Descrivere gli agenti di Security Copilot in Microsoft Purview
Microsoft Security Copilot agenti in Microsoft Purview sono assistenti basati sull'intelligenza artificiale che consentono ai team di sicurezza e conformità di gestire le attività di sicurezza dei dati. Questi agenti lavorano all'interno dell'esperienza incorporata Microsoft Purview, gestendo la valutazione degli avvisi per la prevenzione della perdita dei dati (DLP) e la gestione dei rischi Insider, nonché l'individuazione dei dati sensibili nell'ecosistema Microsoft 365.
Annotazioni
L'elenco degli agenti Security Copilot in Microsoft Purview è in continua crescita. Questa unità è progettata per offrire una panoramica generale di alcuni agenti di Security Copilot in Microsoft Purview. Per altre informazioni, vedere Training correlato a Microsoft Purview.
Agenti di Microsoft Security Copilot in Microsoft Purview
I seguenti agenti di Microsoft Security Copilot sono disponibili in Microsoft Purview. A causa del ritmo rapido con cui questi agenti vengono rilasciati e aggiornati, ogni agente potrebbe avere funzionalità in varie fasi di disponibilità.
Agente di Triage nella gestione dei rischi interni
L'agente di valutazione nella gestione dei rischi Insider consente ai team di sicurezza di valutare gli avvisi in base al rischio utente e all'attività. L'agente ordina quindi gli avvisi sottoposti a triage in categorie presentate nella soluzione di gestione dei rischi insider nella scheda Avvisi. Per determinare la categoria per ogni avviso, l'agente valuta i seguenti fattori di rischio:
- Rischio di attività: identifica le attività con il rischio più alto di esfiltrazione e segnala informazioni cronologiche sugli avvisi.
- Rischio utente: attributi dell'utente che possono influire sulla definizione delle priorità, ad esempio la configurazione del gruppo di utenti prioritari o il numero di casi attualmente attivi.
| Attribute | Descrzione |
|---|---|
| Identità | Viene eseguito come amministratore che ha attivato l'agente. L'autenticazione dell'agente scade dopo 90 giorni e deve essere rinnovata. |
| Licenza | Sia il modello di licenza standard per utente che il modello di fatturazione con pagamento in base al consumo. Gestione dei rischi Insider Microsoft Purview con Microsoft 365 E3/E5/A5/F5/G5. |
| Autorizzazioni | Configurazioni e impostazioni dei criteri di accesso in Gestione dei rischi Insider; leggere attività ed eventi in Microsoft Purview; leggere il contenuto dei file e i metadati coinvolti negli avvisi di gestione dei rischi Insider; archiviare il feedback degli utenti e applicare commenti e suggerimenti durante la valutazione degli avvisi di Gestione dei rischi Insider. |
| Plug-in | Microsoft Purview. |
| Prodotti | Security Copilot e Insider Risk Management. |
| Accesso in base al ruolo | Visualizza attività: Analisti di gestione dei rischi Insider, Investigatori di gestione dei rischi Insider o gruppo di ruolo di gestione dei rischi Insider. Gestione: Tutti i ruoli necessari per visualizzare l'attività, oltre al ruolo di Analista Contenuto di Purview nel gruppo di ruoli Gestione Agenti Purview. |
| Trigger | Viene eseguito in base a una pianificazione selezionata o a un avviso alla volta. |
Agente di valutazione degli avvisi nella prevenzione della perdita dei dati (anteprima)
L'agente di valutazione degli avvisi nella prevenzione della perdita dei dati consente ai team di sicurezza di valutare gli avvisi in base al rischio di riservatezza, al rischio di esfiltrazione e ai rischi dei criteri. L'agente ordina quindi gli avvisi triage in categorie che vengono presentate nella soluzione DLP, nella pagina Avvisi. Per i dispositivi, è necessario configurare la raccolta di evidenze per le attività di file nei dispositivi e abilitare la raccolta di prove nella configurazione della regola dei criteri DLP. Per determinare la categoria per ogni avviso, l'agente valuta i fattori di rischio seguenti:
- Sensitivity risk: il fattore di rischio principale, che copre il contenuto sensibile basato su tipi di informazioni sensibili forniti da Microsoft (SIT), classificatori addestrabili e etichette di riservatezza predefinite.
- Rischio di esfiltrazione: esfiltrazione di dati sensibili condivisi esternamente.
