Compartir a través de

Agente de información sobre amenazas (experiencia independiente)

Nota:

En este artículo se describe la experiencia independiente de Threat Intelligence Briefing Agent en Security Copilot. Para más información sobre la experiencia insertada en el portal de Microsoft Defender, lea Microsoft Security Copilot Agente de información sobre amenazas en Microsoft Defender (versión preliminar).

Los analistas de inteligencia sobre amenazas se enfrentan a varios desafíos en la entrega de inteligencia detallada, accionable y contextualizada. La tarea de desarrollar sesiones informativas de inteligencia sobre amenazas implica recopilar información de varias fuentes de amenazas, herramientas y portales; filtrar y correlacionar esta información; y analizar y asignar riesgos organizativos. Estas actividades se producen antes de que los analistas puedan incluso empezar a desarrollar el propio informe y generar información para cuando entreguen el informe. Para entonces, dado que estos procesos pueden tardar entre horas y días, las amenazas a las que se enfrenta la organización ya han evolucionado, lo que puede hacer que la sesión informativa esté obsoleta.

El agente de información de inteligencia sobre amenazas se desarrolló en respuesta a estos puntos de dolor. Threat Intelligence Briefing Agent en el portal independiente de Microsoft Security Copilot genera informes de inteligencia sobre amenazas basados en la última actividad del actor de amenazas e información de vulnerabilidades internas y externas, en cuestión de minutos. El agente puede ayudar a los equipos de seguridad a ahorrar tiempo mediante la creación de un informe personalizado y relevante que proporciona cisos, administradores de seguridad y analistas con conocimientos situacionales clave y una base sólida para el trabajo de defensa.

El agente aprovecha la automatización dinámica y la inteligencia artificial generativa profunda junto con su gran cantidad de conocimientos y señales de inteligencia sobre amenazas. Al compilar la sesión informativa, el agente elige dinámicamente el siguiente paso en función del resultado del paso anterior, lo que le permite decidir en tiempo real qué inteligencia de amenazas debe incluir y priorizar. A continuación, el agente traduce esta información técnica en un informe digerible que puede ser consumido por varias audiencias.

Threat Intelligence Briefing Agent es más adecuado para los clientes que han activado Microsoft Defender Superficie de ataque externo y Microsoft Defender para punto de conexión, ya que el agente se basa en señales e información de estas integraciones de primera persona para ofrecer informes precisos y enriquecidos en el contexto.

Requisitos previos

Productos

Microsoft Security Copilot es necesario para ejecutar este agente.

Complementos

El siguiente complemento es necesario para ejecutar este agente:

  • Inteligencia sobre amenazas de Microsoft

El siguiente complemento es opcional, pero puede agregar más contexto a la salida:

  • Administración de superficie expuesta a ataques externos de Microsoft Defender

Configuración de permisos de cuenta de usuario

Importante

Requisito de identidad y permisos: este agente requiere la conexión a una cuenta de usuario existente o la creación de una nueva identidad de agente (recomendado). El agente puede leer datos de Administración de superficie expuesta a ataques externos de Defender y Administración de vulnerabilidades de Defender. Debe configurar la cuenta de usuario con los permisos adecuados descritos en la sección siguiente antes de configurar el agente.

Introducción a los permisos

La cuenta de usuario conectada al agente debe tener estos permisos:

Permisos necesarios:

  • Microsoft Defender para punto de conexión: acceso a datos Administración de vulnerabilidades de Defender
  • colaborador de Security Copilot: acceso a la administración de agentes y plataformas de Security Copilot

Permisos opcionales:

  • Administración de la exposición (lectura): acceso a Administración de exposición de seguridad Microsoft información, incluidos los datos de administración de superficies expuestas a ataques externos

Acceso basado en rol:

  • Los propietarios y colaboradores pueden ver el informe generado por threat Intelligence Briefing Agent en la página de la biblioteca del agente de Microsoft Security Copilot

Configurar permisos

Paso 1: Creación de un rol personalizado en Microsoft Defender XDR

  1. Inicie sesión en el portal de Microsoft Defender como administrador global o administrador de seguridad.

  2. Vaya a Permisos>Microsoft Defender XDR>Roles.

  3. Seleccione Crear rol personalizado.

  4. En la pestaña Aspectos básicos:

    • Nombre del rol: Threat Intel Agent - Read Only
    • Descripción: Read-only access for Threat Intelligence Briefing Agent
    • Seleccione Siguiente

  5. En la página Elegir permisos :

    • Seleccionar Posición de seguridad

    • Selección de permisos personalizados

    • En Administración de posturas, seleccione Administración de vulnerabilidades - Lectura

    • Seleccione Aplicar>siguiente

  6. En la página Asignar usuarios y orígenes de datos :

    • Seleccione Agregar asignación.
    • Nombre de asignación: Threat Intel Agent Assignment
    • Empleados: seleccione la cuenta de usuario del agente.
    • Orígenes de datos: seleccione Microsoft Defender para punto de conexión
    • Seleccione Siguienteenvío.>
Paso 2: Asignar Security Copilot rol colaborador

