Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Security Copilot agentes son procesos con tecnología de inteligencia artificial que están diseñados para ayudarle con tareas específicas basadas en roles. Microsoft Purview ofrece un agente de evaluación de prioridades de seguridad de datos en Prevención de pérdida de datos de Microsoft Purview (DLP) y Administración de riesgos internos de Microsoft Purview. Estos agentes proporcionan una cola de alertas administrada donde se identifican y priorizan las actividades de mayor riesgo. El agente analiza el contenido y la intención potencial implicados en la actividad en función de los parámetros elegidos por la organización y el nivel de tolerancia al riesgo. El agente ofrece una explicación completa de la lógica detrás de la categorización.
Además, ofrece data security posture agent en Administración de postura de seguridad de datos. Este agente ayuda a los administradores a mejorar su posición proporcionando información, mostrando recomendaciones eficaces, resúmenes generados por GenAI, tareas de finalización asistida del modelo de lenguaje grande (LLM) y mucho más.
Los agentes están disponibles en las experiencias insertadas de Microsoft Purview. Para obtener más información, consulte experiencias insertadas.
Agente de evaluación de prioridades de seguridad de datos:
La evaluación y asignación de una prioridad a las alertas puede ser compleja y lleva mucho tiempo. Cuando tiene una evaluación de prioridades de agente y alertas de prioridad, según los parámetros que establezca, se reduce la cantidad de tiempo necesario para completar la tarea. El agente le ayuda a centrarse en las alertas más importantes si las elimina del ruido de las alertas de menor riesgo. Esto mejora el tiempo de respuesta y ayuda a aumentar la eficacia y la eficacia de su equipo.
Para obtener información sobre cómo implementar, configurar y usar los agentes, consulte:
Introducción al agente de Microsoft Purview Triage en prevención de pérdida de datos
Introducción al agente de Microsoft Purview Triage en Insider Risk Management
Agente de posición de seguridad de datos:
la búsqueda de datos pertinentes y la identificación de su protección es tarea lenta, tediosa y muy manual. El rol principal del agente es ayudar a detectar datos confidenciales en el patrimonio de datos mediante una búsqueda simple basada en lenguaje natural. En lugar de basarse en herramientas de búsqueda basadas en palabras clave o filtros, usa LLM para comprender la intención del usuario. Busca contenido con ámbito en el ecosistema de Microsoft 365(incluidos documentos, correos electrónicos, mensajes e interacciones de Copilot) y devuelve resultados rápidamente. La experiencia incluye un resumen conciso y un análisis de riesgo asociado generado por el LLM.
Antes de empezar
Si no está familiarizado con Security Copilot o Security Copilot agentes, debe familiarizarse con la información de estos artículos:
- introducción a los agentes de Microsoft Security Copilot
- ¿Qué es Seguridad de Microsoft Copilot?
- experiencias de Microsoft Security Copilot
- Introducción a Microsoft Security Copilot
- Descripción de la autenticación en Microsoft Security Copilot
- Preguntar en Microsoft Security Copilot
- Configuración de la configuración del propietario
- Más información sobre Security Copilot en Microsoft 365 E5
conceptos del agente de Security Copilot
Los agentes de triaje de Microsoft Purview se ejecutan en unidades de proceso de seguridad (SCU). La organización debe tener las SCU aprovisionadas para que se ejecuten los agentes. Para más información, vea:
Introducción al agente de Microsoft Purview Triage en prevención de pérdida de datos
Introducción al agente de Microsoft Purview Triage en Insider Risk Management
Las secciones siguientes solo son appliables para el agente de Triage. No son aplicables para el agente de postura.
Desencadenantes
Los desencadenadores son agrupaciones de parámetros cuyos valores deben cumplirse para que el agente triaje cualquier alerta determinada. Los desencadenadores incluyen:
Período de tiempo: puede definir el ámbito de tiempo en el que se generan las alertas para la triaging. Consulte Seleccionar período de tiempo de alerta.
Instrucciones personalizadas: puede definir ciertas instrucciones para que el agente aprenda y priorice.
Directivas: puede configurar el agente para evaluar las alertas de las directivas que seleccione. Vea,
Importante
Los agentes no tienen en cuenta la unidad administrativa. Sin embargo, si el agente se ejecuta en el contexto de un administrador restringido de unidad administrativa y hay directivas que tienen como ámbito la unidad administrativa a ese administrador, el agente solo verá las alertas de las directivas que se limitan a la unidad de administración.
Ejecución automática o manual
Al implementar un agente y al editar desencadenadores, puede seleccionar si el agente se ejecutará automáticamente en función de una programación establecida o si el agente se ejecutará manualmente en una alerta a la vez . Si selecciona Ejecutar automáticamente según una programación establecida, el agente evaluará las alertas que se incluyen en la configuración Seleccionar período de tiempo de alerta .
