Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Microsoft Security Copilot fournit des fonctionnalités d’automatisation avancées pour vous aider à relever des défis réels en matière de sécurité et d’opérations informatiques, notamment les promptbooks Security Copilot et les agents Security Copilot.
Security Copilot des promptbooks peuvent être utilisés pour créer des automatisations qui suivent un workflow déterministe et linéaire.
Security Copilot agents peuvent être utilisés pour générer des automatisations pour les workflows déterministes ou non déterministes. Dans les flux de travail non déterministes, les agents tirent parti des outils et des instructions pour développer un plan dynamique pour atteindre son résultat. Les agents fournissent également des fonctionnalités supplémentaires telles que la possibilité de se déclencher selon une planification et d’apprendre à partir des commentaires des utilisateurs.
Vous pouvez choisir de créer des promptbooks ou des agents en fonction de vos scénarios et cas d’usage liés à la sécurité et aux opérations informatiques.
Cas d’usage pour les agents personnalisés
Les agents de Security Copilot personnalisés peuvent être développés pour n’importe quel cas d’usage. Voici quelques idées que vous pouvez prendre en compte pour améliorer la sécurité et les opérations informatiques en :
Agent qui effectue une investigation complète des incidents de sécurité Microsoft Defender en analysant les détails des incidents, en extrayant des entités et en effectuant une corrélation avec les incidents Microsoft Sentinel pour un contexte enrichi. Il se termine par une analyse détaillée du verdict qui détermine si l’incident est un vrai positif, faux positif ou nécessite une investigation plus approfondie, ainsi que les étapes de suivi recommandées.
Agent qui analyse des extraits de code ou des scripts suspects pour déterminer leur nature malveillante et extrait des indicateurs de compromission (ICS) tels que les adresses IP et les domaines. L’agent collecte ensuite des informations sur les menaces sur les ICS extraites et vérifie si des appareils de l’organisation ont communiqué avec ces indicateurs potentiellement malveillants au cours des sept derniers jours.
Agent qui génère des rapports complets de renseignement sur les menaces basés sur les entrées de l’utilisateur et recherche les vulnérabilités et expositions courantes (CVE) associées dans Microsoft Defender tables. Il analyse les acteurs, les outils et les vulnérabilités des menaces tout en identifiant les appareils impactés dans l’environnement et en fournissant des stratégies d’atténuation.
Agent qui effectue des enquêtes complètes sur les e-mails en analysant les e-mails suspects sur Microsoft Entra ID, Defender, Sentinel et Microsoft Defender Threat Intelligence plateforme. Il examine les détails des e-mails, l’historique des expéditeurs, les interactions avec les pièces jointes, la sélection d’URL, l’activité de connexion utilisateur et les réputations des entités pour fournir des recommandations de sécurité et déterminer les indicateurs de compromission.
Agent qui effectue des enquêtes utilisateur complètes en collectant et en analysant les données de plusieurs plateformes de sécurité, notamment Entra ID, Intune et Microsoft Sentinel. Il examine les détails des utilisateurs, les niveaux de risque, les journaux d’audit, les modèles de connexion, la conformité des appareils, les réputations IP et les alertes de sécurité pour produire un résumé d’enquête au niveau de l’exécutif.