Distribuire agenti di intelligenza artificiale in Microsoft Defender

  • Si applica a: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Security Store nel portale di Microsoft Defender offre vari agenti che consentono di eseguire le attività di sicurezza in modo efficiente. Questi agenti includono Microsoft Security Copilot agenti pubblicati da Microsoft e dai partner. Questi agenti si integrano con Microsoft Defender ed eseguono varie attività di sicurezza (SOC), ad esempio valutazione degli eventi imprevisti, indagini, ricerca delle minacce e intelligence sulle minacce.

Questo articolo illustra come individuare e distribuire gli agenti di intelligenza artificiale in Microsoft Defender.

Nota

Per altre informazioni sulla pubblicazione di agenti in Security Store, vedere Pubblicare agenti in Microsoft Security Store.

Prerequisiti

Per acquistare, distribuire e usare agenti da Security Store, è necessario:

Individuare e distribuire agenti nel portale di Microsoft Defender

Per individuare e distribuire gli agenti nel portale di Microsoft Defender:

  1. Selezionare Security Copilot > Archivio sicurezza.

  2. Individuare o cercare l'agente che si vuole distribuire.

  3. Selezionare l'agente per visualizzarne i dettagli, incluse le funzionalità, i requisiti e le istruzioni di configurazione.

  4. Per acquistare e distribuire l'agente:

    • Selezionare Ottieni agente per avviare il processo di distribuzione se si dispone di autorizzazioni sufficienti. Per altre informazioni, vedere Prerequisiti.

    • Selezionare Copia collegamento per copiare l'URL della pagina dei dettagli dell'agente e condividerlo con un amministratore della sicurezza, se non si dispone delle autorizzazioni per distribuire gli agenti.

      Screenshot che mostra la pagina Archivio sicurezza nel portale di Microsoft Defender.

    • Per gli agenti pubblicati dai partner, completare l'acquisto e la distribuzione nel sito Web di Security Store, come descritto nella documentazione di Microsoft Security Store.

      È possibile gestire gli acquisti centralizzati per gli agenti pubblicati dai partner tramite offerte pubbliche o offerte private, come descritto in Come acquistare soluzioni SaaS (offerte private).

  5. Dopo aver acquistato l'agente, selezionare Security Copilot > Agenti, trovare l'agente nella sezione Pronto per l'installazione e quindi selezionare Configura per avviare la configurazione dell'agente.

    Per altre informazioni sulla configurazione, la gestione e l'esecuzione di agenti pubblicati dal partner, vedere Gestire gli agenti Security Copilot.

    Per altre informazioni sugli agenti Microsoft Security Copilot, vedere Microsoft Security Copilot agenti in Microsoft Defender.

    Dopo l'installazione, l'agente viene visualizzato nella sezione Agenti in uso .

agenti Microsoft Security Copilot in Microsoft Defender

Questa sezione descrive in dettaglio gli agenti Microsoft Security Copilot disponibili nel portale di Microsoft Defender.

Agente di valutazione degli avvisi di sicurezza (anteprima)

Nota

L'agente di valutazione degli avvisi di sicurezza è lo stesso agente dell'agente di valutazione del phishing con funzionalità estese per valutare un set più ampio di tipi di avviso. L'agente di valutazione degli avvisi di sicurezza è disponibile solo per i clienti che fanno parte dell'anteprima. Se non si fa parte dell'anteprima, l'agente di valutazione del phishing continua a essere disponibile in Security Store.

L'agente di valutazione degli avvisi di sicurezza è un agente autonomo che consente ai team di sicurezza di valutare gli avvisi su larga scala tra più carichi di lavoro. L'agente applica il ragionamento dinamico basato sull'intelligenza artificiale per fornire verdetti chiari per i carichi di lavoro di sicurezza supportati. Questo è lo stesso agente dell'agente di valutazione del phishing, che ha dimostrato miglioramenti misurabili nell'accuratezza e nell'efficienza della valutazione. L'agente può ora valutare un set più ampio di avvisi in Microsoft Defender, inclusi avvisi di posta elettronica e collaborazione (disponibili a livello generale) e avvisi cloud e identità (anteprima). L'agente opera in modo autonomo, fornisce una logica trasparente per i verdetti di classificazione in linguaggio naturale e impara e migliora continuamente la sua accuratezza in base al feedback degli analisti.

