Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Que sont les agents pour Security Copilot ? Qu’est-ce que l’expérience Administration/utilisateur final et qu’est-ce que l’expérience développeur ?
Un agent IA Security Copilot est un système qui perçoit l’environnement numérique et physique du client. Un agent prend des décisions et prend des mesures pour atteindre un objectif, avec l’autonomie qui lui est accordée par le Security Copilot client. L’administrateur autorisé du client installe tous les agents Security Copilot à partir des portails Microsoft Defender XDR, Microsoft Entra, Intune, Purview et Security Copilot. L’administrateur définit l’identité de l’agent et configure le contrôle d’accès en fonction du rôle (RBAC) pour l’agent. L’utilisateur final d’un agent est un analyste de sécurité (Defender, Microsoft Entra, Threat Intel), un analyste de confidentialité (Purview) ou un administrateur informatique (Microsoft Entra, Intune), et il rencontre principalement des agents via leurs portails respectifs. Pour obtenir des conseils sur la création d’agents personnalisés pour des clients ou des partenaires, consultez Créer des agents personnalisés.
Que peuvent faire Security Copilot agents ?
- Trois agents trient et catégorisent les alertes et les incidents de manière autonome : triage d’hameçonnage, triage des alertes pour la protection contre la perte de données et triage des alertes pour la gestion des risques internes.
- Trois agents effectuent de manière autonome des tâches de sécurité proactives : correction des vulnérabilités, information sur les menaces et dérive de stratégie d’accès conditionnel.
- Pour la génération et l’exécution du plan, chacun de ces agents utilise :
- Orchestration simple fournie par le développeur de l’agent Microsoft, ce qui signifie que le développeur a écrit du code pour diriger l’agent ou
- Orchestration d’IA fournie par la plateforme, ce qui signifie qu’un mélange de code créé par Security Copilot et d’instructions LLM dirige l’agent.
Quelles sont les expériences Security Copilot Agent destinées à être utilisées ?
- Agent de triage d’hameçonnage : trie de manière autonome les incidents de hameçonnage signalés par l’utilisateur dans Microsoft Defender XDR, en effectuant un enrichissement sur l’incident et en résolvant potentiellement l’incident en fonction de l’analyse de l’agent sur du texte et des images.
- Triage des alertes pour la protection contre la perte de données : trie de manière autonome les alertes DLP dans Microsoft Purview, en effectuant un enrichissement sur l’alerte et éventuellement en résolvant l’alerte en fonction de l’analyse de l’agent.
- Triage des alertes pour la gestion des risques internes : trie de manière autonome les alertes IRM dans Microsoft Purview, en effectuant un enrichissement sur l’alerte et éventuellement en résolvant l’alerte en fonction de l’analyse de l’agent.
- Correction des vulnérabilités : crée de manière autonome un groupe de mise à jour corrective pour corriger les vulnérabilités publiées avec des correctifs qui s’appliquent à l’environnement du client. L’agent n’applique pas de correctifs à l’environnement.
- Information sur les menaces : recherche et envoie de manière autonome un agent de briefing de renseignement sur les menaces hebdomadaire au client.
- Dérive de stratégie d’accès conditionnel : crée de manière autonome une modification de stratégie qui maintient le système d’identité et le système utilisateur du client synchronisés.
Comment l’expérience de l’agent Security Copilot a-t-elle été évaluée ? Quelles métriques sont utilisées pour mesurer les performances ?
- Pour la phase de préversion privée, chaque agent a été évalué par son équipe produit et de recherche avec le cas d’usage et l’entrée de conception des clients.
- Nous avons évalué la sécurité du système par le biais d’un exercice d’association rouge.
Quelles sont les limitations des agents Security Copilot ? Comment les utilisateurs peuvent-ils réduire l’impact de leurs limitations lors de l’utilisation du système ?