  1. Inicie sesión en Microsoft Security Copilot.

  2. Seleccione el menú > principal Asignación de roles>Agregar miembros.

  3. Busque y seleccione la cuenta de usuario y, a continuación, asigne Security Copilot rol Colaborador.

  4. Seleccione Agregar.

Paso 3 (opcional): Agregar permisos de administración de superficies expuestas a ataques externos

Si su organización usa Administración de superficie expuesta a ataques externos de Microsoft Defender:

  1. En el portal de Microsoft Defender, vaya a Permisos>Microsoft Defender XDR>Roles.

  2. Busque el Threat Intel Agent - Read Only rol y seleccione Editar.

  3. Vaya a Elegir permisos>Posición de> seguridadSeleccione permisos personalizados.

  4. En Administración de posturas, agregue Administración de - exposiciónLectura.

  5. En Orígenes de datos, agregue Administración de exposición de seguridad Microsoft.

  6. Guarde los cambios.

Importante

Después de configurar los permisos, active el modelo de control de acceso basado en rol unificado (RBAC) de Microsoft Defender XDR para que el rol surta efecto.

Sugerencia

Considere la posibilidad de usar una cuenta de servicio dedicada para ejecutar agentes a fin de mantener la separación de tareas y mejorar la supervisión de la seguridad.

Trigger

Este agente se ejecuta en el intervalo de tiempo establecido cuando está activado o manualmente cuando desea ejecutarlo.

Configuración del agente

  1. Para ejecutar threat Intelligence Briefing Agent, vaya a la página Agentes del portal Microsoft Security Copilot independiente.

    Captura de pantalla de Microsoft Security Copilot página de la biblioteca del agente.

  2. Elija threat Intelligence Briefing Agent (Agente de información sobre amenazas) y seleccione Configurar.

    Captura de pantalla de la página de detalles de Threat Intelligence Briefing Agent.

  3. Seleccione una identidad para el agente. Tiene la opción de elegir crear una identidad de agente o asignar una cuenta de usuario existente. Después de esto, espere a que el agente termine de configurar.

    Captura de pantalla de la página de configuración del Agente de información sobre amenazas.

  4. Especifique los parámetros de entrada para personalizar la salida y, a continuación, seleccione Siguiente. Para editar estos parámetros más adelante, seleccione los tres puntos de la sección superior derecha de la página de información general del agente.

    Captura de pantalla de la página Configuración de parámetros del agente de información sobre amenazas.

    • Conclusiones para la investigación: el número de vulnerabilidades que el agente investiga para las amenazas activas
    • Echar un vistazo a los días anteriores: cuánto tiempo atrás el agente investiga las amenazas contra las vulnerabilidades
    • Email: dirección de correo electrónico del usuario o grupo de distribución al que se envía la sesión informativa
    • Región: ámbito del área geográfica en la que el agente comprueba si hay amenazas.
    • Sector: sector o sector en el que el agente comprueba si hay amenazas

  5. Una vez creado el agente, seleccione Volver a los agentes para volver a la página Agentes o seleccione Ir al agente para ir a la página de información general del agente de información sobre amenazas.

    Captura de pantalla de la página de configuración del agente de información sobre amenazas después de que el agente se haya creado correctamente.

  6. Para ejecutar el agente, vaya a la esquina superior derecha de la página de información general del agente y seleccione Ejecutar. Seleccione En el desencadenador para programar que el agente se ejecute a la hora establecida o seleccione Una vez para ejecutar el informe a petición.

Evaluar y proporcionar comentarios sobre la salida del agente

Los informes generados aparecen en la página Agente de información sobre amenazas en Actividad. La página muestra el nombre del informe, la hora de inicio, el método de generación y el estado actual.

Captura de pantalla de la página de información general de Threat Intelligence Briefing Agent con los resultados.

Seleccione uno de los informes para evaluar la salida del agente.

Captura de pantalla del informe de ejemplo del Agente de información sobre amenazas.

El informe de inteligencia sobre amenazas contiene un resumen pertinente de la información sobre amenazas y un análisis técnico detallado, incluida cualquier vulnerabilidad explotada activamente y su posible impacto en la organización.

Threat Intelligence Briefing Agent elige dinámicamente el siguiente paso en función del resultado del paso anterior a medida que compila la sesión informativa. Para ver el progreso del agente hacia la generación de la información sobre amenazas, seleccione Ver actividad.

Captura de pantalla del botón Ver actividad.

Verá detalles de la actividad, lo que le proporcionará transparencia sobre los pasos que el agente realiza para generar la salida.

Captura de pantalla del mapa de actividad.

Puede proporcionar comentarios sobre la sesión informativa seleccionando el botón de pulgar hacia arriba o hacia abajo. Puede elaborarlo en el cuadro de texto que aparece después. Seleccione Enviar para enviar sus comentarios.

Vea también

  • Last updated on