Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Distribuerte AI-agenter opererer autonomt, aktiverer verktøy, får tilgang til data og utfører handlinger på tvers av systemer som svar på inndata på naturlig språk. Dette gjør kontinuerlig gjenkjenning, kjøretidsbeskyttelse og undersøkelse kritisk. Microsoft Defender oppdager mistenkelig og ondsinnet agentatferd, blokkerer farlige handlinger i sanntid, gir varsler i nær sanntid, og gjør det mulig for sikkerhetsteam å undersøke hendelser og spore den fullstendige grunnårsaken og eksplosjonsradiusen.
Denne artikkelen forklarer hvordan Microsoft Defender oppdager, blokkerer og gjør det mulig for sikkerhetsteam å undersøke trusler mot AI-agenter som administreres gjennom Microsoft Agent 365, inkludert de utvidede gjenkjennings- og beskyttelsesfunksjonene som er tilgjengelige for støttede agentplattformer.
Obs!
Noen funksjoner som er beskrevet i denne artikkelen, krever for øyeblikket pålasting gjennom Microsoft Defender for Cloud Apps. Dette er en midlertidig konfigurasjon som vil være en del av den Agent 365 produktopplevelsen. Fra og med 1. juli 2026 trenger organisasjonen et Agent 365 abonnement for å fortsette å bruke agentbeskyttelse og synlighetsfunksjoner.
Blokker usikre ai-agenthandlinger i sanntid
Microsoft Defender gir sanntidsbeskyttelse (RTP) for å forhindre at AI-agenter utfører usikre handlinger under kjøring. Defender integrerer direkte med Work IQ MCP for å evaluere støttede agentinitierte verktøyaktiveringer før de utføres. Hvis Defender finner ut at en handling er risikabel, blokkerer den handlingen før agenten utfører den, og forhindrer skadelig atferd.
Obs!
Sanntidsbeskyttelse er bare tilgjengelig for AI-agenter som bruker verktøy som for øyeblikket støttes i Work IQ MCP. Agenter som er avhengige av verktøy som ikke støttes, eller som ikke integreres med Work IQ MCP, er utenfor omfanget av denne funksjonen.
Sanntidsbeskyttelse fokuserer på trusler med høy konfidens, inkludert:
- Forsøk på å trekke ut eller eksfiltrere systeminstruksjoner eller interne verktøydetaljer
- Direkte forsøk på å lekke sensitive data
- Misbruk av interne verktøy
- Ruting av informasjon til ikke-klarerte eller skadelige mål
- Bruk av obfuscated eller skjult innhold til å manipulere agentatferd
- Legitimasjonslekkasje gjennom legitime kanaler, for eksempel e-post eller eksterne API-er
Obs!
For agenter som er bygget med Microsoft Copilot Studio, gir Microsoft Defender også sanntidsbeskyttelse ved å evaluere modellledetekster og -svar. Denne funksjonen avhenger ikke av IQ for arbeid.
Når Microsoft Defender blokkerer en handling, genererer den et detaljert varsel som forklarer hva som ble blokkert, hvorfor handlingen ble ansett som risikabel, og hvilken agent, bruker og verktøy som var involvert. Dette sikrer at sikkerhetsteam kan undersøke blokkerte handlinger ved hjelp av kjente Defender-arbeidsflyter.
Aktiver sanntidsbeskyttelse
Slik aktiverer du sanntidsbeskyttelse for AI-agentene dine:
Velg Sikkerhetforsysteminnstillinger>>for AI-agenter. Dette åpner siden Innstillinger for sikkerhet for AI-agenter.
Kontroller at Sikkerhet for AI-agenter er aktivert.
Kontroller at Agent 365 er koblet til under ai sanntidsbeskyttelse & undersøkelse.
Hvis du vil aktivere de utvidede sanntidsbeskyttelsesegenskapene for Microsoft Copilot Studio agenter, må du kontrollere at Copilot Studio er koblet til under ai sanntidsbeskyttelse & undersøkelse.
Hvis du vil ha mer informasjon, kan du se Copilot Studio integrering i Microsoft Defender for Cloud Apps.
Oppdag trusler fra AI-agenten i nesten sanntid
Microsoft Defender overvåker kontinuerlig aktivitet for AI-agenter og oppdager mistenkelig og ondsinnet atferd på tvers av alle Agent 365-administrerte agenter. Defender analyserer agenttelemetri, verktøybruk og utførelsesmønstre for å identifisere trusler som vedvarende jailbreak-forsøk, mistenkelig brukeraktivitet som involverer et jailbreak-forsøk og mistenkelige forsøk på kjøring av agent.
Microsoft Defender viser oppdaginger som varsler i nærheten av sanntid i Defender-portalen, og gjør det mulig for sikkerhetsteam å undersøke dem ved hjelp av kjente arbeidsflyter for sikkerhetsoperasjoner, inkludert varslingstriage, hendelseskorrelasjon og avansert jakt.
Hvis du vil ha mer informasjon, kan du se Hendelser og varsler i Microsoft Defender-portalen.
Oppdagelser i nær sanntid er avhengige av Agent 365 observasjonsdata, som også gir verdifull kontekst for å undersøke hendelser og trusseljakt. Microsoft Defender analyserer disse dataene for å identifisere mistenkelig agentatferd og generere varsler.
Obs!
