevata
  • Rilevata possibile manomissione delle configurazioni di sicurezza (anteprima)
  • Rilevata terminazione sospetta del processo di sicurezza (anteprima)
  • Accesso Files sensibile rilevato
  • Sha1-Hulud Campagna rilevata: possibile inserimento di comandi per esfiltrare le credenziali (anteprima)
  • Processo che ha visto l'accesso al file delle chiavi autorizzate SSH in modo insolito
  • È stato rilevato un tentativo di connessione non comune
  • Rilevato download di file da un'origine dannosa nota
  • Rilevata esecuzione PHP sospetta
  • Potenziale inoltro delle porte all'indirizzo IP esterno
  • Chiamata del processo da parte di un processo di database rilevato
  • Rilevata attività sospetta di Netcat in un nodo Kubernetes (anteprima)
  • Possibile attività di manomissione dei log rilevata
  • Modifica del timestamp di file sospetta
  • Possibile shell Web dannosa rilevata
  • Richiesta sospetta all'API Kubernetes
  • Possibile attività di Web Shell rilevata
  • Rilevato accesso sospetto al token di identità del carico di lavoro o al token dell'account del servizio
  • Le autorizzazioni per eseguire un file binario da una cartella sospetta sono state concesse dopo il download (anteprima)
  • Una riga di comando eseguita all'interno di un contenitore contiene un DNS sospetto
  • Una riga di comando eseguita all'interno di un contenitore contiene un indirizzo IP sospetto
  • Microsoft Defender per l'esecuzione del malware cloud Kubernetes rilevata (anteprima)
  • Microsoft Defender per l'esecuzione del malware Cloud Kubernetes bloccata (anteprima)
Avvisi di identità (anteprima)
Visualizzare tutti gli avvisi di identità
  • Password spraying
  • Possibile regola di posta in arrivo correlata a BEC
  • Account compromesso a seguito di un attacco con password spray

Prerequisiti

Questi prerequisiti si applicano indipendentemente dai tipi di avviso che l'agente deve valutare.

Prerequisito Dettagli
Security Copilot Capacità di cui è stato effettuato il provisioning in Unità di calcolo di sicurezza (SCU). Vedere Introduzione a Security Copilot o verificare se si ha diritto alle SKU come parte del modello di inclusione Microsoft Security Copilot.
plug-in Security Copilot L'agente di valutazione degli avvisi di sicurezza attiva automaticamente questi plug-in: Microsoft Defender XDR, Microsoft Threat Intelligence e Security Alert Triage Agent. Per altre informazioni, vedere Panoramica dei plug-in - Microsoft Security Copilot.
Regole di ottimizzazione degli avvisi Disabilitare le regole di ottimizzazione che consentono di risolvere gli avvisi che l'agente deve valutare. L'agente non esegue la valutazione degli avvisi risolti. Per altre informazioni, vedere Ottimizzare un avviso.
Controllo degli accessi in base al ruolo unificato Abilitare il controllo degli accessi in base al ruolo unificato e attivare i carichi di lavoro pertinenti per i tipi di avviso da valutare. Per altre informazioni, vedere Prerequisiti specifici del carico di lavoro.
Prodotti e licenze Sono necessari prodotti e licenze specifici in base ai tipi di avviso che l'agente deve valutare. Per altre informazioni, vedere Prerequisiti specifici del carico di lavoro.

Prerequisiti specifici del carico di lavoro

I prerequisiti seguenti dipendono dai tipi di avviso che l'agente deve valutare.

Requisiti di prodotto e licenza
Requisiti del controllo degli accessi in base al ruolo unificato

Attivare Defender per Office 365 nelle impostazioni del controllo degli accessi in base al ruolo unificate Microsoft Defender XDR. Per altre informazioni, vedere Attivare i carichi di lavoro nelle impostazioni di Microsoft Defender XDR.

Screenshot della pagina Attiva controllo degli accessi in base al ruolo unificato che mostra l'interruttore Defender per Office 365, che deve essere abilitato per l'agente di valutazione degli avvisi di sicurezza.

Configurare le impostazioni segnalate dall'utente

Abilitare Monitoraggio dei messaggi segnalati in Outlook per definire il modo in cui gli utenti segnalano messaggi potenzialmente dannosi in Microsoft Outlook e selezionare una delle opzioni Destinazioni messaggio segnalate :

Screenshot della pagina Impostazioni segnalate dall'utente che mostra il pulsante report di Outlook e le configurazioni delle destinazioni dei messaggi segnalate.

Per altre informazioni, vedere Usare il portale di Microsoft Defender per configurare le impostazioni segnalate dall'utente.

Se si usa uno strumento di report di posta elettronica di terze parti, esaminare Opzioni per gli strumenti di creazione di report di terze parti e visualizzare le opzioni di configurazione del fornitore per integrare i messaggi segnalati con Microsoft Defender.

Aggiungere criteri di avviso

L'agente di valutazione degli avvisi di sicurezza risolve gli eventi imprevisti di posta elettronica e collaborazione che includono avvisi con il tipo Email segnalato dall'utente come malware o phishing.

Assicurarsi di avere abilitato i criteri di avviso corrispondenti.
Per altre informazioni, vedere Criteri di avviso nel portale di Microsoft Defender.

Importante

L'agente di valutazione degli avvisi di sicurezza non esegue la valutazione degli avvisi risolti tramite l'ottimizzazione degli avvisi.
Assicurarsi di disabilitare la risoluzione automatica: Email segnalata dall'utente come malware o regola di ottimizzazione degli avvisi incorporata phish ed eventuali regole di ottimizzazione personalizzate che risolvono questo avviso.

