Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O que são Agentes para Security Copilot? Qual é a experiência de Administração/Utilizador Final e qual é a experiência de Programador?
Um agente de IA Security Copilot é um sistema que percebe o ambiente digital e físico do cliente. Um agente toma decisões e toma medidas para atingir um objetivo, com a autonomia concedida pelo cliente Security Copilot. O administrador autorizado do cliente instala todos os agentes Security Copilot a partir dos portais Microsoft Defender XDR, Microsoft Entra, Intune, Purview e Security Copilot. O administrador define a identidade do agente e configura o controlo de acesso baseado em funções (RBAC) para o agente. O utilizador final de um agente é um analista de segurança (Defender, Microsoft Entra, Threat Intel), analista de privacidade (Purview) ou Administrador de TI (Microsoft Entra, Intune) e experimentam principalmente agentes através dos respetivos portais. Para obter orientações sobre a criação de agentes personalizados para clientes ou parceiros, veja Criar agentes personalizados.
O que Security Copilot agentes podem fazer?
- Três agentes triagem e categorização autónoma de alertas e incidentes: Triagem de Phishing, Triagem de Alertas para Prevenção de Perda de Dados e Triagem de Alertas para Gestão de Riscos Internos.
- Três agentes executam tarefas de segurança proativas de forma autónoma: Remediação de Vulnerabilidades, Briefing de Informações sobre Ameaças e Desvio da Política de Acesso Condicional.
- Para a geração e execução de planos, cada um destes agentes utiliza:
- Orquestração simples fornecida pelo programador do agente da Microsoft, o que significa que o programador escreveu código para direcionar o agente ou
- Orquestração de IA fornecida pela plataforma, o que significa que uma mistura de código Security Copilot e instruções LLM direciona o agente.
Quais são as experiências do agente Security Copilot que se destinam a utilizar?
- Agente de Triagem de Phishing: faz a triagem autónoma de incidentes de phishing comunicados pelo utilizador no Microsoft Defender XDR, melhoramento do incidente e possível resolução do incidente com base na análise do agente em texto e imagens.
- Triagem de Alertas para Prevenção de Perda de Dados: faz a triagem autónoma de alertas DLP no Microsoft Purview, efetuando melhoramentos no alerta e potencialmente resolvendo o alerta com base na análise do agente.
- Triagem de Alertas para Gestão de Riscos Internos: triagem autónoma de alertas de IRM no Microsoft Purview, melhoramento no alerta e resolução potencial do alerta com base na análise do agente.
- Remediação de Vulnerabilidades: cria de forma autónoma um grupo de aplicação de patches para remediar as vulnerabilidades publicadas com patches que se aplicam ao ambiente do cliente. O agente não aplica patches ao ambiente.
- Informações sobre Ameaças: investiga de forma autónoma e envia um agente de informação semanal sobre informações sobre ameaças ao cliente.
- Desvio da Política de Acesso Condicional: cria de forma autónoma uma alteração de política que mantém o sistema de identidade e o sistema de utilizador do cliente sincronizados.
Como foi avaliada a Experiência do Agente do Security Copilot? Quais métricas são usadas para medir o desempenho?
- Para a fase de pré-visualização privada, cada agente foi avaliado pela equipa de produtos e pesquisas com informações de casos de utilização e design dos clientes.
- Avaliámos a segurança do sistema através de um exercício de agrupamento vermelho.
Quais são as limitações dos Agentes Security Copilot? Como é que os utilizadores podem minimizar o impacto das suas limitações ao utilizar o sistema?
- Esta é uma versão de pré-visualização pública, pelo que os clientes devem tratar Security Copilot agentes como uma capacidade de pré-lançamento. Isto significa que os clientes devem rever a tomada de decisões do agente antes de agirem sobre as suas saídas. A tomada de decisão do agente está disponível na experiência do produto.
- Os agentes são adequados apenas para a tarefa específica para a qual foram concebidos (veja os casos de utilização pretendidos acima). Os agentes não são adequados para qualquer outra tarefa.
- Quando os utilizadores submetem comentários a um agente para serem armazenados na memória, o agente não fornece um resumo da interpretação dos comentários. Isto significa que os utilizadores não receberão uma validação imediata da forma como as suas entradas foram compreendidas. Para minimizar a ambiguidade aqui, os utilizadores devem submeter comentários claros, concisos e específicos. Isto ajuda a garantir que a interpretação do agente se alinha estreitamente com a intenção do utilizador, mesmo sem um resumo explícito.
- A IU atual não indica o evento de comentários em conflito que estão a ser comunicados. Os utilizadores devem rever regularmente os comentários para compreender o que já foi submetido ao agente para garantir que se alinha com as suas necessidades.
- O mapa do nó do agente foi concebido para fornecer uma vista de alto nível dos passos realizados durante um processo de agente. Cada nó no mapa de nós apresenta o título da competência utilizada em cada passo (por exemplo, "UserPeers" ou "SummarizeFindingAgent"), juntamente com informações básicas, como status de conclusão, duração e carimbo de data/hora. Não fornece um resumo aprofundado das ações específicas executadas em cada nó. Os utilizadores podem minimizar o impacto ao rever cuidadosamente os títulos dos nós, uma vez que são escritos para descrever a ação tomada. Em seguida, podem inferir os objetivos de cada passo, considerando os títulos no contexto da tarefa mais ampla do agente.
- Os agentes utilizam memória para armazenar o feedback dos utilizadores autorizados e aplicar essas informações às execuções subsequentes. Por exemplo, um analista de segurança pode fornecer o seguinte feedback ao Agente de Triagem de Phishing Submetido pelo Utilizador: "Os e-mails de hrtools.com são do meu fornecedor de formação de RH, por isso não os sinalize como ataques de phishing, a menos que exista software maligno no ponto final da ligação." Esse feedback é armazenado na memória e, em seguida, aplica-se às execuções subsequentes do agente para que o contexto empresarial do cliente seja capturado de forma eficaz. Para proteger a memória contra envenenamento por uma atualização maliciosa ou inadvertidamente errada, o administrador do cliente configura quem está autorizado a fornecer comentários ao agente. Além disso, o administrador pode ver, editar e eliminar o conteúdo da memória, que é acessível a partir dos ecrãs de configuração do agente no produto.
Que fatores operacionais e definições permitem uma utilização eficaz e responsável dos Agentes Security Copilot?
- Cada agente é executado numa identidade gerida ou como um utilizador capturado, permitindo ao administrador governar os dados aos quais tem acesso.
- Cada agente tem controlos RBAC e os dois agentes do Purview podem ficar ainda mais restritos quanto aos dados que processam.
- Nenhum destes seis agentes toma medidas que não podem ser anuladas. Por exemplo, três agentes alteram a status de incidentes ou alertas, um ato que pode ser facilmente invertido.
- O administrador governa quem na organização pode fornecer feedback ao agente.
Como fazer fornecer feedback sobre agentes Security Copilot?
Cada agente tem um mecanismo de feedback que permite aos clientes fornecer feedback em linguagem natural ao agente. O agente incorpora esse feedback num ciclo de aprendizagem ativo.
Suporte de Plug-in
Security Copilot agentes não suportam plug-ins.