Compartilhar via

Descrição Geral do Agente do Security Copilot no Microsoft Purview

Microsoft Security Copilot agentes são processos baseados em IA concebidos para o ajudar com tarefas específicas baseadas em funções. O Microsoft Purview oferece um Agente de Triagem de Segurança de Dados em Prevenção Contra Perda de Dados do Microsoft Purview (DLP) e Gerenciamento de Risco Interno do Microsoft Purview. Estes agentes fornecem uma fila de alertas gerida onde as atividades de maior risco são identificadas e priorizadas. O agente analisa o conteúdo e a potencial intenção envolvida na atividade com base nos parâmetros escolhidos pela organização e no nível de tolerância a riscos. O agente oferece uma explicação abrangente para a lógica subjacente à categorização.

Além disso, oferece o Agente de Postura de Segurança de Dados no Gerenciamento da Postura de Segurança de Dados. Este agente ajuda os administradores a melhorar a sua postura ao fornecer informações, mostrando recomendações avançadas, resumos gerados pela GenAI, tarefas de conclusão de tarefas assistidas de modelo de linguagem grande (LLM) e muito mais.

Os agentes estão disponíveis nas experiências incorporadas do Microsoft Purview. Para obter mais informações, veja experiências incorporadas.

Agente de Triagem de Segurança de Dados:

A triagem e a atribuição de uma prioridade a alertas podem ser complexas e morosas. Quando tem uma triagem do agente e dá prioridade aos alertas, de acordo com os parâmetros que definiu, o tempo necessário para concluir a tarefa é reduzido. O agente ajuda-o a concentrar-se nos alertas mais importantes ao removê-los do ruído de alertas de menor risco. Isto melhora o tempo de resposta e ajuda a aumentar a eficiência e eficácia da sua equipa.

Para obter informações sobre como implementar, configurar e utilizar os agentes, veja:

Agente de Postura de Segurança de Dados:

Procurar dados relevantes e identificar a respetiva proteção é uma tarefa demorada, entediante e altamente manual. A função principal do agente é ajudar a detetar dados confidenciais no seu património de dados através de uma simples pesquisa baseada em Linguagem natural. Em vez de depender de ferramentas de pesquisa baseadas em palavra-chave ou filtros, utiliza LLMs para compreender a intenção do utilizador. Procura conteúdos no âmbito do seu ecossistema do Microsoft 365, incluindo documentos, e-mails, mensagens e interações do Copilot, e devolve resultados rapidamente. A experiência inclui um resumo conciso e uma análise de risco associada gerada pelo LLM.

Antes de começar

Se não estiver familiarizado com Security Copilot ou Security Copilot agentes, deve familiarizar-se com as informações nestes artigos:

Security Copilot conceitos do agente

Os Agentes de Triagem do Microsoft Purview são executados em Unidades de Computação de Segurança (SCU). A sua organização tem de ter SCUs aprovisionadas para que os agentes executem. Para saber mais, confira:

As secções abaixo são aplicáveis apenas ao agente de Triagem. Não são aplicáveis ao Agente de Postura.

Acionadores

Os acionadores são agrupamentos de parâmetros cujos valores têm de ser cumpridos para que o agente faça a triagem de um determinado alerta. Os acionadores incluem:

Importante

Os agentes não têm conhecimento da Unidade administrativa. No entanto, se o agente estiver em execução no contexto de um administrador restrito de unidade administrativa e existirem políticas com âmbito de unidade administrativa para esse administrador, o agente só verá alertas das políticas que estão confinadas à unidade de administração.

Executar automaticamente ou manualmente

Quando implementa um agente e quando edita acionadores, pode selecionar se o agente será executado automaticamente com base numa agenda definida ou se o Agente será executado manualmente num alerta de cada vez . Se selecionar Executar automaticamente com base numa agenda definida, o agente fará a triagem dos alertas incluídos na definição Selecionar período de tempo do Alerta .

Selecionar período de tempo do alerta

Quando implementa um agente e quando edita os acionadores de um agente, pode escolher o período de tempo que o agente irá utilizar para definir o âmbito, que alerta para a triagem. As opções são:

  • Apenas triagem de novos alertas
  • Últimas 24 horas
  • Últimas 48 horas
  • Últimas 72 horas
  • Últimos 7 dias
  • Últimos 14 dias
  • Últimos 21 dias
  • Últimos 30 dias

Se selecionar Apenas a triagem de novos alertas, o agente apenas efetua a triagem de alertas que são gerados após a implementação do agente. O agente não efetuará a triagem de quaisquer alertas que tenham sido gerados antes da implementação do agente. Isto significa que todas as opções de Últimas horas ou dias são ignoradas.

