Microsoft Purview 中的Security Copilot代理概述 (预览版)

智能 Microsoft Security Copilot 副驾驶®代理是 AI 支持的进程，旨在帮助你完成基于角色的特定任务。 Microsoft Purview 提供预览版中的Microsoft Purview 数据丢失防护 (DLP) 会审代理和Microsoft Purview 内部风险管理会审代理。这些代理提供托管警报队列，可在其中识别和确定最高风险活动的优先级。代理根据组织选择的参数和风险容忍度级别分析活动所涉及的内容和潜在意向。代理为分类背后的逻辑提供了全面的说明。

代理在 Microsoft Purview 嵌入式体验中可用。有关详细信息，请参阅嵌入式体验。

对警报进行会审和分配优先级可能很复杂且耗时。如果具有代理会审并设置警报的优先级，则根据设置的参数，完成任务所需的时间将减少。该代理通过从较低风险警报的干扰中筛选出最重要的警报，帮助你专注于最重要的警报。这可以缩短响应时间，并有助于提高团队的效率和有效性。

有关部署、配置和使用代理的信息，请参阅：

开始之前

如果你不熟悉Security Copilot或Security Copilot代理，则应熟悉以下文章中的信息：

Security Copilot代理概念

Microsoft Purview 会审代理在 SCU) (安全计算单元上运行。你的组织必须预配 SCU 才能运行代理。有关更多信息，请参阅：

触发器

触发器是参数的分组，必须满足其值才能使代理会审任何给定警报。触发器包括：

时间范围：可以定义生成用于会审的警报的时间范围。请参阅选择警报时间范围。
策略：可以将代理配置为根据所选策略对警报进行会审。看
- 数据丢失防护中的 Microsoft Purview 会审代理入门
- 预览体验成员风险管理中的 Microsoft Purview 会审代理入门

重要

代理无法识别管理单元。但是，如果代理在管理单元受限管理员的上下文中运行，并且有一些策略属于该管理员的管理单元，则代理将仅看到来自作用域为管理单元的策略的警报。

自动或手动运行

部署代理和编辑触发器时，可以选择代理是 将根据设置的计划自动 运行，还是 代理一次在一个警报上手动运行 。如果选择“ 根据设置的计划自动运行”，代理将会审 “选择警报时间范围” 设置中包含的警报。

选择警报时间范围

部署代理以及编辑代理触发器时，可以选择代理将用于确定范围的时间范围（要对哪些警报进行会审）。选项包括：

仅会审新警报
过去 24 小时
过去 48 小时
过去 72 小时
过去 7 天
过去 14 天
过去 21 天
过去 30 天

如果选择“ 仅会审新警报”，则代理仅会审部署代理后生成的警报。代理不会对部署代理之前生成的任何警报进行会审。这意味着将忽略所有 “过去# 小时或天数 ”选项。

如果选择任何 “过去 # 小时或天 ”选项，则代理会审在所选时间范围内生成的警报。这样，就可以对部署代理之前生成的所有作进行会审。所有新生成的警报也会进行会审。

重要

要会审的警报的时间范围定位到成功启用代理的那一刻。从本质上讲，时钟在启用代理时开始计时。因此，最后的小时数或天数是指代理部署之前的时间段。 这不是滚动时间框架。

安全上下文

代理在上次配置代理的用户的安全上下文中运行。安全上下文必须每 90 天续订一次。如果从租户中删除或删除用户，或者用户被禁用，代理将停止运行。

自定义说明

在代理配置过程中，可以向代理提供 自定义说明。 Microsoft Purview 代理使用以下自然语言说明来通过以下方式增强警报会审：

将输入转换为结构化分类逻辑。
针对与每个警报关联的文档内容运行此逻辑。
如果内容与自定义指令匹配，则提高警报的优先级。

对于自定义说明，我们只分析文档内容，而不分析元数据或行为属性。这意味着代理支持如下内容类别：

税务、财务或法律信息
命名实体，例如信用卡号、社会保险号和名称
逻辑条件（例如 超过 5 个 SSN）包含财务文档

如果不确定要使用的条件是否受支持，检查它是否标记为内容条件。如果是，代理可以在自定义说明中使用它。

例如，如果输入：“我想专注于包含与税务或财务相关的内容的警报，并且包含 5 个以上的信用卡数字或 SSN。代理将此解释为：

{
  "logic_expression": "MATCH(content, 'Tax') or MATCH(content, 'Finance') and (COUNT(content, 'U.S. social security number') >= 5) or (COUNT(content, 'U.S. credit card number') >= 5)"
}

