Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
¿Qué son los agentes para Security Copilot? ¿Cuál es la experiencia Administración/usuario final y cuál es la experiencia del desarrollador?
Un Security Copilot agente de inteligencia artificial es un sistema que percibe el entorno digital y físico del cliente. Un agente toma decisiones y realiza acciones para lograr un objetivo, con la autonomía que le concede el cliente Security Copilot. El administrador autorizado del cliente instala todos los agentes de Security Copilot desde los portales de Microsoft Defender XDR, Microsoft Entra, Intune, Purview y Security Copilot. El administrador establece la identidad del agente y configura el control de acceso basado en rol (RBAC) para el agente. El usuario final de un agente es un analista de seguridad (Defender, Microsoft Entra, Threat Intel), analista de privacidad (Purview) o administrador de TI (Microsoft Entra, Intune) y experimenta principalmente agentes a través de sus respectivos portales. Para obtener instrucciones sobre cómo compilar agentes personalizados para clientes o asociados, consulte Compilación de agentes personalizados.
¿Qué pueden hacer Security Copilot agentes?
- Tres agentes evalúan y clasifican de forma autónoma las alertas y los incidentes: Evaluación de prioridades de suplantación de identidad (Phishing), Evaluación de la evaluación de alertas para la prevención de pérdida de datos y Evaluación de la clasificación de alertas para Insider Risk Management.
- Tres agentes realizan de forma autónoma tareas de seguridad proactivas: corrección de vulnerabilidades, información de inteligencia sobre amenazas y desfase de directivas de acceso condicional.
- Para la generación y ejecución del plan, cada uno de estos agentes usa:
- Orquestación sencilla proporcionada por el desarrollador del agente de Microsoft, lo que significa que el desarrollador escribió código para dirigir al agente o
- Orquestación de IA proporcionada por la plataforma, lo que significa que una combinación de código creado por Security Copilot e instrucciones LLM dirige al agente.
¿Cuáles son las experiencias de Security Copilot Agent previstas para su uso?
- Agente de evaluación de suplantación de identidad : evalúa de forma autónoma los incidentes de suplantación de identidad notificados por el usuario en Microsoft Defender XDR, realizando enriquecimiento en el incidente y resolviendo potencialmente el incidente en función del análisis del agente en texto e imágenes.
- Evaluación de la evaluación de alertas para la prevención de pérdida de datos: evalúa de forma autónoma las alertas DLP en Microsoft Purview, realizando enriquecimiento en la alerta y resolviendo potencialmente la alerta en función del análisis del agente.
- Evaluación de riesgos de alertas para Insider Risk Management: evalúa de forma autónoma las alertas de IRM en Microsoft Purview, realizando enriquecimiento en la alerta y resolviendo potencialmente la alerta en función del análisis del agente.
- Corrección de vulnerabilidades: crea de forma autónoma un grupo de aplicación de revisiones para corregir las vulnerabilidades publicadas con revisiones que se aplican al entorno del cliente. El agente no aplica revisiones al entorno.
- Información sobre inteligencia sobre amenazas: investiga y envía de forma autónoma un agente de información semanal de inteligencia sobre amenazas al cliente.
- Desfase de directivas de acceso condicional: crea de forma autónoma un cambio de directiva que mantiene sincronizados el sistema de identidad y el sistema de usuario del cliente.
¿Cómo se evaluó la experiencia del agente Security Copilot? ¿Qué métricas se usan para medir el rendimiento?
- Para la fase de versión preliminar privada, su equipo de producto e investigación evaluó cada agente con la entrada de diseño y caso de uso de los clientes.
- Hemos evaluado la seguridad del sistema mediante un ejercicio de formación de equipos rojo.
¿Cuáles son las limitaciones de los agentes de Security Copilot? ¿Cómo pueden los usuarios minimizar el impacto de sus limitaciones al usar el sistema?
- Se trata de una versión preliminar pública, por lo que los clientes deben tratar los agentes de Security Copilot como una funcionalidad de versión preliminar. Esto significa que los clientes deben revisar la toma de decisiones del agente antes de actuar sobre sus salidas. La toma de decisiones del agente está disponible dentro de la experiencia del producto.
- Los agentes solo son adecuados para la tarea específica que están diseñados para realizar (consulte los casos de uso previstos anteriormente). Los agentes no son adecuados para ninguna otra tarea.
- Cuando los usuarios envían comentarios a un agente para almacenarlos en memoria, el agente no proporciona un resumen de su interpretación de los comentarios. Esto significa que los usuarios no recibirán una validación inmediata de cómo se entendió su entrada. Para minimizar la ambigüedad aquí, los usuarios deben enviar comentarios claros, concisos y específicos. Esto ayuda a garantizar que la interpretación del agente se alinee estrechamente con la intención del usuario, incluso sin un resumen explícito.
- La interfaz de usuario actual no indica el evento de que se notifican comentarios en conflicto. Los usuarios deben revisar periódicamente los comentarios para comprender lo que ya se ha enviado al agente para asegurarse de que se ajusta a sus necesidades.
- El mapa del nodo de agente está diseñado para proporcionar una vista de alto nivel de los pasos realizados durante un proceso de agente. Cada nodo del mapa de nodos muestra el título de la aptitud usada en cada paso (por ejemplo, "UserPeers" o "SummarizeFindingAgent"), junto con información básica como el estado de finalización, la duración y una marca de tiempo. No proporciona un resumen detallado de las acciones específicas realizadas en cada nodo. Los usuarios pueden minimizar el impacto revisando cuidadosamente los títulos de nodo, ya que se escriben para describir la acción realizada. A continuación, pueden deducir los propósitos de cada paso, teniendo en cuenta los títulos en el contexto de la tarea más amplia del agente.
- Los agentes usan memoria para almacenar los comentarios de los usuarios autorizados y aplicar esa información a las ejecuciones posteriores. Por ejemplo, un analista de seguridad podría proporcionar los siguientes comentarios al agente de evaluación de suplantación de identidad enviado por el usuario: "Los correos electrónicos de hrtools.com son de mi proveedor de entrenamiento de RR. HH., por lo que no los marque como ataques de suplantación de identidad a menos que haya malware en el punto de conexión de vínculo". Esos comentarios se almacenan en memoria y, a continuación, se aplican a las ejecuciones posteriores del agente para que el contexto empresarial del cliente se capture de forma eficaz. Para proteger la memoria contra la intoxicación por una actualización malintencionada o errónea involuntaria, el administrador del cliente configura quién está autorizado para proporcionar comentarios al agente. Además, el administrador puede ver, editar y eliminar el contenido de la memoria, al que se puede acceder desde las pantallas de configuración del agente del producto.
¿Qué factores operativos y configuraciones permiten un uso eficaz y responsable de los agentes de Security Copilot?
- Cada agente se ejecuta con una identidad administrada o como usuario capturado, lo que permite al administrador controlar los datos a los que tiene acceso.
- Cada agente tiene controles RBAC y los dos agentes de Purview pueden estar restringidos aún más en cuanto a los datos que procesan.
- Ninguno de estos seis agentes realiza acciones que no se pueden deshacer. Por ejemplo, tres agentes cambian el estado de incidentes o alertas, un acto que se puede revertir fácilmente.
- El administrador rige quién en la organización puede proporcionar comentarios al agente.
Cómo proporcionar comentarios sobre los agentes de Security Copilot?
Cada agente tiene un mecanismo de comentarios que permite a los clientes proporcionar comentarios en lenguaje natural al agente. El agente incorpora esos comentarios en un bucle de aprendizaje activo.
Compatibilidad con complementos
Security Copilot agentes no admiten complementos.