Autorizzazioni utente necessarie

Gli utenti che interagiscono con l'agente di valutazione degli avvisi di sicurezza devono disporre di queste autorizzazioni:

Azione utente Autorizzazioni necessarie
Visualizzare i risultati dell'agente Le stesse autorizzazioni dell'agente (o superiori), come descritto in Autorizzazioni necessarie per l'agente di valutazione degli avvisi di sicurezza.
Visualizzare le impostazioni dell'agente Security Copilot (lettura) e Nozioni di base sui dati di sicurezza (lettura) nel gruppo Autorizzazioni per le operazioni di sicurezza nel portale di Defender.

O

Amministratore della sicurezza in Microsoft Entra ID.
Gestire le impostazioni dell'agente (configurare, sospendere, rimuovere l'agente e gestire l'identità dell'agente) Amministratore della sicurezza in Microsoft Entra ID.

Queste autorizzazioni si applicano al flusso di lavoro di feedback dell'agente:

Azione utente Autorizzazioni necessarie
Insegnare all'agente tramite feedback Le stesse autorizzazioni dell'agente (o superiori), come descritto in Autorizzazioni necessarie per l'agente di valutazione degli avvisi di sicurezza.
Visualizzare la pagina dei commenti e suggerimenti Security Copilot (lettura), Nozioni di base sui dati di sicurezza (lettura) e metadati di collaborazione Email & (lettura) nel gruppo Autorizzazioni operazioni di sicurezza nel portale di Defender.

O

Amministratore della sicurezza in Microsoft Entra ID.
Rifiutare commenti e suggerimenti Amministratore della sicurezza in Microsoft Entra ID.

Per altre informazioni sul controllo degli accessi in base al ruolo unificato nel portale di Defender, vedere Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato.

Configurare l'agente di valutazione degli avvisi di sicurezza

Assicurarsi di disporre delle autorizzazioni utente necessarie e di soddisfare tutti i prerequisiti prima di configurare l'agente.

Avviare la configurazione

Aprire la configurazione guidata dell'agente di valutazione degli avvisi di sicurezza in uno dei due modi seguenti:

  • Nella coda Eventi imprevisti nel portale di Microsoft Defender selezionare Configura agente.

    Screenshot della coda degli eventi imprevisti con l'opzione di installazione dell'agente di valutazione degli avvisi di sicurezza evidenziata.

  • Dall'archivio di sicurezza nel portale di Microsoft Defender, come illustrato in Distribuire gli agenti di intelligenza artificiale in Microsoft Defender. L'agente potrebbe essere visualizzato come agente di valutazione del phishing nell'archivio sicurezza, ma è lo stesso agente.

Seguire i passaggi della configurazione guidata, come descritto nelle sezioni seguenti.

Selezionare i tipi di avviso da valutare

Selezionare i tipi di avviso che l'agente deve valutare dall'elenco dei tipi di avviso supportati. Le autorizzazioni e gli ambiti dei dati dipendono da tale selezione.

Screenshot della configurazione degli avvisi supportati dall'agente con interruttori per avvisi di posta elettronica, cloud e identità e pulsanti Continua e Indietro.

Assegnare l'identità e le autorizzazioni dell'agente

L'installazione guidata illustra come assegnare all'agente un'identità e le autorizzazioni necessarie per eseguire il proprio lavoro.

Assegnare un'identità

L'agente richiede un'identità per funzionare. La procedura guidata richiede di selezionare uno dei due tipi di identità.

Screenshot della schermata Selezionare una nuova identità nella configurazione guidata dell'agente di valutazione degli avvisi di sicurezza.

Selezionare:

  • Creare una nuova identità dell'agente (scelta consigliata): creare automaticamente un nuovo Microsoft Entra Agent ID. Microsoft Entra crea ID agente in modo specifico per gli agenti di intelligenza artificiale. L'uso degli ID agente consente di mantenere l'accesso con ambito, sicuro e più facile da gestire. Per altre informazioni, vedere Che cosa sono le identità degli agenti?.

    OPPURE

  • Connettere un account utente esistente : assegnare un account utente esistente come identità dell'agente. L'agente eredita l'accesso e le autorizzazioni dell'account utente. Per usare questa opzione di identità, è necessario creare manualmente l'identità e assegnarle le autorizzazioni richieste dall'agente prima dell'installazione. Per informazioni sulla creazione di un account utente, vedere Creare un nuovo utente.

    Quando si connette l'agente a un account, è consigliabile impostare una data di scadenza dell'account lunga e monitorarne attentamente lo stato di autenticazione per garantire il funzionamento continuo dell'agente. Se l'autenticazione scade, l'agente smette di funzionare fino al rinnovo.

    L'identità utente specificata dell'agente non è compatibile con PIM o TAP perché non supporta operazioni in background a lungo termine.

    Consiglio

    Usare un account di identità dedicato con le autorizzazioni minime necessarie per l'agente. Quando si crea l'account, assegnare un nome visualizzato distinto, ad esempio Security Alert Triage Agent, per identificarlo facilmente nel portale di Microsoft Defender.

    Impostare i criteri di accesso condizionale per Security Copilot per consentire all'agente di funzionare in base all'account utente creato. Per altre informazioni, vedere Risolvere i problemi relativi ai criteri di accesso condizionale per Microsoft Security Copilot.

Nota

È possibile modificare l'identità dell'agente dopo l'installazione, come descritto in Modificare le impostazioni dell'agente.

Assegnare autorizzazioni

In linea con il principio dei privilegi minimi, è consigliabile assegnare all'identità dell'agente solo le autorizzazioni richieste dall'agente di valutazione degli avvisi di sicurezza per eseguire le attività.

  • Se si usa un ID agente, nell'elenco a discesa vengono visualizzati solo i ruoli dell'organizzazione con le autorizzazioni necessarie per l'agente. Selezionare un ruolo esistente nell'organizzazione o creare automaticamente un nuovo ruolo con le autorizzazioni necessarie se non è già stato configurato un ruolo appropriato.

