共用方式為

威脅情報簡報代理 (獨立體驗)

注意事項

本文討論 Security Copilot 中威脅情報簡報代理(Threat Intelligence Briefing Agent)獨立體驗。 想了解更多關於 Microsoft Defender 入口網站內嵌體驗的資訊,請閱讀 Microsoft Defender 中的 Microsoft Security Copilot 威脅情報簡報代理

威脅情報分析師在提供具洞察力、可執行且具情境化的情報時面臨多項挑戰。 開發威脅情報簡報的任務涉及從各種威脅資訊流、工具及入口網站收集資訊;過濾並關聯這些資訊;以及分析與繪製組織風險。 這些活動發生在分析師尚未開始撰寫報告並產生洞察之前,以便簡報時進行。 屆時,這些流程可能耗時數小時甚至數天,組織面臨的威脅已經演變,這可能使簡報式變得過時。

威脅情報簡報代理(Threat Intelligence Briefing Agent)就是為了回應這些痛點而開發的。 Microsoft Security Copilot 獨立入口中的威脅情報簡報代理程式,能根據最新的威脅行為者活動及內部與外部漏洞資訊,在數分鐘內產生威脅情報簡報。 該代理能協助資安團隊節省時間,製作客製化且相關的報告,為CISO、資安經理及分析師提供關鍵情境感知及堅實的國防工作基礎。

該代理運用動態自動化與深度生成式 AI,並結合豐富的威脅情報知識與訊號。 在建立簡報時,代理會根據前一步的結果動態選擇下一步,讓它能即時決定要包含並優先處理哪些威脅情報。 客服人員接著將這些技術資訊轉化為易於消化的報告,供不同受眾閱讀。

威脅情報簡報代理程式最適合啟用 Microsoft Defender 外部攻擊表面與 適用於端點的 Microsoft Defender 的客戶,因為該代理依賴這些第一方整合的訊號與洞察,提供準確且具豐富情境的報告。

必要條件

產品

執行此代理程式需要 Microsoft Security Copilot。

外掛程式

執行此代理程式需要以下外掛:

  • Microsoft 威脅情報

以下插件為可選,但可為輸出增添更多上下文:

  • Microsoft Defender 外部受攻擊面管理

使用者帳號權限設定

重要事項

身份與權限要求:此代理需要連接現有使用者帳號或建立新的 代理身份 , (建議) 。 代理人員可以讀取 Defender 外部受攻擊面管理及 Defender 弱點管理的資料。 您必須先以以下章節所述的適當權限設定使用者帳號,然後再設定代理。

權限概述

與代理程式連結的使用者帳號必須具備以下權限:

所需權限:

  • 適用於端點的 Microsoft Defender:存取 Defender 弱點管理資料
  • Security Copilot 貢獻者:存取 Security Copilot 平台與代理管理

可選權限:

  • 暴露管理 (閱讀) :存取Microsoft 安全性暴露風險管理洞察,包括外部攻擊面管理資料

基於角色的存取權限:

  • 擁有者與貢獻者可在 Microsoft Security Copilot 代理函式庫頁面中看到由威脅情報簡報代理產生的報告

設定權限

步驟 1:在 Microsoft Defender 全面偵測回應中建立自訂角色

  1. 請以全域管理員或安全管理員身份登入 Microsoft Defender 入口網站

  2. 導航>權限 Microsoft Defender 全面偵測回應>角色

  3. 選擇 建立自訂角色

  4. 關於 基礎 標籤:

    • 職稱Threat Intel Agent - Read Only
    • 說明Read-only access for Threat Intelligence Briefing Agent
    • 選取 [下一步]

  5. 「選擇權限 」頁面:

    • 選擇 安全態勢

    • 選擇 自訂權限

    • 狀態管理中,選擇 漏洞管理 - ,閱讀

    • 選擇「申請下一步>

  6. 「指派使用者與資料來源 」頁面:

