Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Security Copilot Agents sind KI-gestützte Prozesse, die Sie bei bestimmten rollenbasierten Aufgaben unterstützen. Microsoft Purview bietet einen Data Security Triage Agent in Microsoft Purview Data Loss Prevention (DLP) und Microsoft Purview Insider Risk Management. Diese Agents stellen eine verwaltete Warnungswarteschlange bereit, in der die Aktivitäten mit dem höchsten Risiko identifiziert und priorisiert werden. Der Agent analysiert den Inhalt und die potenzielle Absicht, die an der Aktivität beteiligt ist, basierend auf den vom organization ausgewählten Parametern und dem Grad der Risikotoleranz. Der Agent bietet eine umfassende Erklärung für die Logik hinter der Kategorisierung.
Darüber hinaus wird der Data Security Posture-Agent in Datensicherheitstatus-Management angeboten. Dieser Agent hilft Administratoren dabei, ihren Status zu verbessern, indem er Erkenntnisse bereitstellt, leistungsstarke Empfehlungen, von GenAI generierte Zusammenfassungen, llm-gestützte Aufgaben (Large Language Model) zum Abschluss von Aufträgen und vieles mehr zeigt.
Die Agents sind in den eingebetteten Microsoft Purview-Umgebungen verfügbar. Weitere Informationen finden Sie unter Eingebettete Erfahrungen.
Data Security Triage Agent:
Das Selektieren und Zuweisen einer Priorität zu Warnungen kann komplex und zeitaufwändig sein. Wenn Sie über eine Agent-Selektierung und Priorisierung von Warnungen verfügen, wird gemäß den von Ihnen festgelegten Parametern der Zeitaufwand zum Abschließen der Aufgabe reduziert. Der Agent hilft Ihnen, sich auf die wichtigsten Warnungen zu konzentrieren, indem er sie aus dem Lärm von Warnungen mit geringerem Risiko heraussiebt. Dies verbessert Ihre Reaktionszeit und trägt dazu bei, die Effizienz und Effektivität Ihres Teams zu steigern.
Informationen zum Bereitstellen, Konfigurieren und Verwenden der Agents finden Sie unter:
Erste Schritte mit dem Microsoft Purview-Selektierungs-Agent in der Verhinderung von Datenverlust
Erste Schritte mit dem Microsoft Purview-Selektierungs-Agent im Insider-Risikomanagement
Datensicherheitsstatus-Agent:
Die Suche nach relevanten Daten und deren Schutz ist zeitaufwändig, mühsam und sehr manuell. Die primäre Rolle des Agents besteht darin, vertrauliche Daten in Ihrem gesamten Datenbestand mithilfe einer einfachen, auf natürlicher Sprache basierenden Suche zu ermitteln. Anstatt sich auf Schlüsselwort (keyword)- oder filterbasierte Suchtools zu verlassen, werden LLMs verwendet, um die Benutzerabsicht zu verstehen. Es durchsucht bereichsbezogene Inhalte in Ihrem Microsoft 365-Ökosystem – einschließlich Dokumenten, E-Mails, Nachrichten und Copilot-Interaktionen – und gibt schnell Ergebnisse zurück. Die Erfahrung umfasst eine präzise Zusammenfassung und eine zugehörige Risikoanalyse, die vom LLM generiert wird.
Bevor Sie beginnen
Wenn Sie noch nicht mit Security Copilot oder Security Copilot Agents vertraut sind, sollten Sie sich mit den Informationen in diesen Artikeln vertraut machen:
- Übersicht über Microsoft Security Copilot-Agents
- Was ist Microsoft Security Copilot?
- Microsoft Security Copilot Erfahrungen
- Erste Schritte mit Microsoft Security Copilot
- Grundlegendes zur Authentifizierung in Microsoft Security Copilot
- Eingabeaufforderung in Microsoft Security Copilot
- Konfigurieren von Besitzereinstellungen
- Erfahren Sie mehr über Security Copilot in Microsoft 365 E5
Security Copilot-Agent-Konzepte
Die Microsoft Purview-Selektierungs-Agents werden auf Security Compute Units (SCU) ausgeführt. Für Ihre organization müssen SCUs bereitgestellt werden, damit die Agents ausgeführt werden können. Weitere Informationen finden Sie unter:
Erste Schritte mit dem Microsoft Purview-Selektierungs-Agent in der Verhinderung von Datenverlust
Erste Schritte mit dem Microsoft Purview-Selektierungs-Agent im Insider-Risikomanagement
Die folgenden Abschnitte gelten nur für den Triage-Agent. Sie gelten nicht für den Posture-Agent.