    Screenshot della schermata Crea un'identità nuovo agente nella configurazione guidata dell'agente di valutazione degli avvisi di sicurezza.

  • Se si usa un account utente esistente, è necessario assegnare le autorizzazioni necessarie a tale identità prima di assegnare l'identità dell'agente durante l'installazione. Non è possibile eseguire questa operazione dalla configurazione guidata.

    Screenshot della schermata Connetti con un account utente esistente nella configurazione guidata dell'agente di valutazione degli avvisi di sicurezza

Autorizzazioni necessarie per l'agente di valutazione degli avvisi di sicurezza

L'agente di valutazione degli avvisi di sicurezza richiede autorizzazioni specifiche per accedere ai dati necessari ed eseguire le relative funzioni di valutazione. Le autorizzazioni necessarie dipendono dai tipi di avviso e dai prodotti associati con cui si vuole usare l'agente.

Questa tabella riepiloga le autorizzazioni e gli ambiti di dati necessari per ogni tipo di avviso:

Tipo di avviso Autorizzazioni Ambiti dati
avvisi di Email e collaborazione, incluso il phishing Security Copilot (lettura), Nozioni di base dei dati di sicurezza (lettura), Avvisi (gestione), metadati di collaborazione Email & (lettura), contenuto di collaborazione Email & (lettura) Microsoft Defender per Office 365
Avvisi cloud, inclusi i contenitori Security Copilot (lettura), Nozioni di base sulla sicurezza (lettura), Avvisi (gestione) Microsoft Defender per il cloud
Avvisi di identità Security Copilot (lettura), Nozioni di base sulla sicurezza (lettura), Avvisi (gestione) Microsoft Defender per identità e Microsoft Defender for Cloud Apps

Queste autorizzazioni si trovano nel gruppo di autorizzazioni Operazioni di sicurezza :

Screenshot delle autorizzazioni necessarie per La valutazione degli avvisi

Per creare manualmente un ruolo:

  1. Assicurarsi che i carichi di lavoro RBAC unificati pertinenti siano attivati per consentire all'agente di analizzare in modo efficace gli avvisi con un contesto completo. Seguire la procedura descritta in Prerequisiti specifici del carico di lavoro.

  2. Creare un ruolo con le autorizzazioni necessarie o assegnare un ruolo esistente con queste autorizzazioni all'agente.

    Assicurarsi di concedere al ruolo l'accesso a tutte le origini dati rilevanti in base agli avvisi supportati da associare all'agente di valutazione degli avvisi di sicurezza.

    Screenshot delle origini dati necessarie per la valutazione degli avvisi di sicurezza

  3. Assegnare il ruolo all'identità dell'agente.

Importante

Dopo aver assegnato all'agente le autorizzazioni, assicurarsi che il gruppo di utenti che monitora l'agente disponga di autorizzazioni uguali o superiori per controllarne l'attività e l'output. A tale scopo, confrontare le autorizzazioni del gruppo di utenti con l'agente nella pagina Autorizzazioni del portale di Microsoft Defender.

Usare l'agente di valutazione degli avvisi di sicurezza

L'agente consente ai team di sicurezza di gestire ogni giorno l'elevato volume di avvisi ricevuti dalle organizzazioni tramite la valutazione automatica degli avvisi supportati e l'aggiornamento della classificazione e dello stato negli eventi imprevisti Microsoft Defender.

Trigger e flusso dell'agente

Dopo l'installazione, l'agente di valutazione degli avvisi di sicurezza viene eseguito automaticamente quando viene creato un avviso pertinente. L'agente analizza quindi in modo autonomo l'avviso usando sofisticati strumenti di intelligenza artificiale e il contesto dell'organizzazione per determinare se la minaccia associata è dannosa o solo un falso allarme.

Se l'avviso è determinato come falso allarme, l'agente lo classifica come falso positivo e lo risolve di conseguenza. Se l'avviso è considerato dannoso, viene classificato come True Positive e lo stato dell'evento imprevisto associato rimane aperto e in corso per consentire a un analista di analizzare e intraprendere ulteriori azioni.

Per ogni avviso elaborato, l'agente fornisce una spiegazione dettagliata del relativo verdetto nell'evento imprevisto corrispondente.

Collaborare con l'agente

Per mantenere la trasparenza, l'agente aggiorna regolarmente i campi degli eventi imprevisti durante il processo di valutazione. All'avvio della valutazione, l'agente assegna l'avviso a se stesso e aggiunge un tag Agent all'evento imprevisto corrispondente. Gli analisti possono filtrare la coda degli eventi imprevisti per visualizzare solo gli eventi imprevisti contrassegnati dall'agente, semplificando la supervisione e la definizione delle priorità.

Consiglio

È anche possibile filtrare la coda degli eventi imprevisti usando il nome dell'identità assegnata all'agente di valutazione degli avvisi di sicurezza per visualizzare gli eventi imprevisti su cui l'agente sta lavorando attivamente.

Quando un avviso viene identificato come una vera minaccia, l'agente di valutazione degli avvisi di sicurezza lo contrassegna come True Positive, consentendo agli analisti di filtrare e assegnare priorità agli eventi imprevisti in base alle classificazioni confermate.

Screenshot della coda degli eventi imprevisti filtrata in base al tag dell'agente di valutazione degli avvisi di sicurezza

Trasparenza e spiegabilità nella valutazione degli avvisi

Per ogni avviso elaborato, l'agente di valutazione degli avvisi di sicurezza fornisce una spiegazione dettagliata del verdetto e una rappresentazione grafica del flusso di lavoro decisionale.