- Il s’agit d’une préversion publique. Les clients doivent donc traiter Security Copilot agents comme une fonctionnalité de préversion. Cela signifie que les clients doivent passer en revue la prise de décision de l’agent avant d’agir sur ses résultats. La prise de décision de l’agent est disponible dans l’expérience produit.
- Les agents conviennent uniquement à la tâche spécifique qu’ils sont conçus pour effectuer (voir les cas d’usage prévus ci-dessus). Les agents ne conviennent à aucune autre tâche.
- Lorsque les utilisateurs envoient des commentaires à un agent à stocker en mémoire, l’agent ne fournit pas de résumé de son interprétation des commentaires. Cela signifie que les utilisateurs ne recevront pas de validation immédiate de la façon dont leur entrée a été comprise. Pour réduire l’ambiguïté, les utilisateurs doivent envoyer des commentaires clairs, concis et spécifiques. Cela permet de garantir que l’interprétation de l’agent s’aligne étroitement sur l’intention de l’utilisateur, même sans résumé explicite.
- L’interface utilisateur actuelle n’indique pas l’événement de commentaires en conflit signalés. Les utilisateurs doivent consulter régulièrement les commentaires pour comprendre ce qui a déjà été soumis à l’agent afin de s’assurer qu’ils correspondent à leurs besoins.
- Le mappage des nœuds de l’agent est conçu pour fournir une vue d’ensemble des étapes effectuées pendant un processus d’agent. Chaque nœud de la carte de nœuds affiche le titre de la compétence utilisée à chaque étape (par exemple, « UserPeers » ou « SummarizeFindingAgent »), ainsi que des informations de base telles que la status d’achèvement, la durée et un horodatage. Il ne fournit pas de résumé détaillé des actions spécifiques effectuées sur chaque nœud. Les utilisateurs peuvent réduire l’impact en examinant attentivement les titres des nœuds, car ils sont écrits pour décrire l’action effectuée. Ils peuvent ensuite déduire les objectifs de chaque étape, en considérant les titres dans le contexte de la tâche plus large de l’agent.
- Les agents utilisent la mémoire pour stocker les commentaires des utilisateurs autorisés et appliquer ces informations aux exécutions suivantes. Par exemple, un analyste de sécurité peut fournir les commentaires suivants à l’agent de triage de hameçonnage soumis par l’utilisateur : « Les e-mails provenant de hrtools.com proviennent de mon fournisseur de formation RH, donc ne les signalez pas comme des attaques par hameçonnage, sauf s’il existe un programme malveillant sur le point de terminaison de lien ». Ces commentaires sont stockés en mémoire, puis s’appliquent aux exécutions suivantes de l’agent afin que le contexte métier du client soit capturé efficacement. Pour protéger la mémoire contre l’empoisonnement par une mise à jour malveillante ou involontairement erronée, l’administrateur du client configure qui est autorisé à fournir des commentaires à l’agent. En outre, l’administrateur peut afficher, modifier et supprimer le contenu de la mémoire, qui est accessible à partir des écrans de configuration de l’agent dans le produit.
Quels sont les facteurs et paramètres opérationnels qui permettent une utilisation efficace et responsable des agents Security Copilot ?
- Chaque agent s’exécute sous une identité managée ou en tant qu’utilisateur capturé, ce qui permet à l’administrateur de régir les données à laquelle il a accès.
- Chaque agent a des contrôles RBAC, et les deux agents Purview peuvent être davantage limités quant aux données qu’ils traitent.
- Aucun de ces six agents n’effectue une action qui ne peut pas être annulée. Par exemple, trois agents modifient la status des incidents ou des alertes, un acte qui peut facilement être inversé.
- L’administrateur détermine qui dans le organization peut fournir des commentaires à l’agent.
Comment faire fournir des commentaires sur Security Copilot agents ?
Chaque agent dispose d’un mécanisme de commentaires permettant aux clients de fournir des commentaires en langage naturel à l’agent. L’agent incorpore ces commentaires dans une boucle d’apprentissage active.
Prise en charge des plug-ins
Security Copilot agents ne prennent pas en charge les plug-ins.