Trigger
Trigger sind Gruppierungen von Parametern, deren Werte erfüllt werden müssen, damit der Agent eine bestimmte Warnung selektieren kann. Zu den Triggern gehören:
Zeitrahmen: Sie können den Zeitbereich definieren, in dem Warnungen für die Selektierung generiert werden. Weitere Informationen finden Sie unter Auswählen des Zeitrahmens für Warnungen.
Benutzerdefinierte Anweisungen: Sie können bestimmte Anweisungen definieren, aus der der Agent lernen und priorisieren soll.
Richtlinien: Sie können den Agent so konfigurieren, dass Warnungen aus von Ihnen ausgewählten Richtlinien selektieren. Siehe
Wichtig
Agents sind der Verwaltungseinheit nicht bekannt. Wenn der Agent jedoch im Kontext eines Administrators mit eingeschränkten Verwaltungseinheiten ausgeführt wird und Richtlinien vorhanden sind, die auf diesen Administrator beschränkt sind, werden dem Agent nur Warnungen von den Richtlinien angezeigt, die auf die Verwaltungseinheit beschränkt sind.
Automatische oder manuelle Ausführung
Wenn Sie einen Agent bereitstellen und Trigger bearbeiten, können Sie auswählen, ob der Agent basierend auf einem festgelegten Zeitplan automatisch ausgeführt wird oder ob der Agent manuell bei einer Warnung ausgeführt wird . Wenn Sie Automatisch basierend auf einem festgelegten Zeitplan ausführen auswählen, selektieren Sie die Warnungen, die in der Einstellung Warnungszeitrahmen auswählen enthalten sind.
Auswählen des Warnungszeitrahmens
Wenn Sie einen Agent bereitstellen und die Trigger eines Agents bearbeiten, können Sie den Zeitrahmen auswählen, den der Agent für den Bereich verwendet, der für die Selektierung von Warnungen verwendet wird. Mögliche Optionen:
- Nur neue Warnungen selektieren
- Letzte 24 Stunden
- Letzte 48 Stunden
- Letzte 72 Stunden
- Die letzten 7 Tage
- Letzte 14 Tage
- Letzte 21 Tage
- Die letzten 30 Tage
Wenn Sie Nur neue Warnungen selektieren auswählen, selektieren Sie nur Warnungen, die nach der Bereitstellung des Agents generiert werden. Der Agent selektieren keine Warnungen, die vor der Bereitstellung des Agents generiert wurden. Dies bedeutet, dass alle Optionen Letzte Stunden oder Tage ignoriert werden.
Wenn Sie eine der Optionen Letzte Stunden oder Tage auswählen, wählt der Agent Warnungen aus, die im ausgewählten Zeitrahmen generiert wurden. Auf diese Weise können Sie alle selektieren, die vor der Bereitstellung des Agents generiert wurden. Alle neu generierten Warnungen werden ebenfalls selektiert.
Wichtig
Der Zeitrahmenbereich für Die Selektierung von Warnungen ist auf den Zeitpunkt der erfolgreichen Agent-Aktivierung festgelegt. Im Wesentlichen beginnt die Uhr zu ticken, wenn der Agent aktiviert ist. Daher bezieht sich Letzte Anzahl von Stunden oder Tagen auf den Zeitraum vor der Agent-Bereitstellung. Dies ist kein rollierender Zeitrahmen.
Agent-Identität
Agents (gilt auch für Posture-Agent) können jetzt mithilfe von 2 Optionen eingerichtet werden.
Erstellen und Verwenden der Agent-Identität (empfohlen): Hier gibt es eine separate Microsoft Entra Agent-Identität, die für den Agent erstellt wurde, und alle Agent-Aktivitäten sind dieser Agent-Identität zugeordnet. Weitere Informationen: https://learn.microsoft.com/en-us/entra/agent-id/
Zuweisen und Verwenden meiner Identität: Hier wird der Agent mithilfe der Identität des Benutzers/Administrators eingerichtet, der den Agent eingerichtet hat, und alle Aktivitäten werden der Identität des Benutzers zugeordnet.
Benutzerdefinierte Anweisungen
Während des Agent-Konfigurationsprozesses können Sie dem Agent benutzerdefinierte Anweisungen geben. (Gilt nur für Selektierungs-Agent in DLP). Microsoft Purview-Agents verwenden diese Anweisungen in natürlicher Sprache, um die Selektierung von Warnungen zu verbessern:
Übersetzen Ihrer Eingaben in eine strukturierte Klassifizierungslogik.
Ausführen dieser Logik für den Dokumentinhalt, der jeder Warnung zugeordnet ist.
Die Warnungspriorität wird ausgelöst, wenn der Inhalt Ihrer benutzerdefinierten Anweisung entspricht.