Attributo Descrizione
Identità Creare una nuova identità dell'agente o connettersi a un account utente esistente
License Dipende da tipi di avviso:
Autorizzazioni L'agente richiede queste autorizzazioni per funzionare, a seconda dei tipi di avviso che si desidera valutare:
  • Tutti i tipi di avviso: Security Copilot (lettura), Nozioni di base dei dati di sicurezza (lettura), Avvisi (gestione)
  • avvisi di collaborazione e Email: Email & metadati di collaborazione (lettura), contenuti di collaborazione Email & (lettura)
  • Avvisi cloud e identità: Non sono necessarie autorizzazioni aggiuntive oltre alle autorizzazioni di base
Plug-in L'agente attiva automaticamente questi plug-in Security Copilot:
Prodotti
  • Security Copilot
  • Microsoft Defender per Office 365 Piano 2 (per avvisi di posta elettronica e collaborazione)
  • Microsoft Defender per il cloud (per gli avvisi cloud)
  • Microsoft Defender per identità e Microsoft Defender for Cloud Apps (per gli avvisi di identità)
Accesso in base al ruolo L'amministratore della sicurezza Microsoft Entra ruolo è necessario per configurare e gestire l'agente

Gli utenti con le stesse autorizzazioni dell'agente di valutazione degli avvisi di sicurezza possono visualizzare l'attività e i risultati dell'agente e fornire commenti e suggerimenti sul verdetto di classificazione dell'agente.
Attivazione Viene eseguito automaticamente quando viene rilevato un nuovo avviso per i tipi di avviso configurati, inclusi i messaggi di posta elettronica segnalati dall'utente (per gli avvisi di posta elettronica e collaborazione), gli avvisi di sicurezza cloud (per gli avvisi cloud) e gli avvisi di identità.

Agente di briefing di Intelligence per le minacce

L'agente di intelligence per le minacce fornisce ai team delle operazioni di sicurezza briefing sulle minacce regolari e personalizzati. L'agente raccoglie e sintetizza in modo autonomo i dati di intelligence sulle minacce rilevanti da varie origini, fornendo informazioni concise e interattive per aiutare gli analisti a rimanere informati sulle minacce e le tendenze emergenti.

Attributo Descrizione
Identità Creare una nuova identità dell'agente o connettersi a un account utente esistente
License Non applicabile
Autorizzazioni Autorizzazioni necessarie:
  • Microsoft Defender per endpoint
  • Ruolo con autorizzazioni di lettura per la sicurezza
Autorizzazioni facoltative:
  • Gestione dell'esposizione (lettura)
Prodotti Security Copilot
Plug-in Per eseguire questo agente sono necessari i plug-in seguenti:
  • Microsoft Threat Intelligence
  • Agenti di Microsoft Threat Intelligence
Il plug-in seguente è facoltativo, ma può aggiungere altro contesto all'output:
  • Gestione della superficie di attacco esterna di Microsoft Defender
Accesso in base al ruolo Il ruolo Amministratore della sicurezza è necessario per configurare e gestire l'agente.

Gli utenti con le stesse autorizzazioni dell'agente briefing di Intelligence per le minacce possono visualizzare l'attività e i risultati dell'agente.
Attivazione Viene eseguito all'intervallo di tempo impostato configurato durante l'installazione o manualmente quando si vuole eseguirlo

Configurare le autorizzazioni di Defender per endpoint per l'identità dell'agente

Quando si esegue l'agente briefing di Intelligence per le minacce con un'identità dell'agente, è anche necessario configurare le autorizzazioni del ruolo Defender per endpoint e l'accesso al gruppo di dispositivi seguenti. Senza queste autorizzazioni, il report di esposizione può essere visualizzato come "non disponibile" o restituire zero CVE anche quando esistono vulnerabilità nell'ambiente.