会审警报

代理将根据触发器配置对警报进行会审。代理将会审在所选时间范围内生成的警报，这些警报来自所选策略。并非所有警报都会进行会审。

会审警报分为四类：

全部：此类别包括代理已会审的所有警报。在进入该视图并向下滚动以加载所有警报之前，类别中指示的计数可能无法准确反映警报的真实数量。如果首先导致引发警报的条件已更改，或者警报尚未会审，则可以选择警报，然后选择“ 运行代理 ”以手动对警报运行代理。

需要注意：这些是代理已评估并确定对组织构成最大风险的警报。选择其中一个警报时，详细信息浮出控件将打开，以显示警报摘要和其他详细信息。

不太紧急：这些警报是代理已评估并确定它们对组织构成的较低风险的警报。选择其中一个警报时，详细信息浮出控件将打开，以显示警报摘要和其他详细信息。

未分类：这些是代理无法成功会审的警报。发生这种情况的原因有很多，包括：

服务器错误
正在审阅
其他错误
对于包含代理不支持的活动的警报，错误不受支持。

代理会审最大大小为 2 MB 的文件。

代理如何确定优先级

DLP 会审代理根据以下风险因素确定警报的优先级：

内容风险：这是代理会审期间使用的主要风险因素，它涵盖基于Microsoft提供的 SIT、可训练的分类器和默认敏感度标签的敏感内容。有关详细信息，请参阅默认敏感度标签。
外泄风险：外部共享的敏感数据外泄。
策略风险：策略模式和包含作的规则会影响警报的优先级。
内容风险：删除或降级标签。

Insider Risk Management 警报会审代理根据以下情况确定警报的优先级：

活动风险：代理识别外泄风险最高的活动，并报告历史警报见解。
文件风险：代理分析有被外泄风险的文件的内容，并提供每个文件的文档摘要和风险分析。
用户风险：可能影响警报优先级的用户属性，例如优先级用户组配置或当前活动案例数。

警报会审详细信息

重要

DLP 会审代理仅支持来自处于活动模式的策略的警报。 DLP 警报会审代理不会对模拟模式下运行的 DLP 策略中的警报进行会审。

如果租户有足够的 SCU，代理能够查看在启用代理之前最多 30 天生成的警报。在启用代理之前超过 30 天生成的警报超出了范围。

DLP 会审代理会审来自 Exchange、设备、SharePoint、OneDrive、Teams 的警报。若要对来自设备的警报进行会审，必须为设备上的文件活动启用证据收集。

在 DLP 中，代理不会仅会审由自定义敏感信息类型 (SIT) 和自定义可训练分类器条件触发的警报。由非 SIT/不可训练的分类器策略条件（例如） Email subject match 触发的警报不会进行会审。

应对代理无法完全评估的警报执行手动分析。

部分会审警报

下面是一些可能部分会审警报的情况示例。

DLP 规则包含一些不支持的条件，例如 The user accessed a sensitive site from Edge
DLP 规则包含某些条件，但系统无法检索电子邮件或文件（例如 Document couldn't be scanned）的相应属性。
找不到用户
预览期间，预览体验成员风险管理代理将仅分析 SharePoint 文件内容。它不会分析附带文件的电子邮件和设备活动。如果警报仅包含电子邮件或设备活动，则不会对其进行分析。
从策略生成的警报，仅查看内部风险管理的终结点或电子邮件活动。

内容分析

在某些情况下，内容分析可能会受到限制。

警报的内容风险优先级基于Microsoft提供的 SIT、可训练分类器和内容中的敏感度标签。当代理评估内容风险时，它只查找Microsoft提供的 SIT，以及策略中定义的可训练分类器。

当 DLP 警报关联的文件少于 10 个时，代理会扫描所有文件，并在内容摘要中使用。当警报包含超过 10 个或更多个文件时， 将使用可能 排名前 10 的文件来生成文件风险摘要。在 DLP 中，会审代理根据策略分类器命中次数、文件大小以及上次访问该文件的时间选取前 10 个有风险的文件。发生这种情况时，代理会提供一条说明，指出警报中的所有文件未包含在内容摘要中。

在内部风险管理中，潜在风险最高的 10 个文件条件基于：

文件名、路径、扩展名
Microsoft提供了 SCT、可训练分类器和敏感度标签。
如果文件被视为 IRM 策略配置的优先级内容
与文件关联的活动的风险评分。
文件元数据。例如，内容隐藏或是否具有受保护的标签。
自定义说明（如果存在）。

在 Insider Risk Management 中，代理仅支持 SharePoint 和 OneDrive 文件进行内容分析。这仅影响“文件风险”部分，“活动”和“用户风险”部分不受此支持限制的影响。

反馈

此页面是否有帮助？

Last updated on 2025-11-12