Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Importante
É necessário fazer parte do programa de pré-visualização Frontier para obter acesso antecipado ao Microsoft Agent 365. A Frontier liga-o diretamente às mais recentes inovações de IA da Microsoft. As pré-visualizações da Frontier estão sujeitas aos termos de pré-visualização existentes dos seus contratos com clientes. Como estas funcionalidades ainda estão em desenvolvimento, a sua disponibilidade e capacidades podem mudar ao longo do tempo.
Aprenda a monitorizar agentes usando o Microsoft Defender.
Importante
Esta capacidade está a ser implementada em fases e espera-se que o lançamento esteja concluído até ao final de dezembro.
Microsoft Defender
O Agent 365 oferece observabilidade abrangente no Microsoft Defender em todas as atividades dos agentes, permitindo às equipas de segurança monitorizar e rastrear comportamentos a partir de uma localização centralizada. Esta visibilidade apoia a deteção e resposta proativas a ameaças.
Capacidades chave
Monitorização centralizada: Acompanha toda a atividade dos agentes no Defender para uma visão unificada.
Deteções de ameaças prontas a usar: Fornece alertas sobre atividades de agentes de risco e interações com utilizadores.
Caça proativa a ameaças: Os analistas de segurança podem usar as avançadas capacidades de caça baseada em consultas do Defender para identificar proativamente padrões e anomalias suspeitas. Para mais informações, consulte Caça Proativa de Ameaças com Caça Avançada no Microsoft Defender.
Pré-requisitos
Certifique-se de que os registos de auditoria estão definidos. Para mais informações, consulte Ativar ou desativar a auditoria.
Certifique-se de que o conector Microsoft 365 está corretamente configurado no Microsoft Defender. Para obter mais informações, veja API REST do Microsoft Defender for Cloud Apps.
Configurar o acesso de administrador no Defender. Para mais informações, consulte Configurar acesso de administrador - Microsoft Defender para Aplicações na Cloud.
Tipos de eventos suportados
Nota
Uma vez definido o conector, os alertas são ativados automaticamente quando ocorrem atividades de agente de risco. Para mais informações sobre como investigar incidentes no Microsoft Defender, consulte Investigar incidentes no portal Microsoft Defender.
Como usar caça avançada no Microsoft Defender
Abra o portal Microsoft Defender.
- Microsoft Defender XDR
- Inicie sessão com as credenciais adequadas para garantir que tem o acesso necessário baseado em funções. Por exemplo, deves ser administrador de segurança, ou superior.
No painel de navegação esquerdo, selecione Caça para abrir a página de Caça Avançada.
Explora o esquema.
- Use o separador Schema para visualizar tabelas disponíveis, como a tabela CloudAppEvents.
- Selecione as reticências verticais ao lado de um nome de tabela para ver detalhes do esquema, dados de exemplo e informação de retenção.
Use o editor de consultas para escrever ou colar uma consulta de Linguagem de Consulta Kusto (KQL).
Exemplo:
CloudAppEvents | where ActionType in ("InvokeAgent", "InferenceCall", "ExecuteToolBySDK", "ExecuteToolByGateway", "ExecuteToolByMCPServer")Analisar os Resultados:
- Os resultados aparecem em formato de tabela.
- Exporta os resultados ou usa-os para criar regras de deteção personalizadas.
O Defender inclui um conjunto de regras de deteção prontas a usar que assinalam ameaças conhecidas e comportamentos de risco, garantindo proteção em tempo real sem necessidade de configuração manual. Estas capacidades ajudam as organizações a responder rapidamente a ameaças cibernéticas e a manter-se protegidas contra atividades de risco envolvendo agentes.