Per esaminare i risultati dell'agente, seguire questa procedura:

  1. Selezionare un incidente dalla relativa coda.

  2. Nella pagina dell'evento imprevisto cercare la scheda Agente di valutazione degli avvisi di sicurezza nel pannello laterale Copilot o Attività nella sezione Valutazione della risposta guidata. L'attività è contrassegnata come completata e assegnata all'agente. La scheda presenta il verdetto dell'agente in base alla sua classificazione, evidenziando elementi chiave di prove incriminanti che hanno informato la decisione.

    Screenshot della pagina dell'evento imprevisto con la scheda Security Alert Triage Agent evidenziata

  3. È possibile selezionare i puntini di sospensione Altre azioni per visualizzare altri dettagli dell'avviso, copiare i dettagli di classificazione dell'agente negli Appunti o gestire i commenti e suggerimenti.

    Screenshot che evidenzia le opzioni di più azioni all'interno della scheda Agente di valutazione avvisi di sicurezza

  4. Per visualizzare i passaggi eseguiti dall'agente prima di raggiungere la classificazione, selezionare Visualizza attività agente nella scheda Agente di valutazione avvisi di sicurezza. Viene illustrata la logica alla base della classificazione finale dell'agente.

    Screenshot che evidenzia il riquadro attività Visualizza agente.

Insegnare all'agente il contesto dell'organizzazione tramite feedback

Importante

L'opzione di feedback è attualmente disponibile solo per gli avvisi di posta elettronica e collaborazione.

Per i tipi di avviso supportati, gli analisti possono facoltativamente fornire commenti e suggerimenti sulle classificazioni degli agenti in linguaggio naturale normale, senza che siano necessarie configurazioni complesse. Gli utenti autorizzati possono esaminare il feedback, valutarlo e applicarlo in modo esplicito per influenzare il modo in cui l'agente classifica avvisi simili in futuro. Questa funzionalità è attualmente disponibile solo per gli avvisi di posta elettronica e collaborazione.

Per fornire feedback e insegnare all'agente, seguire questa procedura:

  1. Nella pagina dell'evento imprevisto cercare la scheda Agente di valutazione degli avvisi di sicurezza nel pannello laterale Copilot o Attività nella sezione Valutazione della risposta guidata.

  2. Esaminare la classificazione e il ragionamento dell'agente visualizzati nel titolo e nel contenuto della scheda. Se la decisione non è allineata ai criteri di classificazione dell'organizzazione, selezionare Modifica classificazione. In alternativa, è possibile aggiornare la classificazione selezionando l'avviso specifico dalla scheda Avvisi e quindi scegliendo Gestisci avviso.

    Screenshot che evidenzia l'opzione Modifica classificazione nella scheda Agente di valutazione avvisi di sicurezza

  3. Nel riquadro Gestisci avviso selezionare la nuova classificazione dal menu a discesa Classificazione . Specificare quindi il motivo della modifica compilando il campo Perché è stato modificato questo campo di classificazione . Questo passaggio registra l'input nella pagina di gestione dei commenti e suggerimenti solo a scopo di controllo. L'agente non userà questo feedback per migliorare il processo decisionale fino a quando non si seleziona esplicitamente Usa questo feedback per insegnare all'agente. Se si sceglie di non usare questo feedback per insegnare all'agente, è possibile selezionare Salva, che controlla solo il feedback senza inserirlo nella memoria dell'agente.

    Screenshot che evidenzia i campi di classificazione e feedback nel riquadro Gestisci avviso

  4. Per applicare il feedback, selezionare Usa questo feedback per insegnare all'agente. È possibile usare la guida per scrivere commenti e suggerimenti per creare un input efficace e quindi scegliere Valuta feedback per visualizzare in anteprima il modo in cui l'agente traduce il feedback in una lezione e valutare se il risultato è allineato alla finalità. Inoltre, la valutazione del feedback esegue controlli di sicurezza di base per garantire che il feedback applicato sia pertinente per l'uso da parte dell'agente e non sia in conflitto con il feedback precedente.

    Nota

    È possibile fornire feedback all'agente solo una volta per ogni avviso e può essere usato solo per insegnare all'agente come classificare gli avvisi di posta elettronica e collaborazione, in particolare selezionando True Positive (phishing) o False Positive (non dannoso). Esaminare sempre il feedback e verificare la risposta generata dall'intelligenza artificiale prima di salvare la lezione.

  5. Se il risultato soddisfa le aspettative, è possibile scegliere di inserire la lezione nella memoria dell'agente per influenzarne le decisioni future. Selezionare Salva per salvare la lezione e archiviarla come lezione nella memoria dell'agente, se applicabile. Tutti i commenti e suggerimenti vengono registrati a scopo di controllo e le lezioni aggiunte alla memoria dell'agente possono essere esaminate più avanti nella pagina di gestione del feedback.

L'agente usa il feedback archiviato per valutare e classificare avvisi simili in futuro. Quando viene ricevuto un avviso pertinente che corrisponde alle caratteristiche di feedback, l'agente applica questo feedback per determinarne la classificazione, incorporandolo come prova di supporto nel processo decisionale.