Se selecionar qualquer uma das opções Últimas horas ou dias , o agente faz a triagem dos alertas que foram gerados no período de tempo selecionado. Isto permite-lhe fazer a triagem de tudo o que foi gerado antes da implementação do agente. Todos os alertas gerados recentemente também são triagem.

Importante

O âmbito do período de tempo para que os alertas sejam triagemdos está ancorado no momento da ativação bem-sucedida do agente. Essencialmente, o relógio começa a passar quando o agente está ativado. Assim, o Último número de horas ou dias refere-se ao período de tempo anterior à implementação do agente. Este não é um período de tempo sem interrupção.

Identidade do Agente

Os agentes (aplicáveis também ao Agente de postura) podem agora ser configurado com 2 opções

  • Criar e utilizar a identidade do agente (recomendado): aqui existe uma identidade de agente Microsoft Entra separada criada para o agente e todas as atividades do agente estão associadas a essa identidade do agente. Leia mais: https://learn.microsoft.com/en-us/entra/agent-id/

  • Atribuir e utilizar a minha identidade: aqui o agente está configurado com a identidade do utilizador/administrador que configura o agente e todas as atividades estão associadas à identidade do utilizador.

Instruções Personalizadas

Durante o processo de configuração do agente, pode dar instruções personalizadas ao agente. (Aplicável apenas ao agente de Triagem no DLP). Os agentes do Microsoft Purview utilizam estas instruções de linguagem natural para melhorar a triagem de alertas ao:

  • Traduzir a sua entrada para a lógica de classificação estruturada.

  • Executar esta lógica no conteúdo do documento associado a cada alerta.

  • Elevar a prioridade do alerta se o conteúdo corresponder à sua instrução personalizada.

Para obter instruções personalizadas, apenas analisamos conteúdo do documento, não metadados ou atributos comportamentais. Isto significa que o agente suporta categorias de conteúdo como:

  • informações fiscais, financeiras ou legais
  • entidades nomeadas, como números de card de crédito, números de segurança social e nomes
  • condições lógicas, como mais de cinco SSNs, contém documentos financeiros

Se não tiver a certeza se a condição que pretende utilizar é suportada, marcar se está marcada como uma condição de conteúdo. Se estiver, o agente pode utilizá-lo em instruções personalizadas.

Por exemplo, se introduzir: "Quero focar-me em alertas com conteúdo relacionado com impostos ou finanças e que contenha mais de cinco números de card de crédito ou SSNs." O agente interpreta isto como:

{
  "logic_expression": "MATCH(content, 'Tax') or MATCH(content, 'Finance') and (COUNT(content, 'U.S. social security number') >= 5) or (COUNT(content, 'U.S. credit card number') >= 5)"
}

Alertas triagemdos

O agente fará a triagem de alertas com base na configuração do acionador. O agente irá fazer a triagem de alertas que são gerados no período de tempo que selecionou e são das políticas que selecionou. Nem todos os alertas são triagados.

Os alertas triagados são agrupados em quatro categorias:

Tudo: esta categoria inclui todos os alertas que o agente triagou. A contagem indicada na categoria pode não refletir com precisão o número verdadeiro de alertas até aceder a essa vista e deslocar para baixo para carregar todos os alertas. Se as condições que fizeram com que o alerta fosse gerado em primeiro lugar tiverem sido alteradas ou se o alerta ainda não tiver sido triagem, pode selecionar o alerta e, em seguida, selecionar Executar agente para executar manualmente o agente no alerta.

Precisa de atenção: estes são os alertas que o agente avaliou e determinou que representam o maior risco para a sua organização. Quando seleciona um destes alertas, a lista de opções de detalhes é aberta para mostrar um resumo do alerta e outros detalhes.

Menos Urgente: estes são os alertas que o agente avaliou e determinou que representam um risco menor para a sua organização. Quando seleciona um destes alertas, a lista de opções de detalhes é aberta para mostrar um resumo do alerta e outros detalhes.

Não categorizado: estes são os alertas que o agente não conseguiu fazer a triagem com êxito. Isto pode acontecer por vários motivos, incluindo:

  • Erro do servidor
  • Em processo de revisão
  • outro erro
  • Erro não suportado para alertas que contêm atividades que o agente não suporta.

Os agentes triagem ficheiros até 2 MB de tamanho.

