重要
你需要參加 Frontier 預覽計畫 ,才能搶 先取得 Microsoft Agent 365 的使用權。 Frontier 直接連結你與 Microsoft 最新的 AI 創新。 Frontier 預覽受限於您現有的客戶協議預覽條款。 由於這些功能仍在開發中,其可用性與功能可能會隨時間改變。
學習如何使用 Microsoft Defender 監控代理。
重要
此能力分階段推進,預計於12月底完成。
Microsoft Defender
Agent 365 在 Microsoft Defender 中提供涵蓋所有代理活動的完整可觀察性,讓安全團隊能從集中位置監控與追蹤行為。 這種可視性支持主動偵測與回應威脅。
主要功能
集中監控:在 Defender 中追蹤所有客服人員活動,提供統一視圖。
開箱即用的威脅偵測:提供風險代理活動及使用者互動的警示。
主動威脅狩獵:資安分析師可利用 Defender 先進的查詢式搜尋能力,主動識別可疑模式與異常。 如需詳細資訊,請參閱在 Microsoft Defender 全面偵測回應中使用進階搜捕主動搜捕威脅。
先決條件
確保稽核日誌已經設定妥當。 如需相關資訊,請參閱開啟或關閉稽核。
請確保 Microsoft 365 連接器在 Microsoft Defender 中設定正確。 如需詳細資訊,請參閱 Microsoft Defender for Cloud Apps REST API。
在 Defender 中設定管理員權限。 欲了解更多資訊,請前往設定管理員存取權限 - 適用於雲端的 Microsoft Defender 應用程式。
支援的事件類型
注意
一旦連接器設定完成,當發生有風險代理活動時,警報會自動觸發。 欲了解更多如何在 Microsoft Defender 中調查事件的資訊,請前往 Microsoft Defender 入口網站的「調查事件」。
在 Microsoft 365 Defender 中使用進階搜捕模式
開啟 Microsoft Defender 入口網站。
- Microsoft Defender 全面偵測回應。
- 請使用適當的憑證登入,以確保你擁有必要的基於角色的存取權限。 例如,你應該是資安管理員或更高階。
在左側導覽窗格,選擇 「狩獵 」以開啟 進階狩獵 頁面。
探索這個模式。
- 使用 Schema 標籤來查看可用的資料表,例如 CloudAppEvents 資料表。
- 選擇資料表名稱旁的垂直省略號,可查看結構細節、範例資料及保留資訊。
使用查詢編輯器撰寫或貼上 Kusto 查詢語言(KQL)查詢。
範例:
CloudAppEvents | where ActionType in ("InvokeAgent", "InferenceCall", "ExecuteToolBySDK", "ExecuteToolByGateway", "ExecuteToolByMCPServer")檢閱結果
- 結果以表格形式呈現。
- 匯出結果或用來建立自訂偵測規則。
Defender 內建一套現成的偵測規則,能標記已知威脅與風險行為,確保無需手動設定即可即時保護。 這些能力幫助組織迅速回應網路威脅,並防範涉及代理人的高風險活動。