Passaggio 1: Aggiornare le autorizzazioni del ruolo dell'agente

  1. Accedere al portale di Microsoft Defender.
  2. Passare a Impostazioni>- Ruoli delleautorizzazioni> degli > endpoint.
  3. Individuare il ruolo personalizzato assegnato all'agente briefing di Intelligence per le minacce.
  4. Modificare il ruolo e verificare che siano abilitate le autorizzazioni seguenti:
    • Ricerca avanzata - Lettura
    • Gestione delle vulnerabilità - Lettura
    • Configurazione computer - Lettura
    • Inventario dispositivi - Lettura
  5. Salvare eventuali modifiche se vengono eseguiti aggiornamenti.

Passaggio 2: Concedere al gruppo di dispositivi l'accesso all'agente

  1. Nel portale di Microsoft Defender passare a Impostazioni>Endpoint>Gruppi di dispositivi.
  2. Per ogni gruppo di dispositivi che contiene endpoint di produzione:
    1. Aprire il gruppo di dispositivi.
    2. Selezionare la sezione Accesso utente .
    3. Aggiungere l'identità dell'agente di Intelligence per le minacce.
    4. Assegnare l'accesso in lettura .
  3. Salvare le modifiche.

Importante

Attendere la sincronizzazione degli aggiornamenti delle autorizzazioni tra Microsoft Defender servizi prima di eseguire l'agente.

Agente di ricerca delle minacce

L'agente di ricerca delle minacce rivoluziona la ricerca delle minacce consentendo di analizzare le minacce usando il linguaggio naturale dall'inizio alla fine. Non solo genera query KQL, ma interpreta anche i risultati, visualizza informazioni dettagliate e guida l'utente nelle sessioni di ricerca complete. Queste funzionalità consentono di cacciare le minacce più velocemente, in modo più accurato e con maggiore sicurezza.

Screenshot del riquadro Copilot nella ricerca avanzata con la risposta evidenziata.

Agente analista della sicurezza

L'agente degli analisti della sicurezza consente agli analisti della sicurezza di identificare, valutare e assegnare priorità ai rischi rapidamente eseguendo analisi pronte all'uso o personalizzate sui dati di sicurezza. L'agente fornisce informazioni dettagliate, raccomandazioni e report interattivi e con priorità per individuare le principali vulnerabilità e rischi. Supporta i dati provenienti da Microsoft Defender XDR, Sentinel Log Analytics o Sentinel Data Lake e può eseguire attività di analisi complesse, ad esempio il rilevamento anomalie, il clustering, l'assegnazione dei punteggi dei rischi e la previsione senza richiedere codice o query.

Attributo Descrizione
Identità Associato all'identità dell'utente; ogni utente configura l'agente in modo indipendente
License Non applicabile
Autorizzazioni Accesso in lettura a Microsoft Defender XDR, Microsoft Sentinel'area di lavoro Log Analytics o Microsoft Sentinel Data Lake, a seconda dell'origine dati scelta
Prodotti
  • Security Copilot
  • Microsoft Defender XDR (origine dati facoltativa)
  • Microsoft Sentinel (origine dati facoltativa)
Accesso in base al ruolo Gli utenti con accesso in lettura alle origini dati selezionate possono configurare e usare l'agente.
Attivazione Viene eseguito su richiesta quando si immette un prompt di analisi della sicurezza nella chat dell'agente o si seleziona Analizza con copilot dai risultati della query di ricerca avanzata

Agente di rilevamento dinamico delle minacce

L'agente di rilevamento dinamico delle minacce nel portale di Defender è un servizio back-end adattivo e sempre attivo che individua le minacce nascoste negli ambienti Defender e Microsoft Sentinel. Usa l'intelligenza artificiale per identificare le lacune e individuare falsi negativi correlando avvisi, eventi, anomalie e intelligence sulle minacce. Quando l'agente identifica un gap, genera un avviso dinamico con il contesto completo nei dettagli dell'avviso, tra cui spiegazioni del linguaggio naturale, tecniche mitre ATT mappate&CK e passaggi di correzione personalizzati.

  • Last updated on