Partager via

vue d’ensemble de l’agent Security Copilot dans Microsoft Purview

Microsoft Security Copilot agents sont des processus basés sur l’IA conçus pour vous aider avec des tâches spécifiques basées sur des rôles. Microsoft Purview propose un agent de triage de sécurité des données dans Protection contre la perte de données Microsoft Purview (DLP) et Gestion des risques internes Microsoft Purview. Ces agents fournissent une file d’attente d’alertes managées où les activités les plus risquées sont identifiées et hiérarchisées. L’agent analyse le contenu et l’intention potentielle impliqués dans l’activité en fonction des paramètres choisis par l’organization et du niveau de tolérance au risque. L’agent fournit une explication complète de la logique derrière la catégorisation.

En outre, il offre l’agent de posture de sécurité des données dans Gestion de la posture de sécurité des données. Cet agent aide les administrateurs à améliorer leur posture en fournissant des insights, en affichant des recommandations puissantes, des résumés générés par GenAI, des tâches d’achèvement de travail assistées par le modèle LLM (Large Language Model) et bien plus encore.

Les agents sont disponibles dans les expériences incorporées Microsoft Purview. Pour plus d’informations, consultez expériences incorporées.

Agent de triage de sécurité des données :

Le triage et l’attribution d’une priorité aux alertes peuvent être complexes et fastidieux. Lorsque vous disposez d’un triage d’agent et de la hiérarchisation des alertes, selon les paramètres que vous définissez, le temps nécessaire à l’exécution de la tâche est réduit. L’agent vous aide à vous concentrer sur les alertes les plus importantes en les tamisant du bruit des alertes à moindre risque. Cela améliore votre temps de réponse et contribue à augmenter l’efficacité et l’efficacité de votre équipe.

Pour plus d’informations sur le déploiement, la configuration et l’utilisation des agents, consultez :

Agent de posture de sécurité des données :

La recherche de données pertinentes et l’identification de leur protection sont des tâches fastidieuses, fastidieuses et très manuelles. Le rôle principal de l’agent est de vous aider à découvrir des données sensibles dans votre patrimoine de données à l’aide d’une recherche simple basée sur le langage naturel. Au lieu de s’appuyer sur des outils de recherche mot clé ou basés sur des filtres, il utilise des llms pour comprendre l’intention de l’utilisateur. Il recherche le contenu délimité dans votre écosystème Microsoft 365, y compris les documents, les e-mails, les messages et les interactions Copilot, et retourne rapidement les résultats. L’expérience comprend un résumé concis et une analyse des risques associée générée par le LLM.

Avant de commencer

Si vous débutez avec Security Copilot ou Security Copilot agents, vous devez vous familiariser avec les informations contenues dans ces articles :

Concepts de l’agent Security Copilot

Les agents de triage Microsoft Purview s’exécutent sur des unités de calcul de sécurité (SCU). Vos organization doivent avoir des SKU approvisionnées pour que les agents s’exécutent. Pour plus d’informations, reportez-vous aux rubriques suivantes :

Les sections ci-dessous ne peuvent être applicables que pour l’agent de triage. Elles ne s’appliquent pas à l’agent posture.

Déclenche

Les déclencheurs sont des regroupements de paramètres dont les valeurs doivent être remplies pour que l’agent puisse trier une alerte donnée. Les déclencheurs sont les suivants :

Importante

Les agents ne sont pas conscients de l’unité administrative. Toutefois, si l’agent s’exécute dans le contexte d’un administrateur restreint d’unité administrative et que des stratégies sont étendues à l’unité administrative à cet administrateur, l’agent voit uniquement les alertes des stratégies qui sont étendues à l’unité d’administration.

Exécuter automatiquement ou manuellement

Lorsque vous déployez un agent et que vous modifiez des déclencheurs, vous pouvez déterminer si l’agent s’exécutera automatiquement en fonction d’une planification définie ou s’exécutera manuellement sur une alerte à la fois . Si vous sélectionnez Exécuter automatiquement en fonction d’une planification définie, l’agent trie les alertes incluses dans le paramètre Sélectionner une période d’alerte .

Sélectionner une période d’alerte

Lorsque vous déployez un agent et que vous modifiez les déclencheurs d’un agent, vous pouvez choisir la période que l’agent utilisera pour définir l’étendue des alertes à trier. Les options disponibles sont les suivantes :

  • Trier uniquement les nouvelles alertes
  • Dernières 24 heures
  • Dernières 48 heures
  • Dernières 72 heures
  • 7 derniers jours
  • 14 derniers jours
  • 21 derniers jours
  • 30 derniers jours

Si vous sélectionnez Trier uniquement les nouvelles alertes, l’agent trie uniquement les alertes générées après le déploiement de l’agent. L’agent ne trie pas les alertes qui ont été générées avant le déploiement de l’agent. Cela signifie que toutes les options de nombre d’heures ou de derniers jours sont ignorées.