    • 選擇 新增指派
    • 分配名稱Threat Intel Agent Assignment
    • 員工:請選擇該客服的使用者帳號
    • 資料來源:Select 適用於端點的 Microsoft Defender
    • 選擇 下一份>
步驟 2:指派 Security Copilot 貢獻者角色

  1. 登入 Microsoft Security Copilot

  2. 選擇主頁選單 >角色分配>新增成員

  3. 搜尋並選擇使用者帳號,然後指定 Security Copilot 貢獻者角色。

  4. 選取 新增

步驟 3 (可選) :新增外部攻擊面管理權限

如果您的組織使用 Microsoft Defender 外部受攻擊面管理:

  1. 在 Microsoft Defender 入口網站中,請前往 PermissionsMicrosoft>Defender 全面偵測回應>角色

  2. 找到該 Threat Intel Agent - Read Only 職缺並選擇 編輯

  3. 導航至 選擇權限>安全態勢>選擇自訂權限

  4. 姿態管理中,新增暴露 管理 - 已讀

  5. 資料來源中,新增 Microsoft 安全性暴露風險管理

  6. 儲存變更。

重要事項

設定權限後,啟動 Microsoft Defender 全面偵測回應 統一角色基礎存取控制 (RBAC) 模型,角色才會生效。

提示

建議使用專屬服務帳號來管理代理,以維持職責分離並強化安全監控。

觸發程序

這個代理程式在開啟時會在設定的時間間隔內執行,或是你想執行時手動執行。

設定代理人

  1. 要執行威脅情報簡報代理程式,請前往 Microsoft Security Copilot 獨立入口網站中的代理程式頁面。

    Microsoft Security Copilot 代理函式庫頁面截圖。

  2. 選擇 威脅情報簡報代理 並選擇 設定

    威脅情報簡報代理詳細頁面截圖。

  3. 為代理人選擇一個身份。 你可以選擇建立代理人身份或指派現有的使用者帳號。 之後,等客服人員完成設置。

    威脅情報簡報代理設定頁面的截圖。

  4. 指定輸入參數以自訂輸出,然後選擇 「下一步」。 你可以之後透過客服員概覽頁面右上角的三個點來編輯這些參數。

    威脅情報簡報代理設定參數頁面的截圖。

    • 研究洞察——代理人針對主動威脅研究的漏洞數量
    • 回顧過去幾天——該代理研究針對你漏洞的威脅有多早
    • Email – 簡報所寄送的使用者或分發群組的電子郵件地址
    • 區域 – 代理人檢查威脅的地理範圍
    • 產業——代理人檢查威脅的產業或產業

  5. 建立代理程式後,選擇返回 代理 件以返回 代理 程式頁面,或選擇 返回代理 程式以進入威脅情報簡報代理程式總覽頁面。

    威脅情報簡報代理成功建立後的設定頁面截圖。

  6. 要執行代理,請到代理總覽頁面右上角選擇 執行。 選擇「 啟動觸發 器」以排程客服人員在指定時間執行,或選擇 「一次 」按需執行報告。

評估並回饋客服人員的產出

產生的報告會出現在威脅情報簡報代理頁面的 活動中。 該頁面會顯示報告名稱、開始時間、產生方式及目前狀態。

威脅情報簡報代理總覽頁面的截圖及結果。

選擇一份報告來評估代理人的產出。

威脅情報簡報代理範例報告截圖。

威脅情報簡報包含威脅資訊的相關摘要及詳細的技術分析,包括任何被積極利用的漏洞及其可能對組織的影響。

威脅情報簡報代理會根據前一步驟的結果動態選擇下一步,並建立簡報內容。 您可以選擇 「檢視活動」查看該代理在製作威脅簡報的進度。

查看活動按鈕的截圖。

你將看到活動細節,讓你清楚了解代理人為產出所採取的步驟。

活動地圖的截圖。

你可以選擇讚好或不讚按鈕來提供簡報回饋。 你可以在後面出現的文字框裡詳細說明。 選擇 提交 以給予回饋。

另請參閱

  • Last updated on