重要事項
Microsoft Security Copilot 動態威脅偵測代理目前處於預覽階段。 此資訊涉及可能在上市前進行重大修改的預發布產品。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
Microsoft Defender 中的 Microsoft Security Copilot 包含動態威脅偵測代理(Dynamic Threat Detection Agent),這是一項始終在線、自適應的後端服務,能在 Defender 與 Microsoft Sentinel 環境中發現隱藏威脅。 本文概述了該代理,包括調查事件與警示時的使用步驟。
概觀
資安團隊經常面臨誤判的風險——這些威脅是傳統規則式偵測系統無法偵測到的。 動態威脅偵測代理利用 AI 透過關聯警示、事件、異常與威脅情報,識別漏洞並揭露假陰性。 當代理識別到缺口時,會產生動態警示,包含完整情境,包括自然語言說明、映射的 MITRE ATT&CK 技術,以及量身訂做的補救步驟。
動態威脅偵測代理程式始終開啟,能無縫運作於 Defender 後端,且無需設定或上線。 這些功能與能力使組織能以更高的速度、準確度與信心偵測並回應威脅。
主要權益
- 找出傳統偵測規則忽略的部分——代理的自適應 AI 驅動偵測持續調查 Defender 與 Microsoft Sentinel 訊號,以發現誤判與盲點。
- 減少雜訊並提升信心 ——該代理透過客戶驗證的精確度,以及在警示細節中提供明確的風險脈絡與具體後續步驟,將安全作業中心 (SOC) 雜訊降到最低,並提升分析師信心。
- 永遠開啟且零接觸 ——因為代理程式運行於 Defender 後端,它會自動產生警示到你現有的 Defender 工作流程中,無需調整或引導。
- 跨越 Microsoft 安全生態系統的深度整合——該代理與 Security Copilot、Defender 及 Microsoft Sentinel 協同,將原生與第三方訊號關聯起來,揭露遺漏行為,並在 SOC 工作流程中提供更豐富的上下文。
取得存取權
擁有 Security Copilot 權限的使用者可以使用動態威脅偵測代理程式。
開始使用 Dynamic Threat Detection Agent
如同 Defender 入口網站中其他可用於調查與回應的工具 與方法 ,威脅偵測代理程式協助事件的分流、調查與解決。
動態威脅偵測代理程式會在背景自動執行。 當它產生警示時,警示會顯示在您的事件和警示佇列中,並以 Security Copilot 作為偵測來源。
欲查看更多警報詳情,請選擇警報標題。 動態威脅偵測代理程式會在警示頁面提供摘要及建議行動。
重要事項
- 動態威脅偵測代理程式在公開預覽期間免費使用。 當 SCU 正式普及時,) 開始消耗 安全運算單元 (SCU 。
- 摘要和建議行動皆由 AI 生成,請務必審查並驗證其準確性。
後續步驟
對於處理中事件,請繼續 調查。