Si vous sélectionnez l’une des options Dernier nombre d’heures ou jours , l’agent trie les alertes qui ont été générées dans la période sélectionnée. Cela vous permet de trier tous ceux qui ont été générés avant le déploiement de l’agent. Toutes les alertes nouvellement générées sont également triées.

Importante

L’étendue du délai de triage des alertes est ancrée au moment de l’activation réussie de l’agent. Essentiellement, l’horloge commence à s’activer lorsque l’agent est activé. Par conséquent, le dernier nombre d’heures ou de jours fait référence à la période précédant le déploiement de l’agent. Il ne s’agit pas d’une période glissante.

Identité de l’agent

Les agents (applicables également à l’agent Posture) peuvent désormais être configurés à l’aide de 2 options

  • Créer et utiliser l’identité de l’agent (recommandé) : ici, il existe une identité d’agent Entra distincte créée pour l’agent et toutes les activités de l’agent sont associées à cette identité d’agent. En savoir plus : https://learn.microsoft.com/en-us/entra/agent-id/

  • Attribuer et utiliser mon identité : ici, l’agent est configuré à l’aide de l’identité de l’utilisateur/administrateur qui configure l’agent et toutes les activités sont associées à l’identité de l’utilisateur.

Instructions personnalisées

Pendant le processus de configuration de l’agent, vous pouvez lui donner des instructions personnalisées. (applicable uniquement à l’agent de triage dans DLP). Les agents Microsoft Purview utilisent ces instructions en langage naturel pour améliorer le tri des alertes en :

  • Traduction de votre entrée en logique de classification structurée.

  • Exécution de cette logique sur le contenu du document associé à chaque alerte.

  • Déclenchement de la priorité de l’alerte si le contenu correspond à votre instruction personnalisée.

Pour obtenir des instructions personnalisées, nous analysons uniquement le contenu du document, et non les métadonnées ou les attributs comportementaux. Cela signifie que l’agent prend en charge les catégories de contenu telles que :

  • informations fiscales, financières ou juridiques
  • entités nommées, comme les numéros de carte de crédit, les numéros de sécurité sociale et les noms
  • des conditions logiques telles que plus de cinq SSN, contient des documents financiers

Si vous ne savez pas si la condition que vous souhaitez utiliser est prise en charge, case activée si elle est marquée comme condition de contenu. Si c’est le cas, l’agent peut l’utiliser dans des instructions personnalisées.

Par exemple, si vous entrez : « Je souhaite me concentrer sur les alertes dont le contenu est lié aux impôts ou aux finances et qui contient plus de cinq numéros de carte de crédit ou SSN. » L’agent interprète ceci comme suit :

{
  "logic_expression": "MATCH(content, 'Tax') or MATCH(content, 'Finance') and (COUNT(content, 'U.S. social security number') >= 5) or (COUNT(content, 'U.S. credit card number') >= 5)"
}

Alertes triées

L’agent trie les alertes en fonction de la configuration du déclencheur. L’agent trie les alertes qui sont générées dans la période que vous avez sélectionnée et qui proviennent des stratégies que vous avez sélectionnées. Toutes les alertes ne sont pas triées.

Les alertes triées sont regroupées en quatre catégories :

Tout : cette catégorie inclut toutes les alertes que l’agent a triées. Le nombre indiqué dans la catégorie peut ne pas refléter avec précision le nombre réel d’alertes tant que vous n’accédez pas à cette vue et que vous faites défiler vers le bas pour charger toutes les alertes. Si les conditions qui ont provoqué le déclenchement de l’alerte en premier lieu ont changé, ou si l’alerte n’a pas encore été triée, vous pouvez sélectionner l’alerte, puis sélectionner Exécuter l’agent pour exécuter manuellement l’agent sur l’alerte.

Nécessite une attention : il s’agit des alertes que l’agent a évaluées et a déterminé qu’elles représentent le plus grand risque pour votre organization. Lorsque vous sélectionnez l’une de ces alertes, le menu volant détails s’ouvre pour afficher un résumé de l’alerte et d’autres détails.

Moins urgent : il s’agit des alertes que l’agent a évaluées et a déterminé qu’elles présentent un risque moindre pour votre organization. Lorsque vous sélectionnez l’une de ces alertes, le menu volant détails s’ouvre pour afficher un résumé de l’alerte et d’autres détails.

Non classé : il s’agit des alertes que l’agent n’a pas pu trier correctement. Cela peut se produire pour de nombreuses raisons, notamment :

  • Erreur du serveur
  • En cours d’examen
  • autre erreur
  • Erreur non prise en charge pour les alertes qui contiennent des activités que l’agent ne prend pas en charge.

Les agents trient les fichiers jusqu’à 2 Mo.

Comment les agents hiérarchisent-ils

L’agent de triage dans DLP hiérarchise les alertes en fonction des facteurs de risque suivants :

  • Risque de contenu : il s’agit du principal facteur de risque utilisé lors du triage de l’agent. Il couvre le contenu sensible basé sur les types d’informations sensibles (SIT) fournis par Microsoft, les classifieurs pouvant être formés et les étiquettes de confidentialité par défaut. Pour plus d’informations, consultez Étiquettes de confidentialité par défaut.
  • Risque d’exfiltration : exfiltration de données sensibles partagées en externe.
  • Risque de stratégie : le mode de stratégie et les règles avec actions ont un impact sur la hiérarchisation des alertes.
  • Risque de contenu : étiquette supprimée ou rétrogradée. 

