Beskriv Microsoft Security Copilot-agenter

  • 10 minuter

Microsoft Security Copilot agenter förbättrar säkerheten och IT-driften med autonom och anpassningsbar automatisering. Dessa agenter integreras sömlöst med Microsoft Security lösningar och tredjepartspartnerekosystemet för att hantera säkerhetsuppgifter med stora volymer. Specialbyggda för säkerhet, agenter lär sig av feedback, anpassar sig till organisationens arbetsflöden med ditt team helt i kontroll och arbetar säkert inom Microsoft Nulová dôvera (Zero Trust) ramverk – snabbare svar, prioritering av risker och ökad effektivitet.

Definiera agenter i Microsoft Security Copilot

En agent är en AI-driven säkerhetsassistent eller ett arbetsflöde som självständigt kan utföra och samordna uppgifter för säkerhetsteamens räkning. Varje agent har ett definierat mål, till exempel att prioritera aviseringar, generera en information om hotinformation eller åtgärda säkerhetsrisker. Agenter minskar manuella arbetsbelastningar, förbättrar drifteffektiviteten och stärker organisationens övergripande säkerhetsstatus.

Agenter kan vara:

  • Interaktiv – Svara på användarindata i realtid via en konversationsupplevelse.
  • Automatiserad – utlöses av händelser eller scheman som ska köras autonomt utan att användaren behöver interagera.

Agenter använder SKU:er (Security Compute Units) för att fungera, precis som andra funktioner i Security Copilot. De integreras sömlöst med Microsoft Security lösningar och det bredare partnerekosystem som stöds och passar naturligt in i befintliga arbetsflöden.

Agentterminologi i Microsoft Security Copilot

För att effektivt använda Security Copilot-agenter är det viktigt att förstå den terminologi som används när du arbetar med agenter.

Begrepp Beskrivning
Utlösare En händelse eller ett villkor som instruerar ett agentiskt system att initiera en åtgärd eller serie med åtgärder. Du kan ange att agenten ska köras automatiskt med specifika intervall eller välja att köra den manuellt när det behövs.
behörigheter Auktoriseringsnivån för en AI-agent ges av en administratör under konfigurationen som gör att den kan komma åt specifik information eller utföra sina uppgifter. Dessa behörigheter kan omfatta möjligheten att läsa data från andra lösningar, till exempel Microsoft Defender – hantering av extern attackyta eller Microsoft Threat Intelligence.
Identitet En agent behöver en identitet för att autentisera och komma åt resurser på ett säkert sätt när den körs. Under agentkonfigurationsprocessen kan du välja mellan två typer av identiteter: (1) Skapa en agentidentitet – Skapar en dedikerad identitet för agenten med hjälp av funktionen Microsoft Entra agent-ID. Microsoft Entra-agent-ID:n är identiteter som skapats specifikt för AI-agenter. Med hjälp av agent-ID:t hålls åtkomsten begränsad, säker och enklare att hantera. För närvarande är det här alternativet endast tillgängligt för Microsoft-byggda agenter. (2) Anslut med ett befintligt användarkonto – Låter agenten använda dina autentiseringsuppgifter för att köra, ärva din åtkomst och dina behörigheter när den är aktiv.
Plugin En komponent som utökar vad en agent kan göra genom att ge den åtkomst till funktioner i Microsoft- och icke-Microsoft-tjänster och offentliga webbplatser via API:er. Att ha åtkomst till plugin-program ger mer kontext till utdata från en agent. Vissa plugin-program kan krävas för att köra en agent, men andra är valfria och kan förbättra funktionerna genom att ge åtkomst till fler datakällor eller verktyg.
Rollbaserad åtkomstkontroll (RBAC) Avgör vem som kan visa och hantera utdata som genereras av agenter i Microsoft Security Copilot och ser till att känslig information endast är tillgänglig för behöriga användare.

Identifiera agenter i Microsoft Security Copilot

Du kan identifiera Microsoft Security Copilot agenter från både fristående och inbäddade upplevelser. Att hitta rätt agent är det första steget för att automatisera dina säkerhetsarbetsflöden.

I den fristående upplevelsen (nås via https://securitycopilot.microsoft.com):

  1. Gå till agentbiblioteket från startmenyn.
  2. Välj Agenter.
  3. Agentbiblioteket öppnas och visar Microsoft och partneragenter som du kan välja mellan.

I de inbäddade funktionerna ser du agenter i portalen av motsvarande Microsoft-säkerhetsprodukt och kan utforska deras funktioner direkt.

Beroende på din roll kan du antingen konfigurera agenter eller komma åt dem för att köras.

Anmärkning

Listan över Microsoft- och Partneragenter växer kontinuerligt. De agenter som beskrivs i den här modulen representerar endast ett urval av tillgängliga agenter.

Skärmdump av sidan Agenter i Microsoft Security Copilot. På sidan visas paneler för alla tillgängliga agenter från Microsoft och partner.