Procedure consigliate per la scrittura di commenti e suggerimenti

Le lezioni forniscono linee guida sistematiche che consentono all'agente di determinare se un avviso è una vera minaccia di phishing o un falso allarme. Per assicurarsi che l'agente incorpori in modo efficace i commenti e suggerimenti, seguire queste procedure consigliate quando si fornisce l'input all'agente di valutazione degli avvisi di sicurezza:

  1. Assicurarsi che il feedback sia pertinente e contestuale. Il feedback deve riguardare solo il messaggio di posta elettronica attualmente in fase di revisione. Deve anche essere allineata alla classificazione aggiornata assegnata.
  2. Essere descrittivo e specifico. Spiegare chiaramente le caratteristiche dell'e-mail. Specificare i dettagli rilevanti, ad esempio l'oggetto del messaggio, il corpo del messaggio, il mittente o i destinatari, per consentire all'agente di comprendere il contesto. Un feedback specifico con più dettagli migliora l'efficacia.
  3. Garantire chiarezza e decisione. Evitare affermazioni vaghe o universali. Inviare commenti e suggerimenti chiari e interattivi. Usare termini di identificazione chiari e decisi.
  4. Essere coerenti con i commenti e suggerimenti precedenti. Assicurarsi che i nuovi commenti e suggerimenti siano allineati a quanto fornito in precedenza per evitare contraddizioni che potrebbero confondere l'agente o ridurre l'accuratezza delle decisioni. È possibile esaminare tutto l'input inviato in precedenza nella pagina di gestione dei commenti e suggerimenti .
  5. Esaminare l'interpretazione del feedback da parte dell'agente. Quando si inviano commenti e suggerimenti, verificare sempre che il feedback venga tradotto in modo accurato in una lezione. Verificare che la lezione rifletta la finalità e mantenga la coerenza con l'input originale. Verifica della validità delle risposte generate dall'IA per verificare che siano applicabili allo scenario.

Di seguito sono riportati alcuni esempi di come scrivere commenti e suggerimenti nell'agente.

Area Esempi di feedback ben scritto Esempi di feedback che possono causare errori Confronto
Feedback su un mittente Qualsiasi messaggio di posta elettronica che dichiara di provenire da provider di vantaggi deve provenire da "@benefits.company.com". Il mittente nel secondo avviso dell'evento imprevisto non è legittimo. Il feedback deve essere correlato al messaggio di posta elettronica nell'avviso corrente e al relativo contesto. Verrà associato alla classificazione scelta (anche se non indicato in modo esplicito nel feedback) e usato per avvisi futuri simili.
Feedback sul mittente e sul corpo del messaggio di posta elettronica I messaggi di posta elettronica che offrono condivisione file o accesso ai documenti devono provenire solo dal provider autorizzato Contoso.com. I messaggi di posta elettronica che offrono condivisione file o accesso ai documenti devono provenire solo dai provider autorizzati. Il feedback ben scritto indica chiaramente i requisiti specifici (ad esempio, il dominio del mittente), mentre i riferimenti vaghi (ad esempio i "provider autorizzati") non contengono informazioni interattive.
Commenti e suggerimenti sull'oggetto della posta elettronica Qualsiasi messaggio di posta elettronica contenente un oggetto che contiene una richiesta di transazione di fatturazione non è consentito nell'organizzazione ed è considerato come phishing. Se il soggetto ha un sentiment naturale positivo, è legittimo. Il feedback descrittivo e specifico può essere convalidato in modo efficace, mentre il feedback soggettivo può portare a risultati imprevisti.
Feedback sul corpo del messaggio di posta elettronica I messaggi di posta elettronica che richiedono la verifica delle credenziali devono includere un riferimento all'account o al servizio specifico. Qualsiasi richiesta generica di "verifica dell'account" senza dettagli deve essere considerata come phishing. Questo messaggio di posta elettronica deve essere considerato come phishing. È più probabile che il feedback che include informazioni dettagliate venga chiaramente compreso, mentre il feedback privo di dettagli può essere interpretato in vari modi e può portare a risultati imprevedibili.
Commenti e suggerimenti su un destinatario e sul corpo del messaggio di posta elettronica Questo messaggio di posta elettronica è stato inviato a più dipendenti e il corpo indica ai destinatari di scaricare un "allegato importante" senza descriverne il contenuto. I messaggi di posta elettronica legittimi specificano sempre i dettagli degli allegati. I messaggi di posta elettronica interni di massa con allegati sono phishing. Il feedback che evidenzia dettagli mancanti specifici comunemente presenti nei messaggi di posta elettronica legittimi è più efficace. Il feedback che contiene generalizzazioni generali (messaggi di posta elettronica di massa) o termini vaghi (ad esempio "interno") può portare a un numero eccessivo di veri positivi.
Feedback su un destinatario e un dominio I messaggi di posta elettronica per l'onboarding del nuovo appaltatore devono essere inviati solo agli indirizzi di posta elettronica che iniziano con "v-" per assicurarsi che vengano indirizzati ai destinatari corretti. I messaggi di posta elettronica dell'appaltatore hanno un aspetto diverso dal solito, quindi potrebbero essere phishing. Un feedback ben scritto definisce chiaramente il formato destinatario previsto, mentre il feedback indecissivo ("potrebbe essere") e privo di criteri di identificazione chiari ("sembra diverso dal solito" senza specificare ciò che è diverso), rende il rilevamento inaffidabile.

Risolvere gli errori di feedback

Quando l'agente riceve il feedback, lo traduce in una lezione. Se l'agente non riesce a interpretare il feedback, un messaggio pertinente mostra cosa ha causato l'errore. È possibile risolvere questi errori in base al messaggio restituito dall'agente.

Di seguito sono riportati esempi di errori che potrebbero verificarsi durante la scrittura di commenti e suggerimenti nell'agente e come risolverli.