- Rischio dei criteri: modalità criteri e regole con azioni che influiscono sulla definizione delle priorità degli avvisi.
| Attribute | Descrzione |
|---|---|
| Identità | Viene eseguito come amministratore che ha attivato l'agente. L'autenticazione dell'agente scade dopo 90 giorni e deve essere rinnovata. |
| Licenza | Sia il modello di licenza standard per utente che il modello di fatturazione con pagamento in base al consumo. Microsoft Purview per la prevenzione della perdita di dati con Microsoft 365 E3/E5/A5/F5/G5. |
| Autorizzazioni | Configurazioni e impostazioni dei criteri di accesso in DLP; leggere attività ed eventi in Microsoft Purview; leggere il contenuto e i metadati dei file coinvolti negli avvisi DLP; archiviare il feedback degli utenti e applicare commenti e suggerimenti durante la valutazione degli avvisi DLP. |
| Plug-in | Microsoft Purview. |
| Prodotti | Copilota della sicurezza e prevenzione della perdita dei dati. |
| Accesso in base al ruolo | Visualizza attività: Analisti di gestione dei rischi Insider, Investigatori di gestione dei rischi Insider o gruppo di ruolo di gestione dei rischi Insider. Gestione: Tutti i ruoli necessari per visualizzare l'attività, oltre al ruolo di Analista Contenuto di Purview nel gruppo di ruoli Gestione Agenti Purview. |
| Trigger | Viene eseguito in base a una pianificazione selezionata o a un avviso alla volta. |
Classificazione degli avvisi da parte degli agenti di triage
Sia gli agenti di triage della DLP sia quelli della gestione dei rischi Insider ordinano gli avvisi triaged in quattro categorie:
- Richiede attenzione: Avvisi che l'agente ha valutato come quelli con il rischio maggiore per l'organizzazione.
- Meno urgente: Allerte che l'agente ha valutato come a basso rischio.
- Non categorizzato: avvisi che l'agente non è riuscito a valutare correttamente, che può verificarsi a causa di errori del server, tipi di avviso non supportati o problemi di elaborazione.
- Tutto: tutti gli avvisi che l'agente ha verificato.
Gli agenti di triage possono essere eseguiti automaticamente secondo un programma prestabilito o manualmente su un avviso alla volta. Quando viene distribuito, si configura l'intervallo di tempo dell'avviso usato dall'agente per decidere quali avvisi valutare, compresi solo i nuovi avvisi e gli avvisi generati negli ultimi 30 giorni.
Agente di postura di sicurezza dei dati (anteprima)
L'agente del comportamento di sicurezza dei dati usa i prompt del linguaggio naturale per individuare i dati sensibili nell'organizzazione. Invece di basarsi su strumenti di ricerca basati su parole chiave o filtri, l'agente usa modelli di linguaggio di grandi dimensioni per comprendere la finalità dell'utente e cerca il contenuto nell'ecosistema Microsoft 365, inclusi documenti in SharePoint e OneDrive, messaggi in Teams, messaggi di posta elettronica in Exchange e interazioni Copilot.
L'agente è progettato per controlli di pre-investizione anziché casi formali. Quando viene elaborata una richiesta, l'agente restituisce un conteggio degli elementi corrispondenti insieme a eventuali etichette di riservatezza applicate e una valutazione a livello di rischio in base alla corrispondenza con cui il contenuto corrisponde alla richiesta. L'opzione Visualizza informazioni dettagliate fornisce un report che include un riepilogo, una valutazione dei rischi, i risultati, gli elementi etichettati o non etichettati e i primi elementi senza etichetta.
Nelle indagini sulla sicurezza dei dati, il Posture Agent estende queste funzionalità per individuare in modo proattivo le credenziali esposte su larga scala all'interno del tuo tenant. L'agente automatizza l'analisi delle credenziali nelle posizioni dei dati di Microsoft 365, produce valutazioni dei rischi generate dall'IA e tiene traccia delle attività in una scheda attività in stile Kanban per una revisione e una correzione semplificate.
Le funzionalità principali includono:
- Ricerca in linguaggio naturale: trovare dati sensibili usando prompt basati sulle finalità anziché parole chiave, tipi di informazioni sensibili o classificatori.
- Valutazioni a livello di rischio: ogni elemento corrispondente include un livello di rischio in base alla pertinenza del contenuto alla richiesta.
- Report di analisi esportabili: È possibile scaricare i report come documenti Word per ulteriori analisi e condivisione.
- Analisi delle credenziali: nelle indagini sulla sicurezza dei dati, automatizza l'individuazione delle credenziali esposte nel tenant.
| Attribute | Descrzione |
|---|---|
| Identità | Supporta l'identità dell'agente (scelta consigliata) o l'account utente dell'organizzazione dell'amministratore che distribuisce l'agente. |
| Licenza | Sia il modello di licenza standard per utente che il modello di fatturazione con pagamento in base al consumo. Microsoft 365 E5 con le unità di calcolo di sicurezza (SCU) di cui è stato effettuato il provisioning. |
| Autorizzazioni | Richiede ruoli da più gruppi: Analista di contenuti Purview; Amministratore della conformità, lettore di sicurezza o visualizzatore di AI per la sicurezza dei dati; Visualizzatore contenuti classificazione dati e Visualizzatore elenco; Collaboratore o Proprietario di Security Copilot. |
| Plug-in | Microsoft Purview. |
| Prodotti | Security Copilot e gestione del comportamento di sicurezza dei dati. |
| Accesso in base al ruolo | Le autorizzazioni per la distribuzione, l'esecuzione e la visualizzazione dei risultati richiedono un ruolo da ognuno di quattro gruppi di autorizzazioni. |
| Trigger | Viene eseguito su richiesta quando un utente invia un prompt del linguaggio naturale. |