Agente de Informação sobre Ameaças (experiência autónoma)

Os analistas de informações sobre ameaças enfrentam vários desafios na entrega de informações perspicazes, acionáveis e contextualizadas. A tarefa de desenvolver briefings de informações sobre ameaças envolve recolher informações de vários feeds de ameaças, ferramentas e portais; filtrar e correlacionar estas informações; e analisar e mapear riscos organizacionais. Estas atividades ocorrem antes mesmo de os analistas poderem começar a desenvolver o próprio relatório e a gerar informações para quando entregarem o briefing. Até lá, como estes processos podem demorar entre horas e dias, as ameaças que a organização enfrenta já evoluíram, o que pode tornar o briefing obsoleto.

O Agente de Informação sobre Ameaças foi desenvolvido em resposta a estes pontos de dor. O Agente de Informação sobre Ameaças no portal autónomo do Microsoft Security Copilot gera briefings de informações sobre ameaças com base na atividade mais recente do ator de ameaças e nas informações de vulnerabilidade interna e externa, numa questão de minutos. O agente pode ajudar as equipas de segurança a poupar tempo ao criar um relatório personalizado e relevante que fornece CISOs, gestores de segurança e analistas com principal deteção de situações e uma base sólida para o trabalho de defesa.

O agente tira partido da automatização dinâmica e da IA geradora profunda, juntamente com a sua riqueza de conhecimentos e sinais de informações sobre ameaças. Ao criar o briefing, o agente escolhe dinamicamente o passo seguinte com base no resultado do passo anterior, permitindo-lhe decidir em tempo real que informações sobre ameaças incluir e priorizar. Em seguida, o agente traduz estas informações técnicas num relatório digerível que pode ser consumido por várias audiências.

O Agente de Informação sobre Ameaças é mais adequado para clientes que ativaram Microsoft Defender Superfície de Ataque Externo e Microsoft Defender para Ponto de Extremidade, uma vez que o agente depende de sinais e informações destas integrações originais para fornecer relatórios precisos e ricos em contexto.

Pré-requisitos

Produtos

Microsoft Security Copilot é necessário executar este agente.

Plug-ins

É necessário o seguinte plug-in para executar este agente:

• Informações sobre Ameaças da Microsoft

O plug-in seguinte é opcional, mas pode adicionar mais contexto à saída:

• Gerenciamento da Superfície de Ataque Externo do Microsoft Defender

Configuração de permissões da conta de utilizador

Descrição geral da permissão

A conta de utilizador ligada ao agente tem de ter estas permissões:

Permissões necessárias:

• Microsoft Defender para Ponto de Extremidade: Acesso a dados Gerenciamento de Vulnerabilidades do Defender
• Contribuidor do Security Copilot: Acesso à gestão de agentes e plataformas Security Copilot

Permissões opcionais:

• Gestão de Exposição (leitura): Acesso a informações Gerenciamento de Exposição da Segurança da Microsoft, incluindo dados de Gestão de Superfícies de Ataque Externo

Acesso baseado em funções:

• Os proprietários e contribuidores podem ver o relatório gerado pelo Agente de Informação sobre Ameaças na página da biblioteca do agente do Microsoft Security Copilot

Configurar as permissões

Passo 1: criar uma função personalizada no Microsoft Defender XDR

1. Inicie sessão no portal Microsoft Defender como Administrador Global ou Administrador de Segurança.

2. Navegue para Permissões>Microsoft Defender XDR>Roles.

3. Selecione Criar função personalizada.

4. Na guia Noções Básicas:

   • Nome da função: Threat Intel Agent - Read Only
   • Descrição: Read-only access for Threat Intelligence Briefing Agent
   • Selecione Avançar

5. Na página Escolher permissões :

   • Selecione Postura de segurança

   • Selecionar permissões personalizadas

   • Em Gestão da postura, selecione Gestão - de vulnerabilidadesLer

   • Selecione Aplicar>Seguinte

6. Na página Atribuir utilizadores e origens de dados :

   • Selecione Adicionar atribuição
   • Nome da atribuição: Threat Intel Agent Assignment
   • Funcionários: selecione a conta de utilizador do agente
   • Origens de dados: selecione Microsoft Defender para Ponto de Extremidade
   • Selecione Submeter Seguinte>