Messaggio di errore Azione consigliata
Screenshot del messaggio di errore relativo alle informazioni irrilevanti nel feedback fornito
Una parte del feedback fornito non può essere risolta perché l'agente attualmente non supporta questo tipo di input e pertanto non può essere tradotto in una lezione.		 Riscrivere il feedback e assicurarsi che segua le procedure consigliate. Selezionare Valuta feedback per riprovare.
Screenshot del messaggio di errore relativo alle funzionalità non supportate nel feedback fornito
Il feedback contiene l'input che l'agente può supportare, ma non è rilevante per il messaggio di posta elettronica a portata di mano e pertanto non può essere convertito in una lezione pratica da salvare in memoria.		 Riscrivere il feedback e assicurarsi che indirizzi le descrizioni del messaggio di posta elettronica che può supportare. Selezionare quindi Valuta feedback per riprovare.
Screenshot del messaggio di errore relativo ai dati in conflitto nel feedback fornito
Il feedback specificato è in conflitto con il feedback precedente fornito a un messaggio di posta elettronica simile.		 Nella pagina di gestione dei commenti e suggerimenti cercare l'ID feedback per visualizzare il feedback con cui è in conflitto. In base alla recensione, è possibile:
- Rifiutare il feedback precedente nella pagina di gestione dei commenti e suggerimenti. Successivamente, selezionare Valuta per provare di nuovo a inserire il feedback.
- Riscrivere il feedback specificato in modo che non sia in conflitto e quindi selezionare Valuta feedback per l'agente per rivalutare il nuovo input.

Nota

È possibile scegliere di non risolvere gli errori di feedback. È possibile lasciare il feedback e selezionare Salva senza selezionare la casella per l'insegnamento all'agente. Il feedback non verrà salvato nella memoria dell'agente e verrà documentato solo nella pagina di gestione del feedback per le modifiche alla classificazione di rilevamento future.

Quando il feedback applicabile viene approvato e archiviato, l'agente può applicarlo durante la valutazione di avvisi simili in futuro, in base alle stesse autorizzazioni e controlli.

Monitorare e gestire l'agente di valutazione degli avvisi di sicurezza

Per visualizzare le metriche dell'agente e gestire l'agente, passare alla scheda Agente di valutazione degli avvisi di sicurezza nella coda degli eventi imprevisti o nella pagina Agenti:

  • Per aprire direttamente la pagina Agente di valutazione degli avvisi di sicurezza, selezionare Security Copilot > Agenti, cercare l'agente di valutazione degli avvisi di sicurezza in Agenti in uso e selezionare Vai all'agente.

    Questa pagina è costituita da due schede: Panoramica e Prestazioni.

    • La scheda Panoramica fornisce informazioni dettagliate sullo stato corrente dell'agente, sull'identità, sul ruolo e sull'attività recente.

      Screenshot della scheda Panoramica nella pagina Agente valutazione avvisi di sicurezza.

      Selezionare un'attività dall'elenco Attività recenti per visualizzare i dettagli sull'indagine dell'agente e sul flusso di lavoro completo dell'agente.

      Screenshot del riquadro dei dettagli dell'attività aperto dalla pagina Agente di valutazione avvisi di sicurezza.

      Selezionare Visualizza flusso di lavoro dell'agente completo per visualizzare una rappresentazione grafica del processo decisionale dell'agente per tale attività specifica.

      Screenshot della pagina completa del flusso di lavoro dell'agente visualizzata dalla pagina Agente di valutazione degli avvisi di sicurezza.

    • La scheda Prestazioni visualizza le metriche chiave relative all'attività dell'agente nel tempo, tra cui l'attività giornaliera, il tempo medio di valutazione (MTTT) e il consumo SCU.

      Screenshot della scheda Prestazioni nella pagina Agente di valutazione avvisi di sicurezza.

    Selezionare i puntini di sospensione (...) nell'angolo superiore destro della pagina per accedere alle opzioni di gestione per l'agente, come descritto nelle sezioni seguenti.

    Selezionare Sospendi o Esegui per arrestare o riavviare temporaneamente le attività dell'agente.

  • Per aprire la scheda Agente valutazione avvisi di sicurezza nella coda degli eventi imprevisti, selezionare Indagine & risposta > Eventi imprevisti & avvisi Eventi imprevisti > .

    La scheda Security Alert Triage Agent sopra la coda degli eventi imprevisti mostra alcune delle metriche chiave dell'agente, inclusi gli eventi imprevisti risolti, ovvero gli eventi imprevisti contenenti avvisi classificati dall'agente come minacce vere o falsi allarmi.

    Questi dati consentono di dimostrare l'impatto dell'agente e possono essere usati per informare conversazioni strategiche più ampie, evidenziare il ritorno sugli investimenti o supportare le decisioni relative al ridimensionamento dell'automazione nell'organizzazione.

    Le metriche vengono calcolate in base all'attività dell'agente, a partire dal primo evento imprevisto registrato o dagli ultimi 30 giorni, a seconda di quale sia più recente.

    Screenshot della coda degli eventi imprevisti con la scheda Agente di valutazione degli avvisi di sicurezza evidenziata.

    Selezionare Gestisci agente nella scheda per aprire la pagina Agente valutazione avvisi di sicurezza , che include più metriche delle prestazioni e opzioni di gestione.

Modificare le impostazioni dell'agente

Per modificare le impostazioni dell'agente:

  1. Selezionare Security Copilot > Agenti.

  2. Cercare l'agente di valutazione degli avvisi di sicurezza in Agenti in uso e selezionare Vai all'agente.

  3. Selezionare i puntini di sospensione (...) > Modificare l'agente nell'angolo in alto a destra della pagina Agente valutazione avvisi di sicurezza .

    La pagina Modifica agente include tre schede:

    • Identità e ruolo : modificare l'identità dell'agente. Selezionare Selezionare una nuova identità e seguire la procedura descritta in Assegnare l'identità e le autorizzazioni dell'agente.

    • Feedback : consente di visualizzare e gestire i commenti e suggerimenti inviati dall'utente. Per altre informazioni, vedere Visualizzare e gestire il feedback per l'agente.

    • Avvisi supportati : visualizzare i tipi di avviso supportati che l'agente può valutare. Per attivare o disattivare tipi di avviso specifici per l'agente:

      1. Selezionare Modifica avvisi supportati per aprire la pagina Avvisi supportati dall'agente .

        Screenshot dell'opzione Modifica avvisi supportati nella pagina Modifica agente.

