共用方式為

在 Microsoft Defender 中部署 AI 代理

  • 適用於: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Defender 入口網站中的 Security Store 提供多種代理程式,幫助您高效執行安全任務。 這些代理程式包括由 Microsoft 及其合作夥伴發佈的 Microsoft Security Copilot 代理程式。 這些代理與Microsoft Defender整合,並執行各種安全作業 (SOC) 任務,如事件分流、調查、威脅狩獵及威脅情報。

本文說明如何在 Microsoft Defender 中發現並部署 AI 代理。

注意事項

欲了解更多關於將代理發佈至 Security Store 的資訊,請參閱 「發佈代理至 Microsoft Security Store」。

必要條件

要從 Security Store 購買並部署代理程式,您需要:

在 Microsoft Defender 入口網站中發現並部署代理程式

要在 Microsoft Defender 入口網站中發現並部署代理:

  1. 選擇 Security Copilot > 安全商店

  2. 瀏覽或搜尋你想部署的代理。

  3. 選擇代理程式以查看其詳細資訊,包括功能、需求及設定說明。

  4. 購買並部署代理:

    • 如果你有足夠的權限,請選擇 「取得代理」 開始部署流程。 如需詳細資訊,請參閱必要條件

    • 如果你沒有部署代理的權限,請選擇 複製 連結以複製代理的詳細頁面網址並分享給安全管理員。

      Microsoft Defender 入口網站中安全商店頁面的截圖。

    • 對於合作夥伴發佈的代理,請依照 Microsoft Security Store 文件中的說明,完成購買並部署。

      您可以透過公開報價或私募提供,為合作夥伴發行的代理人管理集中購買,詳見 《如何購買 SaaS 解決方案 (私募報價) 》。

  5. 購買代理後,選擇 Security Copilot > 代理,「準備設定」區塊中找到您的代理,然後選擇設定以開始代理設定。

    欲了解更多關於設置、管理及執行合作夥伴發佈代理的資訊,請參閱管理 Security Copilot 代理程式。

    欲了解更多關於 Microsoft Security Copilot 代理的資訊,請參閱 Microsoft Defender 中的 Microsoft Security Copilot 代理程式。

    設定完成後,代理會出現在 「代理使用中 」區塊。

Microsoft Security Copilot 代理在 Microsoft Defender 中

本節詳述 Microsoft Defender 入口網站中可用的 Microsoft Security Copilot 代理程式。

網路釣魚分流代理

網路釣魚分流代理協助資安營運分析師對用戶提交的網路釣魚事件進行分流與分類。 代理人自主運作,為其分類判斷提供透明的理據,並根據分析師的反饋持續學習與提升準確度。

屬性 描述
[身分識別] 它會在你連接到代理的使用者情境下運作
License 適用於端點的 Microsoft Defender P2
權限 代理程式需要以下權限才能運作:
  • 閱讀安全資料基礎 (閱讀)
  • Email &合作內容 (閱讀)
  • Email &協作元資料 (閱讀)
  • Security Copilot (讀)
  • 警示 (管理)
外掛程式 代理程式會自動啟用以下 Security Copilot 插件:
產品
角色型存取 建立和管理代理需要具備 Microsoft Entra 安全管理員角色

擁有與釣魚分流代理相同權限的使用者,可以查看代理的活動與結果,並對代理的分類評價提供回饋。
觸發程序 當您組織中的使用者提交釣魚事件時會觸發此事件

威脅情報簡報代理

威脅情報簡報代理為資安營運團隊提供定期且客製化的威脅情報簡報。 該代理自主收集並綜合來自多元來源的相關威脅情報資料,提供簡潔且可行的洞察,協助分析師掌握新興威脅與趨勢。

屬性 描述
[身分識別] 需要連接現有使用者帳號或建立新的代理身份
License 不適用
權限 所需權限:
  • 適用於端點的 Microsoft Defender
  • 安全性讀取者
可選權限:
  • 暴露管理 (閱讀)
產品 Security Copilot
外掛程式 執行此代理需要以下外掛:
  • Microsoft 威脅情報
  • Microsoft 威脅情報代理
以下插件為可選,但可為輸出增添更多上下文:
  • Microsoft Defender 外部受攻擊面管理
角色型存取 安全 管理員 角色是建立和管理代理程式所必需的。

擁有與威脅情報簡報代理相同權限的使用者,可以查看代理的活動與結果。
觸發程序 在你設定的設定時間間隔內執行,或是你想執行時手動執行

威脅獵殺代理人

威脅狩獵代理徹底改變了威脅狩獵,讓你能從頭到尾用自然語言調查威脅。 它不僅產生 KQL 查詢,還能解讀結果、呈現洞見,並引導你完成完整的狩獵過程。 這些能力讓你能更快、更準確且更有信心地追蹤威脅。

進階狩獵中副駕駛面板的截圖,並標示答案。

動態威脅偵測代理

Defender 入口網站中的動態威脅偵測代理是一個全天候運作、自適應的後端服務,能在 Defender 與 Microsoft Sentinel 環境中發現隱藏威脅。 它利用 AI 透過關聯警示、事件、異常與威脅情報,識別漏洞並揭露假陰性。 當代理識別到缺口時,會產生動態警示,包含完整情境,包括自然語言說明、映射的 MITRE ATT&CK 技術,以及量身訂做的補救步驟。

  • Last updated on