Passo 2: Atribuir a função contribuidor Security Copilot

1. Inicie sessão no Microsoft Security Copilot.

2. Selecione o menu base >Atribuição de função>Adicionar membros.

3. Procure e selecione a conta de utilizador e, em seguida, atribua Security Copilot função Contribuidor.

4. Selecione Adicionar.

Passo 3 (Opcional): Adicionar permissões de Gestão de Superfície de Ataque Externo

Se a sua organização utilizar Gerenciamento da Superfície de Ataque Externo do Microsoft Defender:

1. No portal Microsoft Defender, aceda a Permissões>Microsoft Defender XDR>Roles.

2. Localize a função Threat Intel Agent - Read Only e selecione Editar.

3. Navegue para Escolher permissõesPostura> de > segurançaSelecionar permissões personalizadas.

4. Em Gestão da postura, adicione Gestão de - ExposiçãoLeitura.

5. Em Origens de dados, adicione Gerenciamento de Exposição da Segurança da Microsoft.

6. Salve as alterações.

Gatilho

Este agente é executado no intervalo de tempo definido quando ativado ou manualmente quando pretende executá-lo.

Configurar o agente

1. Para executar o Agente de Informação sobre Ameaças, aceda à página Agentes no portal Microsoft Security Copilot autónomo.

   

2. Selecione o Agente de Informação sobre Ameaças e selecione Configurar.

   

3. Selecione uma identidade para o agente. Tem a opção de optar por criar uma identidade de agente ou atribuir uma conta de utilizador existente. Depois disso, aguarde até que o agente conclua a configuração.

   

4. Especifique os parâmetros de entrada para personalizar a saída e, em seguida, selecione Seguinte. Pode editar estes parâmetros mais tarde ao selecionar os três pontos na secção superior direita da página de descrição geral do agente.

   

   • Informações sobre a investigação – o número de vulnerabilidades que o agente investiga relativamente a ameaças ativas
   • Veja os dias anteriores – até que ponto o agente investiga ameaças contra as suas vulnerabilidades
   • Email – endereço de e-mail do utilizador ou grupo de distribuição para o qual o briefing é enviado
   • Região – âmbito da área geográfica que o agente verifica se existem ameaças
   • Setor – setor ou setor que o agente verifica se existem ameaças

5. Depois de o agente ser criado, selecione Regressar aos agentes para voltar à página Agentes ou selecione Ir para agente para aceder à página de descrição geral do Agente de Informação sobre Ameaças.

   

6. Para executar o agente, aceda ao canto superior direito da página de descrição geral do agente e selecione Executar. Selecione No acionador para agendar a execução do agente na hora definida ou selecione Uma vez para executar o relatório a pedido.

Avaliar e fornecer comentários sobre a saída do agente

Os relatórios gerados aparecem na página Agente de Informação sobre Ameaças em Atividade. A página apresenta o nome do relatório, a hora de início, o método de geração e o status atual.

Selecione um dos relatórios para avaliar a saída do agente.

O briefing das informações sobre ameaças contém um resumo relevante das informações sobre ameaças e análises técnicas detalhadas, incluindo qualquer vulnerabilidade explorada ativamente e o seu possível impacto organizacional.

O Agente de Informação sobre Ameaças escolhe dinamicamente o passo seguinte com base no resultado do passo anterior à medida que cria o briefing. Pode ver o progresso do agente para produzir o briefing sobre ameaças ao selecionar Ver atividade.

Verá detalhes da atividade, fornecendo-lhe transparência sobre os passos que o agente segue para produzir o resultado.

Pode fornecer feedback sobre o briefing ao selecionar o botão polegar para cima ou polegar para baixo. Pode elaborar na caixa de texto que aparece depois. Selecione Submeter para dar o seu feedback.

Confira também

• agentes de Microsoft Security Copilot
• IA Responsável no Microsoft Security Copilot