      2. Attivare o disattivare singoli tipi di avviso e selezionare Aggiorna.

        Screenshot della pagina Avvisi supportati dall'agente con interruttori per ogni tipo di avviso.

      3. Selezionare Aggiorna autorizzazioni ruolo per applicare gli aggiornamenti.

        Screenshot del pannello Avvisi supportati da Agent con interruttori per gli avvisi di posta elettronica, cloud e identità e il pulsante Aggiorna evidenziato.

Visualizzare e gestire il feedback per l'agente

L'agente di valutazione degli avvisi di sicurezza apprende dai commenti inviati dall'utente e ne migliora le prestazioni nel tempo. Archivia il feedback applicabile nella memoria come lezioni. È possibile visualizzare e gestire i commenti e suggerimenti per l'agente di valutazione degli avvisi di sicurezza nella pagina commenti e suggerimenti dell'agente .

Questa pagina fornisce un elenco completo di tutti i commenti e suggerimenti inviati all'agente. È possibile esaminare i dettagli chiave per ogni elemento di feedback, tra cui:

  • Classificazione originale dell'agente e modifica applicata dall'utente
  • Il feedback originale fornito dall'utente, quando si modifica la classificazione
  • La lezione tradotta generata dall'agente (se applicabile)
  • Stato del feedback: in uso, non in uso o in conflitto
  • L'utente che ha fornito il feedback
  • Data di invio del feedback, ID feedback, ID avviso e ID evento imprevisto

Screenshot della pagina di gestione dei commenti e suggerimenti

Questa tabella illustra gli stati dei commenti e suggerimenti:

Stato Descrizione
In uso Il feedback è stato convertito correttamente in una lezione nella memoria dell'agente e viene usato attivamente per valutare e classificare eventi imprevisti simili.
Conflitto Il feedback fornito è in conflitto con il feedback fornito in precedenza in un evento imprevisto simile. Informazioni su come risolvere gli errori di feedback.
Non in uso Il feedback non è stato incorporato nella memoria dell'agente o non è stato contrassegnato dall'utente per l'insegnamento. Le lezioni rifiutate vengono visualizzate come "non in uso" e vengono salvate solo per il controllo, non per la valutazione e la classificazione degli eventi imprevisti. Per altri dettagli, selezionare il pannello dei dettagli.

Consiglio

Il feedback può essere gestito solo singolarmente. La gestione in blocco di più voci di feedback non è attualmente supportata.

Per visualizzare e gestire il feedback inviato dall'utente:

  1. Selezionare Security Copilot > Agenti, cercare l'agente di valutazione degli avvisi di sicurezza in Agenti in uso e selezionare Vai all'agente.

  2. Selezionare i puntini di sospensione (...) > Modificare l'agente nell'angolo in alto a destra della pagina. Verrà visualizzata la pagina Modifica agente .

  3. Selezionare Feedback nel riquadro sinistro per aprire la pagina Commenti e suggerimenti dell'agente .

  4. Selezionare una voce dall'elenco di commenti e suggerimenti per aprire il riquadro Verifica commenti e suggerimenti .

  5. Controllare i dettagli del feedback fornito, la lezione dell'agente, le modifiche alla classificazione e altri dettagli importanti.

    Screenshot del riquadro Verifica commenti e suggerimenti

  6. Per rifiutare commenti e suggerimenti specifici, selezionare Rifiuta commenti e suggerimenti. L'agente smette di usare il feedback nelle decisioni di valutazione future.

    Nota

    Per rifiutare i commenti e suggerimenti forniti, è necessario il ruolo Di amministratore della sicurezza in Microsoft Entra ID.

Rimuovere l'agente

Quando si rimuove l'agente, la valutazione e la classificazione dei nuovi eventi imprevisti vengono arrestate e tutti i commenti e suggerimenti vengono eliminati. Tuttavia, la cronologia degli eventi imprevisti precedentemente triaged viene mantenuta come riferimento.

Per rimuovere l'agente:

  1. Selezionare Security Copilot > Agenti, cercare l'agente di valutazione degli avvisi di sicurezza in Agenti in uso e selezionare Vai all'agente.
  2. Selezionare i puntini di sospensione (...) nell'angolo superiore destro della pagina e quindi selezionare Rimuovi.

Domande frequenti

Di seguito sono riportate le risposte alle domande frequenti sull'agente di valutazione degli avvisi di sicurezza. Per informazioni sulle funzionalità e i requisiti dell'agente, vedere le sezioni Funzionamento e prerequisitidell'agente di valutazione degli avvisi di sicurezza di questo articolo.

Qual è l'agente di valutazione degli avvisi di sicurezza, qual è la differenza rispetto all'agente di valutazione del phishing e come eseguire l'onboarding se si usa già l'agente per valutare gli avvisi di phishing?

L'agente di valutazione degli avvisi di sicurezza è un agente di Microsoft Security Copilot autonomo in Microsoft Defender che consente ai team di sicurezza di valutare gli avvisi su larga scala. Valuta gli avvisi usando il ragionamento basato sull'intelligenza artificiale, arriva a un verdetto e registra le sue conclusioni direttamente negli eventi imprevisti Microsoft Defender per aiutare gli analisti a dare priorità a ciò che richiede un'azione.

L'agente di valutazione degli avvisi di sicurezza è lo stesso agente dell'agente di valutazione del phishing, esteso per valutare altri tipi di avviso oltre alla posta elettronica e alla collaborazione. L'agente di valutazione degli avvisi di sicurezza è modulare: è possibile scegliere i tipi di avviso che l'agente deve valutare. L'agente ora si estende agli avvisi di identità e cloud, a partire dai contenitori, attualmente in anteprima. Email e le funzionalità di valutazione degli avvisi di collaborazione sono già disponibili a livello generale. Il set di avvisi supportati dovrebbe crescere nel tempo.