Für benutzerdefinierte Anweisungen analysieren wir nur Dokumentinhalte, keine Metadaten oder Verhaltensattribute. Dies bedeutet, dass der Agent Inhaltskategorien wie die folgenden unterstützt:
- Steuerliche, finanzielle oder rechtliche Informationen
- benannte Entitäten, z. B. Kredit- Karte Nummern, Sozialversicherungsnummern und Namen
- logische Bedingungen wie mehr als fünf SSNs, enthält Finanzdokumente
Wenn Sie nicht sicher sind, ob die bedingung, die Sie verwenden möchten, unterstützt wird, überprüfen Sie, ob sie als Inhaltsbedingung markiert ist. Wenn dies der Grund ist, kann der Agent es in benutzerdefinierten Anweisungen verwenden.
Wenn Sie beispielsweise Folgendes eingeben: "Ich möchte mich auf Warnungen mit Inhalten konzentrieren, die steuer- oder finanzbezogen sind und mehr als fünf Gutschriften Karte Nummern oder SSNs enthalten." Der Agent interpretiert dies wie folgt:
{
"logic_expression": "MATCH(content, 'Tax') or MATCH(content, 'Finance') and (COUNT(content, 'U.S. social security number') >= 5) or (COUNT(content, 'U.S. credit card number') >= 5)"
}
Selektierung von Warnungen
Der Agent selektieren Warnungen basierend auf der Triggerkonfiguration. Der Agent selektieren Warnungen, die in dem von Ihnen ausgewählten Zeitrahmen generiert werden und aus den von Ihnen ausgewählten Richtlinien stammen. Nicht alle Warnungen werden selektiert.
Selektierungswarnungen sind in vier Kategorien unterteilt:
Alle: Diese Kategorie enthält alle Warnungen, die der Agent selektiert hat. Die in der Kategorie angegebene Anzahl spiegelt möglicherweise nicht genau die tatsächliche Anzahl von Warnungen wider, bis Sie in diese Ansicht wechseln und nach unten scrollen, um alle Warnungen zu laden. Wenn sich die Bedingungen geändert haben, die dazu geführt haben, dass die Warnung ausgelöst wurde, oder wenn die Warnung noch nicht selektiert wurde, können Sie die Warnung auswählen und dann Agent ausführen auswählen, um den Agent für die Warnung manuell auszuführen.
Erfordert Aufmerksamkeit: Dies sind die Warnungen, die der Agent ausgewertet und festgestellt hat, dass sie das größte Risiko für Ihre organization darstellen. Wenn Sie eine dieser Warnungen auswählen, wird das Details-Flyout geöffnet, um eine Zusammenfassung der Warnung und andere Details anzuzeigen.
Weniger dringend: Dies sind die Warnungen, die der Agent ausgewertet und festgestellt hat, dass sie ein geringeres Risiko für Ihre organization darstellen. Wenn Sie eine dieser Warnungen auswählen, wird das Details-Flyout geöffnet, um eine Zusammenfassung der Warnung und andere Details anzuzeigen.
Nicht kategorisiert: Dies sind die Warnungen, dass der Agent die Selektierung nicht erfolgreich durchführen konnte. Dies kann aus vielen Gründen geschehen, z. B.:
- Serverfehler
- In Bearbeitung der Überprüfung
- Anderer Fehler
- Nicht unterstützter Fehler für Warnungen, die Aktivitäten enthalten, die der Agent nicht unterstützt.
Agents selektieren Dateien mit einer Größe von bis zu 2 MB.
Priorisieren von Agents
Der Selektierungs-Agent in DLP priorisiert Warnungen basierend auf diesen Risikofaktoren:
- Inhaltsrisiko: Dies ist der primäre Risikofaktor, der bei der Agent-Selektierung verwendet wird. Er deckt vertrauliche Inhalte basierend auf von Microsoft bereitgestellten vertraulichen Informationstypen (SIT), trainierbaren Klassifizierern und Standard-Vertraulichkeitsbezeichnungen ab. Weitere Informationen finden Sie unter Standard-Vertraulichkeitsbezeichnungen.
- Exfiltrationsrisiko: Exfiltration vertraulicher Daten, die extern freigegeben werden.
- Richtlinienrisiko: Der Richtlinienmodus und Regeln mit Aktionen wirken sich auf die Priorisierung von Warnungen aus.
- Inhaltsrisiko: Bezeichnung entfernt oder herabgestuft.
Der Selektierungs-Agent im Insider-Risikomanagement priorisiert Warnungen basierend auf:
- Aktivitätsrisiko: Der Agent identifiziert Aktivitäten mit dem höchsten Exfiltrationsrisiko und meldet historische Warnungserkenntnisse.
- Benutzerrisiko: Attribute des Benutzers, die sich auf die Priorisierung von Warnungen auswirken können, z. B. die Konfiguration der Prioritätsbenutzergruppe oder die Anzahl der derzeit aktiven Fälle.