Como os agentes priorizam

O Agente de Triagem no DLP prioriza os alertas com base nestes fatores de risco:

  • Risco de Conteúdo: este é o principal fator de risco utilizado durante a triagem do agente, abrange conteúdos confidenciais com base nos tipos de informações confidenciais (SIT) fornecidos pela Microsoft, classificadores treináveis e etiquetas de confidencialidade predefinidas. Para obter mais informações, veja etiquetas de confidencialidade predefinidas.
  • Risco de Exfiltração: exfiltração de dados confidenciais partilhados externamente.
  • Risco de Política: o modo de política e as regras com ações afetam a atribuição de prioridades de alertas.
  • Risco de Conteúdo: etiqueta removida ou reduzida para uma versão anterior. 

O Agente de Triagem na Gestão de Riscos Internos prioriza alertas com base em:

  • Risco de atividade: o agente identifica atividades com o maior risco de exfiltração e comunica informações de alertas históricos.
  • Risco do utilizador: atributos do utilizador que podem afetar a atribuição de prioridades de alertas, como a configuração prioritária do grupo de utilizadores ou o número de casos atualmente ativos.

Detalhes da Triagem de Alertas

Importante

O agente de Triagem no DLP só suporta alertas de políticas que estão no modo ativo. Não faz a triagem de alertas de políticas DLP em execução no modo de simulação.

Os agentes podem rever alertas que foram gerados até 30 dias antes da ativação do agente se o inquilino tiver SCUs suficientes. Os alertas que foram gerados mais de 30 dias antes da ativação do agente estão fora do âmbito.

O agente de Triagem na triagem DLP faz a triagem de alertas do Exchange, Dispositivos, SharePoint, OneDrive, Teams. Para fazer a triagem de alertas a partir de Dispositivos, tem de ativar a recolha de provas para atividades de ficheiros em dispositivos.

No DLP, o agente não faz a triagem de alertas que são acionados apenas por tipos de informações confidenciais personalizados (SIT) e condições personalizadas do classificador treinável. Os alertas acionados por condições de política de classificadores não-SITs/não treináveis apenas, como Email subject match não são triagem.

Deve efetuar análises manuais em alertas que não podem ser totalmente avaliados pelo agente.

Alertas parcialmente triagemdos

Eis alguns exemplos de situação em que os alertas podem ser parcialmente triagemdos.

  • A regra DLP contém algumas condições que não são suportadas, como The user accessed a sensitive site from Edge
  • A regra DLP inclui determinadas condições, mas o sistema não consegue obter as propriedades correspondentes do e-mail ou ficheiros, como Document couldn't be scanned.
  • Usuário não encontrado
  • Durante a pré-visualização, o agente de gestão de riscos internos apenas analisará os conteúdos de ficheiros do SharePoint. Não analisa as atividades do e-mail e do dispositivo com ficheiros que o acompanham. Se um alerta contiver apenas atividades de e-mail ou dispositivo, não será analisado.
  • Um alerta gerado a partir de uma política que analisa apenas as atividades de e-mail ou ponto final da Gestão de Riscos Internos.

Análise de Conteúdo

Existem algumas situações em que a análise de conteúdos pode ser limitada.

A atribuição de prioridades de risco de conteúdo de um alerta baseia-se em SITs fornecidos pela Microsoft, classificadores treináveis e etiquetas de confidencialidade no conteúdo. Quando um agente avalia o risco de conteúdo, procura apenas SITs fornecidos pela Microsoft e classificadores treináveis definidos na política.

Quando um alerta DLP está associado a menos de 10 ficheiros, todos os ficheiros são analisados pelo agente e utilizados no resumo do conteúdo. Quando um alerta tem mais de 10 ou mais ficheiros, os 10 ficheiros potencialmente principais são utilizados para gerar o resumo do risco de ficheiro. No DLP, o agente de triagem escolhe os 10 principais ficheiros de risco com base no número de acessos do classificador de política, no tamanho do ficheiro e na última vez que o ficheiro foi acedido. Quando isto acontece, o agente fornece uma nota a indicar que todos os ficheiros no alerta não foram incluídos no resumo do conteúdo.

Na Gestão de Riscos Internos (IRM), os 10 principais critérios de ficheiros de risco são baseados em:

  • Nomes de Ficheiros, caminhos, extensões
  • A Microsoft forneceu SITs, classificadores treináveis e etiquetas de confidencialidade.
  • Se o ficheiro for considerado Conteúdo Prioritário a partir das configurações de política irm
  • Classificação de risco da atividade associada ao ficheiro.
  • Metadados de arquivo. por exemplo, o conteúdo está oculto ou tem uma etiqueta protegida.
  • Instruções personalizadas, se estiverem presentes.

Na Gestão de Riscos Internos, o agente só suporta ficheiros do SharePoint e do OneDrive para análise de conteúdos. Isto só afeta a secção Risco de ficheiros, as secções Atividade e Risco de utilizador não são afetadas por esta limitação de suporte.

  • Last updated on