Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Importante
Certaines informations contenues dans cet article concernent le produit en préversion, qui peut être considérablement modifié avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Microsoft Security Copilot (Security Copilot) est une solution de sécurité générative basée sur l’IA qui permet d’augmenter l’efficacité et les capacités des défenseurs afin d’améliorer les résultats de sécurité à la vitesse et à l’échelle de la machine. Security Copilot agents utilisent l’IA pour effectuer des tâches de routine et recueillir des informations avec un certain niveau d’autonomie afin que vous puissiez vous concentrer sur un travail à grande valeur ajoutée. Vous pouvez créer des agents qui personnalisent et améliorent l’expérience Security Copilot pour répondre aux besoins métier uniques de votre organization.
La planification est une première étape importante dans la conception et la création de vos agents de sécurité. La conception d’agents de Security Copilot efficaces nécessite une planification réfléchie, un développement itératif et un alignement fort sur les principes de l’IA responsable. Ce guide permet de structurer votre processus de planification pour créer des agents qui comprennent votre contexte métier unique.
Que vous conceviez différents scénarios de bout en bout, tels que la réponse aux incidents, la chasse aux menaces, la collecte de renseignements, la gestion de la posture, etc., voici les principes fondamentaux pour guider votre processus :
Définir un objectif clair
Commencez par articuler l’objectif de l’agent :
- Énoncé du problème : Quel défi de sécurité ou opérationnel spécifique l’agent résout-il ? Par exemple, un agent qui surveille les alertes de point de terminaison et les enrichit automatiquement avec le renseignement sur les menaces pour réduire la charge de travail des analystes.
- Utilisateurs cibles : Sont-ils des analystes du centre des opérations de sécurité (SOC), des administrateurs informatiques, des Administration de conformité ou des développeurs ? Voir, Security Copilot personnages.
- Métriques de réussite : définissez des résultats mesurables, par exemple, un temps de tri réduit, une précision de détection améliorée ou une correction automatisée.
Pour obtenir des conseils détaillés sur le choix de l’expérience qui répond le mieux aux besoins de votre agent, consultez Agents personnalisés.
Identifier les fonctionnalités requises
Décomposez les outils dont votre agent a besoin pour réussir :
- Cognitive : classifier les alertes, résumer les incidents, mettre en corrélation les signaux.
- Conversationnelle : interpréter les invites de l’utilisateur, générer des explications claires. Pour les flux de travail qui nécessitent que les analystes interagissent avec un agent, consultez Générer des agents interactifs.
- Opérationnel : déclenchez des workflows, appelez des API, récupérez des journaux ou des documents.
Utilisez l’outil Security Copilot (compétence) pour définir ces fonctionnalités. Les outils peuvent être réutilisés ou composés en agents à l’aide du manifeste YAML. Pour charger un outil ou un plug-in, consultez Générer le manifeste de l’agent.
Comprendre votre contexte et votre écosystème uniques
Security Copilot agents fonctionnent dans un environnement sécurisé et extensible adapté aux besoins spécifiques de votre organization :
- Sources de données : identifiez les systèmes, les alertes ou les API auxquelles l’agent doit accéder (par exemple, Microsoft Defender, Microsoft Sentinel, Microsoft Graph). Pour les intégrations à ces sources, consultez Plug-ins.
- Sécurité et conformité : déterminez l’accès des utilisateurs à la plateforme Security Copilot via le RBAC (Role Based Access Control), l’authentification de la part de, et couchez votre couverture de sécurité avec des stratégies d’accès conditionnel. Pour plus d’informations, consultez RBAC.
- Gestion de l’état : appliquez les commentaires de l’agent par le biais de mémoires pour conserver les informations pertinentes entre les sessions.
Hiérarchiser l’IA éthique et responsable
Security Copilot agents doivent adhérer aux principes d’IA responsable dans les dimensions suivantes :
Transparence :
- Permettre aux utilisateurs de vérifier les sources d’informations.
- Communiquez clairement quelles données sont stockées en mémoire et comment elles sont utilisées.
- Comprendre les limitations et les fonctionnalités de l’agent.
- Montrer comment les décisions ont été prises (par exemple, quel outil a été utilisé, quelles données ont été récupérées).
Attentes appropriées :
- Fournissez une justification claire des actions effectuées par l’agent.
- Définissez l’étendue des capacités de raisonnement de l’agent.
Empêcher la sur-dépendance :
- Vérifiez que les utilisateurs peuvent identifier les erreurs dans la sortie de l’agent.
- Encouragez les utilisateurs à valider la précision des résultats.
- Option permettant de rejeter des résultats incorrects ou des sorties trompeuses.
Sécurité et confidentialité :
- Masquez les données sensibles et respectez les limites du locataire.
- Assurez-vous que les agents fonctionnent en conformité avec les stratégies de l’organisation tout en préservant l’intégrité des données.
- Appliquez l’accès avec privilège minimum aux systèmes principaux.
Gouvernance et conformité :
- Utilisez des conventions de nommage et des clauses d’exclusion de responsabilité pour garantir la clarté et la conformité.
Commentaires :
- Permettre aux utilisateurs de fournir des commentaires sur la sortie générée.
- Utilisez les commentaires pour identifier les problèmes et améliorer en permanence les performances et la fiabilité de l’agent.