Seleccionar período de tiempo de alerta
Al implementar un agente y al editar los desencadenadores de un agente, puede elegir el período de tiempo que el agente usará para el ámbito, que las alertas deben evaluar. Las opciones son:
- Evaluar solo las nuevas alertas
- Últimas 24 horas
- Últimas 48 horas
- Últimas 72 horas
- Últimos 7 días
- Últimos 14 días
- Últimos 21 días
- Últimos 30 días
Si selecciona Solo evaluar las nuevas alertas, el agente solo evaluará las alertas que se generan después de implementar el agente. El agente no evaluará las alertas que se generaron antes de implementar el agente. Esto significa que se omiten todas las opciones Últimas horas o días .
Si selecciona cualquiera de las opciones Últimas horas o días , el agente evalúa las alertas que se generaron en el período de tiempo seleccionado. Esto permite evaluar todas las opciones que se generaron antes de implementar el agente. También se evalúan todas las alertas recién generadas.
Importante
El ámbito del período de tiempo para las alertas que se van a evaluar se delimita en el momento de la habilitación correcta del agente. Básicamente, el reloj empieza a marcar y, a continuación, cuando el agente está habilitado. Por lo tanto, El último número de horas o días hace referencia al período de tiempo anterior a la implementación del agente. Este no es un período de tiempo gradual.
Identidad del agente
Los agentes (aplicables también al agente de postura) ahora se pueden configurar con 2 opciones
Crear y usar la identidad del agente (recomendado): aquí hay una identidad de agente entra independiente creada para el agente y todas las actividades del agente están asociadas a esa identidad de agente. Obtenga más información: https://learn.microsoft.com/en-us/entra/agent-id/
Asignar y usar mi identidad: aquí se configura el agente mediante la identidad del usuario o administrador que configura el agente y todas las actividades están asociadas a la identidad del usuario.
Instrucciones personalizadas
Durante el proceso de configuración del agente, puede proporcionar instrucciones personalizadas al agente. (solo se aplica al agente de Triage en DLP). Los agentes de Microsoft Purview usan estas instrucciones de lenguaje natural para mejorar la evaluación de las alertas mediante:
Traducción de la entrada a lógica de clasificación estructurada.
Ejecutar esta lógica en el contenido del documento asociado a cada alerta.
Aumentar la prioridad de la alerta si el contenido coincide con la instrucción personalizada.
Para obtener instrucciones personalizadas, solo analizamos el contenido del documento, no los metadatos ni los atributos de comportamiento. Esto significa que el agente admite categorías de contenido como:
- información fiscal, financiera o legal
- entidades con nombre, como números de tarjeta de crédito, números de seguridad social y nombres
- condiciones lógicas como más de cinco SSN, contiene documentos financieros
Si no está seguro de si se admite la condición que desea usar, compruebe si está marcada como condición de contenido. Si es así, el agente puede usarlo en instrucciones personalizadas.
Por ejemplo, si escribe: "Quiero centrarme en las alertas con contenido relacionado con impuestos o finanzas y que contiene más de cinco números de tarjeta de crédito o SSN". El agente interpreta esto como:
{
"logic_expression": "MATCH(content, 'Tax') or MATCH(content, 'Finance') and (COUNT(content, 'U.S. social security number') >= 5) or (COUNT(content, 'U.S. credit card number') >= 5)"
}
Alertas de evaluación por evaluación
El agente evaluará las alertas en función de la configuración del desencadenador. El agente evaluará las alertas que se generan en el período de tiempo seleccionado y que proceden de las directivas seleccionadas. No todas las alertas se evalúan.
Las alertas por evaluación se agrupan en cuatro categorías:
Todos: esta categoría incluye todas las alertas que el agente ha evaluado. Es posible que el recuento indicado en la categoría no refleje con precisión el número real de alertas hasta que entre en esa vista y desplácese hacia abajo para cargar todas las alertas. Si las condiciones que provocaron que la alerta se generara en primer lugar han cambiado, o si aún no se ha evaluado la alerta, puede seleccionar la alerta y, a continuación, seleccionar Ejecutar agente para ejecutar manualmente el agente en la alerta.
Necesita atención: estas son las alertas que el agente ha evaluado y determinado que suponen el mayor riesgo para su organización. Al seleccionar una de estas alertas, se abre el control flotante de detalles para mostrar un resumen de la alerta y otros detalles.
Menos urgentes: estas son las alertas que el agente ha evaluado y determinado que suponen un riesgo menor para su organización. Al seleccionar una de estas alertas, se abre el control flotante de detalles para mostrar un resumen de la alerta y otros detalles.
No clasificado: estas son las alertas que el agente no pudo evaluar correctamente. Esto puede ocurrir por muchas razones, entre las que se incluyen:
- Error del servidor
- En proceso de revisión
- otro error
- Error no admitido para las alertas que contienen actividades que el agente no admite.
Los agentes evalúan los archivos con un tamaño de hasta 2 MB.
