Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Was sind Agents für Security Copilot? Was ist die Admin/Endbenutzererfahrung, und was ist die Entwicklererfahrung?
Ein Security Copilot KI-Agent ist ein System, das die digitale und physische Umgebung des Kunden wahrnimmt. Ein Agent trifft Entscheidungen und ergreift Maßnahmen, um ein Ziel mit der Autonomie zu erreichen, die ihm vom Security Copilot Kunden gewährt wird. Der autorisierte Administrator des Kunden installiert alle Security Copilot Agents aus den Portalen Microsoft Defender XDR, Microsoft Entra, Intune, Purview und Security Copilot. Der Administrator legt die Identität des Agents fest und konfiguriert die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für den Agent. Der Endbenutzer eines Agents ist ein Sicherheitsanalyst (Defender, Microsoft Entra, Threat Intel), Datenschutzanalyst (Purview) oder IT-Administrator (Microsoft Entra, Intune), und er hat hauptsächlich Erfahrung mit Agents über ihre jeweiligen Portale. Anleitungen zum Erstellen benutzerdefinierter Agents für Kunden oder Partner finden Sie unter Erstellen von benutzerdefinierten Agents.
Was können Security Copilot Agents tun?
- Drei Agents selektieren und kategorisieren Warnungen und Vorfälle autonom: Phishing-Selektierung, Warnungstriage zur Verhinderung von Datenverlust und Warnungstriage für Insider-Risikomanagement.
- Drei Agents führen proaktive Sicherheitsaufgaben autonom aus: Behebung von Sicherheitsrisiken, Threat Intelligence-Briefing und Richtliniendrift für bedingten Zugriff.
- Für die Plangenerierung und -ausführung verwendet jeder dieser Agents einen der folgenden Optionen:
- Einfache Orchestrierung, die vom Microsoft-Agent-Entwickler bereitgestellt wird, d. h., der Entwickler hat Code geschrieben, um den Agent oder
- Die von der Plattform bereitgestellte KI-Orchestrierung, d. h., eine Mischung aus Security Copilot erstelltem Code und LLM-Anweisungen leitet den Agent an.
Welche Security Copilot Agent-Erfahrungen sind vorgesehen?
- Phishing Triage Agent: Selektierung von vom Benutzer gemeldeten Phishing-Vorfällen in Microsoft Defender XDR, führt eine Anreicherung des Incidents durch und löst den Incident möglicherweise basierend auf der Analyse des Agents auf Text und Bildern.
- Warnungstriage zur Verhinderung von Datenverlust: Selektierung von DLP-Warnungen in Microsoft Purview erfolgt autonom, führt eine Anreicherung der Warnung durch und löst die Warnung möglicherweise basierend auf der Analyse des Agents auf.
- Warnungstriage für Insider-Risikomanagement: Selektierung von IRM-Warnungen in Microsoft Purview, Anreicherung der Warnung und potenziell Auflösung der Warnung basierend auf der Analyse des Agents.
- Behebung von Sicherheitsrisiken: Erstellt autonom eine Patchgruppe, um veröffentlichte Sicherheitsrisiken mit Patches zu beheben, die für die Umgebung des Kunden gelten. Der Agent wendet keine Patches auf die Umgebung an.
- Threat Intelligence Briefing: Recherchiert autonom und sendet einen wöchentlichen Threat Intelligence-Briefing-Agent an den Kunden.
- Richtliniendrift für bedingten Zugriff: Erstellt autonom eine Richtlinienänderung, die das Identitätssystem und das Benutzersystem des Kunden synchron hält.
Wie wurde die Security Copilot-Agent-Erfahrung ausgewertet? Welche Metriken werden verwendet, um die Leistung zu messen?
- Für die private Vorschauphase wurde jeder Agent von seinem Produkt- und Forschungsteam mit Anwendungsfall- und Designeingaben von Kunden bewertet.
- Wir haben die Sicherheit des Systems durch eine rote Teamingübung bewertet.
Welche Einschränkungen gelten für Security Copilot Agents? Wie können Benutzer die Auswirkungen ihrer Einschränkungen bei der Verwendung des Systems minimieren?
- Dies ist eine öffentliche Vorschauversion, sodass Kunden Security Copilot Agents als Vorabversionsfunktion behandeln sollten. Dies bedeutet, dass Kunden die Entscheidungsfindung des Agenten überprüfen sollten, bevor sie auf seine Ausgaben reagieren. Die Entscheidungsfindung des Agents ist innerhalb der Produktumgebung verfügbar.