Microsoft-agenter

Security Copilot innehåller agenter som är sömlöst integrerade med Microsofts säkerhetslösningar. Agenter är tillgängliga för integrerade Microsoft säkerhetsprodukter, ordnade efter område:

Agenter i den fristående upplevelsen

  • Informationsagent för hotinformation: Genererar relevanta rapporter om hotinformation i rätt tid med detaljerad teknisk analys baserat på den senaste hotaktörens aktivitet och sårbarhetsinformation.
  • Security Analyst Agent: Hjälper säkerhetsanalytiker att snabbt identifiera, utvärdera och prioritera risker genom att tillhandahålla flexibel analys, dataintegrering och användbara insikter från Microsoft Defender XDR, Microsoft Sentinel Log Analytics eller Microsoft Sentinel Data Lake.

Agenter inbäddade i Microsoft Entra

  • Conditional Access Optimization Agent: Utvärderar dina principer för villkorlig åtkomst mot Microsoft bästa praxis och Nulová dôvera (Zero Trust) principer, identifierar luckor och redundans och rekommenderar förbättringar som identitetsteam kan tillämpa med ett klick.
  • Identity Risk Management Agent (förhandsversion): Hjälper administratörer att undersöka potentiella identitetsrisker i Microsoft Entra ID Protection, förstå deras effekter och vidta avgörande åtgärder för att skydda kritiska tillgångar.

Agenter inbäddade i Microsoft Defender

  • Triage-agent för säkerhetsaviseringar: Hjälper säkerhetsteam att sortera aviseringar i stor skala med hjälp av AI-drivna resonemang, identifiera vilka aviseringar som representerar verkliga attacker och vilka som är falska positiva identifieringar. Den här agenten har utvecklats från Phishing Triage-agenten och stöder nu e-post, identitet och molnvarningar.
  • Informationsagent för hotinformation: Den här agenten är även tillgänglig i Defender-portalen och samlar in och syntetiserar hotinformationsdata för att leverera koncisa och användbara insikter till säkerhetsteam.
  • Hotjaktagent: Möjliggör hotjakt med naturligt språk, genererar KQL-frågor, tolkar resultat och vägleder analytiker genom fullständiga jaktsessioner.
  • Dynamic Threat Detection Agent: En alltid på anpassningsbar tjänst som upptäcker dolda hot i Defender och Microsoft Sentinel miljöer genom att korrelera aviseringar, händelser och hotinformation.
  • Security Analyst Agent: Tillgänglig i avancerad jaktupplevelse i Defender portalen hjälper den här agenten säkerhetsanalytiker att snabbt identifiera, utvärdera och prioritera risker genom att analysera data från Microsoft Defender XDR, Microsoft Sentinel Log Analytics eller Microsoft Sentinel Data Lake.

Agenter inbäddade i Microsoft Purview

  • Varningspriorageagent i dataförlustskydd: Utvärderar DLP-aviseringar baserat på känslighetsrisk, exfiltreringsrisk och principrisk och sorterar dem sedan i prioriterade kategorier.
  • Triage Agent i Hantering av insiderrisk: Utvärderar IRM-aviseringar baserat på användarrisk, filrisk och aktivitetsrisk och sorterar dem sedan i prioriterade kategorier.
  • Data Security Posture Agent: Använder sökning på naturligt språk för att hitta känsliga data i SharePoint, OneDrive, Teams, Exchange och Copilot interaktioner, vilket ger riskbedömningar och exportbara insiktsrapporter för förundersökningskontroller.

Agenter inbäddade i Microsoft Intune

  • Sårbarhetsreparationsagent: Använder Defender-data för att identifiera sårbarheter på hanterade enheter, prioritera reparation och ge stegvis vägledning.
  • Ändringsgranskningsagent: Utvärderar effekten av begäranden om godkännande av flera administratörer i Intune och ger rekommendationer för åtgärder att vidta.
  • Enhetsavregistreringsagent: Identifierar inaktuella eller feljusterade enheter i Intune och Microsoft Entra Id, vilket ger användbara insikter innan avregistreringen.
  • Principkonfigurationsagent: Konverterar vanliga dokument och branschbaslinjer till rekommenderade Inställningar och principer för Intune.

Partneragenter

Organisationer kan utöka sina säkerhetsåtgärder genom att integrera partnerbyggda agenter i Security Copilot. Dessa agenter erbjuder unika funktioner, från sekretessöverträdelserespons till nätverksövervakning och triage av aviseringar, så att du kan hantera olika säkerhetsutmaningar med verktyg som du redan är bekant med.

Bläddra bland och lägg till agenter direkt från den integrerade Security Store i Security Copilot. Security Store tillhandahåller ett växande ekosystem av Microsoft och partnerbyggda agenter, vilket gör det enkelt att hitta lösningar som passar dina säkerhetsbehov.

Skärmdump av hemmenyn Security Copilot med menyalternativet Security Store markerat.