For agenter som er bygget med Microsoft Copilot Studio og Microsoft Foundry, støtter Microsoft Defender også oppdagelser basert på evaluering av modellmeldinger og svar.
Aktiver oppdagelser i nær sanntid og avansert trusseljakt
Slik aktiverer du varsler om nesten sanntid og trusseljakt:
- Aktiver Microsoft 365-appkoblingen for å samle inn Agent 365 observabilitetsdata for AI-agenthandlinger. Hvis du vil ha mer informasjon, kan du se Koble Microsoft 365 til Microsoft Defender for Cloud Apps.
- Sørg for at AI-agenten avgir observabilitetsdata til Microsoft 365.
- Agenter bygget med Microsoft Copilot Studio sender observabilitetsdata til Microsoft 365 som standard.
- For AI-agenter som er bygd på andre plattformer, kan du aktivere overholdelse av Microsoft Agent 365 SDK, som beskrevet i Agent 365 livssyklusdokumentasjon for utvikling.
Aktiver utvidede oppdagelser i nesten sanntid for Microsoft Copilot Studio- og Microsoft Foundry-agenter
Når du aktiverer de relevante funksjonene, har agenter bygget med Microsoft Copilot Studio og Microsoft Foundry et utvidet sett med varsler om nesten sanntidsregistrering utover grunnlinjen som er tilgjengelig for alle Microsoft Agent 365-administrerte agenter.
Slik aktiverer du disse utvidede funksjonene:
- For Microsoft Foundry-agenter kan du se Aktiver trusselbeskyttelse for Ai-arbeidsbelastninger for Microsoft Foundry.
- Hvis du vil ha Microsoft Copilot Studio agenter, kan du se Copilot Studio integrering i Microsoft Defender for Cloud Apps.
Undersøk trusler fra AI-agenten og jakt etter risiko ved hjelp av avansert jakt
Microsoft Defender korrelerer AI-agentvarsler i hendelser og viser den relaterte konteksten, slik at sikkerhetsteam raskt kan vurdere innvirkning og prioritere respons. Avansert jakt lar deretter analytikere spørre Agent 365 observabilitetsdata ved hjelp av Kusto Query Language (KQL) for å undersøke hendelser og jakte på risikoer på tvers av miljøet.
Undersøke hendelser og varsler
Microsoft Defender korrelerer ai-agentvarsler, inkludert nesten sanntidsregistreringer og varsler generert når sanntidsbeskyttelse blokkerer en handling, til hendelser.
Sikkerhetsanalytikere kan bruke hendelsesgrafen og undersøkelsesopplevelsen til å forstå hele konteksten av et potensielt angrep, inkludert relasjoner mellom involverte enheter og eksplosjonsradiusen til AI-agenttrusler. Hvis du vil ha mer informasjon, kan du se Hendelser og varsler i Microsoft Defender-portalen.
Korreler varsler og Agent 365 observasjonsdata og jakt etter risiko ved hjelp av avansert jakt
Avansert jakt i Microsoft Defender gjør det mulig for sikkerhetsteam å spørre Agent 365 observabilitetsdata sammen med andre sikkerhetsdata ved hjelp av Kusto Query Language (KQL). Dette støtter proaktiv trusseljakt, hendelsesundersøkelse og grunnårsaksanalyse på tvers av agenter, programmer, identiteter og enheter.
Bruk for eksempel Avansert jakt til å:
- Spor spesifikke agentverktøyaktiveringer og korreler dem med relaterte varsler eller blokkeringshendelser
- Undersøk hovedårsaken og omfanget til en oppdaget trussel for AI-agent
- Identifiser uregelmessige utførelsesmønstre eller risikokrevende agentatferd på tvers av miljøer
- Bygg egendefinerte gjenkjenningsregler basert på agentaktivitetssignaler
Avanserte jakttabeller for ai-agentundersøkelse
Følgende avanserte jakttabeller gir innsyn i ai-agentkonfigurasjon, varsler og aktivitet. Du kan spørre disse tabellene individuelt eller koordinere dem for å undersøke hendelser og jakte på agentrelaterte risikoer.
| Tabellnavn | Beskrivelse | Vanlige brukstilfeller |
|---|---|---|
| AlertInfo | Inneholder varselmetadata generert av Microsoft Defender, inkludert varsler relatert til nesten sanntidsregistreringer og blokkeringshendelser for beskyttelse i sanntid. | Undersøk varsler for AI-agent, forstå varslingskontekst og pivoter i relaterte hendelser og enheter. |
| CloudAppEvents | Inneholder Agent 365 observabilitetsdata for ai-agentaktivitet, inkludert agenthandlinger, verktøyaktiveringer og datatilgangshendelser. | Jakt etter mistenkelig agentvirkemåte, sporingsagenthandlinger og utfør analyse av grunnårsak ved hjelp av Agent 365 observerbarhetsdata. |
| AIAgentsInfo | Inneholder informasjon om beholdning og konfigurasjon for AI-agenter, inkludert agentidentitet, plattform, eierskap og metadata. | Se gjennom agentstilling, identifiser risikable eller feilkonfigurerte agenter, og korreler agentidentitet med varsler og aktivitet. |
| AlertEvidence | Inneholder enheter og artefakter som er knyttet til varsler, for eksempel agenter, brukere, verktøy, nettadresser eller ressurser. | Forstå omfanget av et varsel og identifiser relaterte enheter som er involvert i en ai-agenthendelse. |