Details zur Warnungs selektierung
Wichtig
Der Triage-Agent in DLP unterstützt nur Warnungen von Richtlinien, die sich im aktiven Modus befinden. Warnungen aus DLP-Richtlinien, die im Simulationsmodus ausgeführt werden, werden nicht selektiert.
Agents können Warnungen überprüfen, die bis zu 30 Tage vor der Aktivierung des Agents generiert wurden, wenn der Mandant über ausreichende SCUs verfügt. Warnungen, die mehr als 30 Tage vor der Agent-Aktivierung generiert wurden, liegen außerhalb des Bereichs.
Der Selektierungs-Agent in DLP selektieren Warnungen von Exchange, Geräten, SharePoint, OneDrive und Teams. Um Warnungen von Geräten zu selektieren, müssen Sie die Beweissammlung für Dateiaktivitäten auf Geräten aktivieren.
In DLP selektiert der Agent keine Warnungen, die nur durch benutzerdefinierte Typen vertraulicher Informationen (SIT) und benutzerdefinierte trainierbare Klassifiziererbedingungen ausgelöst werden. Warnungen, die von Nicht-SITs/nicht trainierbaren Klassifizierungsrichtlinienbedingungen ausgelöst werden, z Email subject match . B. werden nicht selektiert.
Sie sollten eine manuelle Analyse von Warnungen durchführen, die vom Agent nicht vollständig ausgewertet werden können.
Teilweise selektierte Warnungen
Im Folgenden finden Sie einige Beispiele für Situationen, in denen Warnungen teilweise selektiert werden können.
- DLP-Regel enthält einige Bedingungen, die nicht unterstützt werden, z. B.
The user accessed a sensitive site from Edge - Die DLP-Regel enthält bestimmte Bedingungen, aber das System kann die entsprechenden Eigenschaften der E-Mail oder Dateien wie
Document couldn't be scannednicht abrufen. - Benutzer nicht gefunden
- Während der Vorschauphase analysiert der Insider-Risikomanagement-Agent nur SharePoint-Dateiinhalte. Es analysiert keine E-Mail- und Geräteaktivitäten mit begleitenden Dateien. Wenn eine Warnung nur E-Mail- oder Geräteaktivitäten enthält, wird sie nicht analysiert.
- Eine Warnung, die von einer Richtlinie generiert wird, die nur Endpunkt- oder E-Mail-Aktivitäten für das Insider-Risikomanagement betrachtet.
Inhaltsanalyse
Es gibt einige Situationen, in denen die Inhaltsanalyse eingeschränkt sein kann.
Die Inhaltsrisikopriorisierung einer Warnung basiert auf von Microsoft bereitgestellten SITs, trainierbaren Klassifizierern und Vertraulichkeitsbezeichnungen in Inhalten. Wenn ein Agent das Inhaltsrisiko auswertet, sucht er nur nach von Microsoft bereitgestellten SITs und trainierbaren Klassifizierern, die in der Richtlinie definiert sind.
Wenn einer DLP-Warnung weniger als 10 Dateien zugeordnet sind, werden alle Dateien vom Agent überprüft und in der Inhaltszusammenfassung verwendet. Wenn eine Warnung mehr als 10 oder mehr Dateien enthält, werden die potenziell obersten 10 Dateien verwendet, um die Dateirisikozusammenfassung zu generieren. In DLP wählt der Selektierungs-Agent die 10 risikobehafteten Dateien basierend auf der Anzahl der Richtlinienklassifizierertreffer, der Dateigröße und dem zeitpunkt des letzten Zugriffs auf die Datei aus. In diesem Fall stellt der Agent eine Notiz bereit, die besagt, dass nicht alle Dateien in der Warnung in der Inhaltszusammenfassung enthalten waren.
Im Insider-Risikomanagement (IRM) basieren die potenziell 10 wichtigsten Kriterien für riskante Dateien auf:
- Dateinamen, Pfade, Erweiterungen
- Microsoft hat SITs, trainierbare Klassifizierer und Vertraulichkeitsbezeichnungen bereitgestellt.
- Wenn die Datei als Prioritätsinhalt von IRM-Richtlinienkonfigurationen betrachtet wird
- Risikobewertung der Aktivität, die der Datei zugeordnet ist.
- Dateimetadaten beispielsweise ist der Inhalt ausgeblendet oder hat er eine geschützte Bezeichnung.
- Benutzerdefinierte Anweisungen, falls vorhanden.
Im Insider-Risikomanagement unterstützt der Agent nur SharePoint- und OneDrive-Dateien für die Inhaltsanalyse. Dies wirkt sich nur auf den Abschnitt Dateirisiko aus, die Abschnitte Aktivität und Benutzerrisiko sind von dieser Supportbeschränkung nicht betroffen.