Se si usa già l'agente di valutazione del phishing, non è necessario installare un nuovo agente. L'agente esistente continuerà a funzionare ed è possibile abilitare i tipi di avviso aggiuntivi tramite la configurazione. Per eseguire l'onboarding delle funzionalità espanse, esaminare i prerequisiti per i tipi di avviso aggiuntivi e modificare le impostazioni dell'agente per selezionare i tipi di avviso che si desidera abilitare.

La configurazione di valutazione del phishing esistente e il feedback vengono riportati automaticamente. Per altre informazioni, vedere Funzionamento dell'agente di valutazione degli avvisi di sicurezza e Configurare l'agente di valutazione degli avvisi di sicurezza.

Quando viene attivato l'agente?

Questo agente viene eseguito automaticamente quando viene rilevato un nuovo avviso. Le regole di ottimizzazione predefinite che consentono di risolvere i tipi di avviso supportati verranno disabilitate durante l'installazione.

È possibile considerare attendibile l'agente di valutazione degli avvisi di sicurezza?

Microsoft AI agenti seguono rigorose linee guida per l'intelligenza artificiale responsabile e vengono sottoposte a verifiche approfondite per garantire la conformità a tutti gli standard e le misure di sicurezza per l'IA. L'agente di valutazione degli avvisi di sicurezza è completamente incorporato in questi controlli. Durante l'installazione, assegnare all'agente un'identità e configurarla con le autorizzazioni minime necessarie per il suo funzionamento, assicurandosi che non disponga di autorizzazioni non necessarie. Tutte le attività dell'agente vengono registrate in dettaglio, con il flusso completo disponibile per la revisione da parte di analisti e amministratori in qualsiasi momento. Il feedback fornito all'agente per adattarsi all'ambiente dell'organizzazione viene registrato, riflesso nel sistema e accessibile per la revisione e la modifica da parte degli amministratori in base alle esigenze.

In che modo l'agente differisce da una soluzione SOAR standard?

Sebbene sia le soluzioni SOAR che l'agente di valutazione degli avvisi di sicurezza automatizzano gli aspetti delle operazioni di sicurezza, usano approcci diversi.

Le soluzioni SOAR si basano in genere su flussi di lavoro predefiniti basati su regole che richiedono la configurazione manuale e la manutenzione continua. Al contrario, l'agente di valutazione degli avvisi di sicurezza usa l'analisi basata sul ragionamento per valutare gli avvisi e registrare le classificazioni all'interno di Microsoft Defender, con supervisione umana e feedback facoltativo se supportato.

L'agente opera all'interno di autorizzazioni e flussi di lavoro definiti in Microsoft Defender e non sostituisce gli strumenti di analisi o risposta esistenti.

Quale livello di visibilità e controllo ho sull'agente?

Microsoft offre agli organizzazioni strumenti per mantenere la visibilità e il controllo sull'agente di valutazione degli avvisi di sicurezza dalla distribuzione tramite operazioni in corso. Gli agenti rispettano gli standard MICROSOFT Responsible AI (RAI) per equità, affidabilità, sicurezza, privacy, sicurezza, inclusività, trasparenza e responsabilità. Gli amministratori configurano i livelli di identità e accesso dell'agente durante l'installazione, seguendo i principi dei privilegi minimi. I team IT e di sicurezza possono autorizzare azioni specifiche, monitorare le prestazioni ed esaminare gli output direttamente in Microsoft Defender. Anche il consumo di capacità e i limiti di accesso ai dati sono configurabili dagli amministratori.

L'agente di valutazione degli avvisi di sicurezza opera all'interno di un ambiente con attendibilità zero. Il sistema applica i criteri dell'organizzazione a ogni azione dell'agente valutando la finalità e l'ambito di ogni operazione. Tutte le decisioni, il ragionamento e le azioni intraprese dall'agente sono documentate in modo trasparente come albero delle decisioni all'interno di Defender e registrate nei log di controllo di Microsoft Purview per la tracciabilità e la conformità.

Si vuole provare l'agente di valutazione degli avvisi di sicurezza: come è possibile configurarlo in Microsoft Defender?

Per configurare l'agente, è necessario avere accesso a Security Copilot in Microsoft Defender e soddisfare i prerequisiti necessari. Se non è stato ancora fatto l'onboarding in Security Copilot, vedere Introduzione a Security Copilot o contattare il rappresentante Microsoft. Dopo aver eseguito l'onboarding in Security Copilot, l'opzione di configurazione dell'agente può richiedere un po' di tempo per diventare disponibile nel portale di Microsoft Defender.

È stato provato l'agente di valutazione degli avvisi di sicurezza: come è possibile stimare la capacità SCU necessaria per l'agente nell'organizzazione?

È importante assicurarsi che l'organizzazione disponga di SKU sufficienti per il funzionamento dell'agente integro. Per valutare l'utilizzo e la capacità del piano SCU in futuro, vedere il dashboard di monitoraggio dell'utilizzo nel portale di Security Copilot e verificare se si ha diritto alle SKU come parte del modello di inclusione Microsoft Security Copilot. Il dashboard mostra:

  • Costo per posta elettronica elaborata
  • Consumo di capacità nel tempo

È anche possibile esportare i dati del dashboard in Excel per un'analisi più dettagliata e filtrare solo in base alle operazioni dell'agente.

Dopo aver valutato le esigenze di utilizzo di SCU, aggiornare la capacità SCU per l'organizzazione. Per altre informazioni sulla gestione delle SKU, vedere Gestire l'utilizzo delle unità di calcolo di sicurezza in Security Copilot.

Contenuto correlato

  • Last updated on