L’agent de triage dans la gestion des risques internes hiérarchise les alertes en fonction des éléments suivants :

  • Risque d’activité : l’agent identifie les activités présentant le risque d’exfiltration le plus élevé et fournit des informations d’alerte historiques.
  • Risque de fichier : l’agent analyse le contenu des fichiers qui risquent d’être exfiltrés et fournit un résumé des documents et une analyse risquée de chaque fichier.
  • Risque utilisateur : attributs de l’utilisateur qui peuvent avoir un impact sur la hiérarchisation des alertes, telles que la configuration du groupe d’utilisateurs prioritaire ou le nombre de cas actuellement actifs.

Détails du triage des alertes

Importante

L’agent de triage dans DLP prend uniquement en charge les alertes des stratégies en mode actif. Il ne trie pas les alertes des stratégies DLP qui s’exécutent en mode simulation.

Les agents peuvent passer en revue les alertes générées jusqu’à 30 jours avant l’activation de l’agent si le locataire dispose de suffisamment de SKU. Les alertes qui ont été générées plus de 30 jours avant l’activation de l’agent sont hors de portée.

L’agent de triage dans DLP trie les alertes à partir d’Exchange, appareils, SharePoint, OneDrive, Teams. Pour trier les alertes des appareils, vous devez activer la collecte de preuves pour les activités de fichier sur les appareils.

Dans DLP, l’agent ne trie pas les alertes déclenchées par des types d’informations sensibles (SIT) personnalisés et des conditions de classifieur pouvant être entraînés personnalisées uniquement. Les alertes déclenchées par des conditions de stratégie de classifieur non-SIT/non trainables uniquement telles que Email subject match ne sont pas triées.

Vous devez effectuer une analyse manuelle des alertes qui ne peuvent pas être entièrement évaluées par l’agent.

Alertes partiellement triées

Voici quelques exemples de situations où les alertes peuvent être partiellement triées.

  • La règle DLP contient certaines conditions qui ne sont pas prises en charge, telles que The user accessed a sensitive site from Edge
  • La règle DLP inclut certaines conditions, mais le système ne peut pas récupérer les propriétés correspondantes de l’e-mail ou des fichiers tels que Document couldn't be scanned.
  • Utilisateur in trouvé
  • Pendant la préversion, l’agent de gestion des risques internes analyse uniquement le contenu du fichier SharePoint. Il n’analyse pas les activités des e-mails et des appareils avec les fichiers associés. Si une alerte contient uniquement des activités de messagerie ou d’appareil, elle n’est pas analysée.
  • Alerte générée à partir de la stratégie qui examine uniquement les activités de point de terminaison ou de messagerie pour la gestion des risques internes.

Analyse du contenu

Dans certains cas, l’analyse du contenu peut être limitée.

La hiérarchisation des risques de contenu d’une alerte est basée sur les SIT fournis par Microsoft, les classifieurs pouvant être formés et les étiquettes de confidentialité dans le contenu. Lorsqu’un agent évalue le risque de contenu, il recherche uniquement les SIT fournis par Microsoft et les classifieurs pouvant être entraînés qui sont définis dans la stratégie.

Lorsqu’une alerte DLP est associée à moins de 10 fichiers, tous les fichiers sont analysés par l’agent et utilisés dans le résumé du contenu. Lorsqu’une alerte contient plus de 10 fichiers ou plus, les 10 fichiers potentiellement les plus importants sont utilisés pour générer le résumé des risques liés aux fichiers. Dans DLP, l’agent de triage sélectionne les 10 principaux fichiers à risque en fonction du nombre d’accès au classifieur de stratégie, de la taille du fichier et de la dernière fois que le fichier a été consulté. Lorsque cela se produit, l’agent fournit une note indiquant que tous les fichiers de l’alerte n’ont pas été inclus dans le résumé du contenu.

Dans la gestion des risques internes (IRM), les 10 principaux critères relatifs aux fichiers à risque sont basés sur :

  • Noms de fichiers, chemins d’accès, extensions
  • Microsoft a fourni des SIT, des classifieurs pouvant être formés et des étiquettes de confidentialité.
  • Si le fichier est considéré comme contenu prioritaire à partir des configurations de stratégie IRM
  • Score de risque de l’activité associée au fichier.
  • Métadonnées de fichier. par exemple, est le contenu masqué ou a-t-il une étiquette protégée.
  • Instructions personnalisées si elles sont présentes.

Dans la gestion des risques internes, l’agent prend uniquement en charge les fichiers SharePoint et OneDrive pour l’analyse du contenu. Cela n’affecte que la section Risque de fichier, les sections Risque de l’activité et de l’utilisateur ne sont pas affectées par cette limitation de support.

  • Last updated on