Cómo priorizan los agentes
El agente de triaje en DLP prioriza las alertas en función de estos factores de riesgo:
- Riesgo de contenido: este es el factor de riesgo principal que se usa durante la evaluación de prioridades del agente, abarca contenido confidencial basado en los tipos de información confidencial (SIT) proporcionados por Microsoft, clasificadores entrenables y etiquetas de confidencialidad predeterminadas. Para obtener más información, consulte etiquetas de confidencialidad predeterminadas.
- Riesgo de filtración: filtración de datos confidenciales compartidos externamente.
- Riesgo de directiva: el modo de directiva y las reglas con acciones afectan a la priorización de alertas.
- Riesgo de contenido: etiqueta eliminada o degradada.
El agente de evaluación de riesgos de Insider Risk Management prioriza las alertas en función de:
- Riesgo de actividad: el agente identifica las actividades con el mayor riesgo de filtración e informa de información de alertas históricas.
- Riesgo de archivo: el agente analiza el contenido de los archivos que están en riesgo de ser filtrados y proporciona un resumen del documento y un análisis de riesgo de cada archivo.
- Riesgo de usuario: atributos del usuario que pueden afectar a la priorización de alertas, como la configuración del grupo de usuarios prioritario o el número de casos activos actualmente.
Detalles de la evaluación de la evaluación de alertas
Importante
El agente de triaje en DLP solo admite alertas de directivas que están en modo activo. No evalúa las alertas de las directivas DLP que se ejecutan en modo de simulación.
Los agentes pueden revisar las alertas que se generaron hasta 30 días antes de la habilitación del agente si el inquilino tiene suficienteSUS. Las alertas que se generaron más de 30 días antes de la habilitación del agente están fuera del ámbito.
El agente de triaje en DLP evalúa las alertas de Exchange, Dispositivos, SharePoint, OneDrive, Teams. Para evaluar las alertas de Dispositivos, debe habilitar la recopilación de pruebas para las actividades de archivo en los dispositivos.
En DLP, el agente no evalúa las alertas desencadenadas por tipos de información confidencial (SIT) personalizados y condiciones de clasificador que se pueden entrenar personalizadas únicamente. Las alertas desencadenadas por condiciones de directiva de clasificador que no son de SIT o que no se pueden entrenar solo como Email subject match , por ejemplo, no se clasifican.
Debe realizar un análisis manual de las alertas que el agente no puede evaluar por completo.
Alertas de evaluación parcial
Estos son algunos ejemplos de situaciones en las que las alertas se pueden evaluar parcialmente.
- La regla DLP contiene algunas condiciones que no se admiten, como
The user accessed a sensitive site from Edge - La regla DLP incluye ciertas condiciones, pero el sistema no puede recuperar las propiedades correspondientes del correo electrónico o archivos como
Document couldn't be scanned. - Usuario no encontrado
- Durante la versión preliminar, el agente de administración de riesgos internos solo analizará el contenido del archivo de SharePoint. No analiza las actividades de correo electrónico y dispositivo con archivos adjuntos. Si una alerta solo contiene actividades de correo electrónico o dispositivo, no se analizará.
- Una alerta generada a partir de la directiva que solo examina las actividades de punto de conexión o correo electrónico para Insider Risk Management.
Análisis de contenido
Hay algunas situaciones en las que el análisis de contenido puede ser limitado.
La priorización del riesgo de contenido de una alerta se basa en los SIT proporcionados por Microsoft, clasificadores entrenables y etiquetas de confidencialidad en el contenido. Cuando un agente evalúa el riesgo de contenido, solo busca SIT proporcionados por Microsoft y clasificadores entrenables definidos en la directiva.
Cuando una alerta DLP está asociada a menos de 10 archivos, el agente examina todos los archivos y los usa en el resumen de contenido. Cuando una alerta tiene más de 10 o más archivos, los 10 archivos potencialmente principales se usan para generar el resumen de riesgo de archivos. En DLP, el agente de evaluación de prioridades selecciona los 10 archivos de riesgo principales según el número de aciertos del clasificador de directivas, el tamaño del archivo y la última vez que se obtuvo acceso al archivo. Cuando esto sucede, el agente proporciona una nota que indica que todos los archivos de la alerta no se incluyeron en el resumen de contenido.
En Insider Risk Management (IRM), los 10 principales criterios de archivos de riesgo se basan en:
- Nombres de archivo, rutas de acceso, extensiones
- Microsoft proporcionó SIT, clasificadores entrenables y etiquetas de confidencialidad.
- Si el archivo se considera contenido prioritario de las configuraciones de directiva de IRM
- Puntuación de riesgo de la actividad asociada al archivo.
- Metadatos de archivo. por ejemplo, es el contenido oculto o tiene una etiqueta protegida.
- Instrucciones personalizadas si están presentes.
En Insider Risk Management, el agente solo admite archivos de SharePoint y OneDrive para el análisis de contenido. Esto solo afecta a la sección Riesgo de archivo, las secciones Actividad y Riesgo de usuario no se ven afectadas por esta limitación de soporte técnico.