- Die Agents sind nur für die spezifische Aufgabe geeignet, für die sie vorgesehen sind (siehe die vorgesehenen Anwendungsfälle oben). Die Agents sind für keine andere Aufgabe geeignet.
- Wenn Benutzer Feedback an einen Agent übermitteln, das im Arbeitsspeicher gespeichert werden soll, liefert der Agent keine Zusammenfassung seiner Interpretation des Feedbacks. Dies bedeutet, dass Benutzer keine sofortige Überprüfung erhalten, wie ihre Eingaben verstanden wurden. Um Mehrdeutigkeiten zu minimieren, sollten Benutzer klares, präzises und spezifisches Feedback übermitteln. Dadurch wird sichergestellt, dass die Interpretation des Agents eng mit der Absicht des Benutzers übereinstimmt, auch ohne eine explizite Zusammenfassung.
- Die aktuelle Benutzeroberfläche gibt nicht das Ereignis an, bei dem ein konfliktierendes Feedback gemeldet wird. Benutzer sollten das Feedback regelmäßig überprüfen, um zu verstehen, was bereits an den Agent übermittelt wurde, um sicherzustellen, dass es ihren Anforderungen entspricht.
- Die Agent-Knotenzuordnung ist so konzipiert, dass sie eine allgemeine Ansicht der Schritte bereitstellt, die während eines Agent-Prozesses ausgeführt werden. Jeder Knoten in der Knotenzuordnung zeigt den Titel des Skills an, der bei jedem Schritt verwendet wird (z. B. "UserPeers" oder "SummarizeFindingAgent"), zusammen mit grundlegenden Informationen wie Abschluss status, Dauer und einem Zeitstempel. Es bietet keine ausführliche Zusammenfassung der spezifischen Aktionen, die auf den einzelnen Knoten ausgeführt werden. Benutzer können die Auswirkungen minimieren, indem sie die Knotentitel sorgfältig überprüfen, da sie geschrieben werden, um die ausgeführte Aktion zu beschreiben. Sie können dann die Zwecke der einzelnen Schritte ableiten, indem sie die Titel im Kontext der umfassenderen Aufgabe des Agents berücksichtigen.
- Die Agents verwenden Arbeitsspeicher, um das Feedback autorisierter Benutzer zu speichern und diese Informationen auf nachfolgende Ausführungen anzuwenden. Beispielsweise könnte ein Sicherheitsanalyst dem User Submitted Phishing Triage Agent folgendes Feedback geben: "E-Mails von hrtools.com stammen von meinem Personalschulungsanbieter, kennzeichnen Sie sie also nicht als Phishingangriffe, es sei denn, es ist Schadsoftware auf dem Linkendpunkt vorhanden." Dieses Feedback wird im Arbeitsspeicher gespeichert und gilt dann für nachfolgende Agentausführungen, sodass der Geschäftskontext des Kunden effektiv erfasst wird. Um den Speicher vor einer Vergiftung durch ein böswilliges oder unbeabsichtigt fehlerhaftes Update zu schützen, konfiguriert der Administrator des Kunden, wer berechtigt ist, dem Agent Feedback zu geben. Darüber hinaus kann der Administrator den Inhalt des Speichers anzeigen, bearbeiten und löschen, auf den über die Agent-Konfigurationsbildschirme im Produkt zugegriffen werden kann.
Welche betrieblichen Faktoren und Einstellungen ermöglichen eine effektive und verantwortungsvolle Verwendung von Security Copilot Agents?
- Jeder Agent wird entweder unter einer verwalteten Identität oder als erfasster Benutzer ausgeführt, sodass der Administrator die Daten steuern kann, auf die er Zugriff hat.
- Jeder Agent verfügt über RBAC-Steuerelemente, und die beiden Purview-Agents sind möglicherweise weiter eingeschränkt, welche Daten sie verarbeiten.
- Keiner dieser sechs Agents führt Aktionen aus, die nicht rückgängig werden können. Beispielsweise ändern drei Agents die status von Incidents oder Warnungen, was leicht rückgängig gemacht werden kann.
- Der Administrator bestimmt, wer im organization dem Agent Feedback geben kann.
Gewusst wie Feedback zu Security Copilot Agents geben?
Jeder Agent verfügt über einen Feedbackmechanismus, mit dem Kunden feedback in natürlicher Sprache an den Agent senden können. Der Agent integriert dieses Feedback in eine aktive Lernschleife.
Plug-In-Unterstützung
Security Copilot Agents unterstützen keine Plug-Ins.