Microsoft Security Copilot 代理是 AI 驅動的流程,設計用來協助你完成特定的角色相關任務。 Microsoft Purview 提供資料安全分流代理,Microsoft Purview 資料外洩防護 (DLP) 與Microsoft Purview 內部風險管理。 這些代理提供一個受管理的警示佇列,識別並優先排序最高風險的活動。 代理人會根據組織所選參數及風險容忍度,分析活動內容與潛在意圖。 代理人對分類背後的邏輯提供了全面的解釋。
此外,該中心提供資料安全性態勢管理中的資料安全態勢代理。 此代理透過提供洞察、展示強有力的建議、生成式AI摘要、大型語言模型 (大型語言模型) 協助完成任務等,協助管理員改善態度。
這些代理程式可在 Microsoft Purview 嵌入式體驗中取得。 更多資訊請參閱嵌入式經驗。
資料安全分流代理:
分流並分配警示優先順序可能既複雜又耗時。 當你讓客服人員根據你設定的參數進行分流和優先排序警報時,完成任務所需的時間會減少。 客服人員透過篩選出低風險警報的雜訊,幫助您專注於最重要的警示。 這能提升你的回應速度,並幫助提升團隊的效率與效能。
關於部署、設定及使用代理程式的相關資訊,請參閱:
資料安全態勢代理:
搜尋相關資料並識別其保護是耗時、繁瑣且高度手動的任務。 代理人的主要角色是利用簡單的自然語言搜尋,協助發現您的資料資產中的敏感資料。 它不再依賴關鍵字或篩選式搜尋工具,而是利用大型語言模型來理解使用者意圖。 它會搜尋您 Microsoft 365 生態系統中的指定內容——包括文件、電子郵件、訊息及 Copilot 互動——並迅速回傳結果。 體驗包含由 LLM 產生的簡明摘要及相關風險分析。
開始之前
如果您是 Security Copilot 或 Security Copilot 代理的新手,請熟悉以下文章中的資訊:
- Microsoft Security Copilot 代理程式概述
- 什麼是 Microsoft 安全性 Copilot?
- Microsoft Security Copilot 體驗
- 開始使用 Microsoft Security Copilot
- 了解 Microsoft Security Copilot 中的認證
- Microsoft Security Copilot 中的提示
- 設定擁有者設定
- 了解 Microsoft 365 E5 中的 Security Copilot
Security Copilot 代理概念
Microsoft Purview 分流代理運行於安全計算單元 (SCU) 。 你的組織必須有配置 SCU 讓代理能執行。 如需詳細資訊,請參閱:
以下章節僅適用於分流人員。 這些不適用於 Posture Agent。
觸發因素
觸發器是必須滿足的參數群組,才能讓代理人員對任何特定警示進行分流。 誘因包括:
時間範圍:你可以定義警示產生的時間範圍以進行分流。 請參考 ,選擇警報時間框架。
自訂指令:你可以為代理人定義特定指令,讓他們學習並優先排序。
政策:你可以設定代理程式,從你選擇的政策中分流警示。 看,
重要事項
特工不 懂行政單位。 然而,如果代理是在管理單元受限制管理員的情境下執行,且有針對該管理員的管理單元政策,代理程式只會看到來自該管理單元範圍的政策發出的警示。
可以自動或手動執行
當你部署代理並編輯觸發器時,可以選擇代理是否依 照設定的排程 自動執行,或代理 程式一次手動執行一個提醒 。 如果您根據 設定的排程自動選擇「執行」,客服人員會優先處理「 選擇警報時間框架 」中包含的警示。
選擇警報時間範圍
當你部署代理程式,並編輯代理的觸發器時,你可以選擇代理用來範圍的時間範圍,並觸發哪些警報要分流。 選項如下:
- 只有新警示才會被分流
- 過去24小時
- 過去48小時
- 過去72小時
- 過去 7 日
- 最後14天
- 過去21天
- 最近 30 天
如果你選擇 「僅分流新警報」,代理程式只會對部署後產生的警報進行分流。 代理不會對部署前產生的任何警報進行分流處理。 這表示所有 過去 # 小時或天 數選項都被忽略了。
如果你選擇 任何「過去 # 小時」或「天數 」選項,客服人員會對該時間範圍內產生的警示進行分流。 這讓你能對部署代理前產生的所有資料進行分流處理。 所有新產生的警報也會被分流。
重要事項
警示分流的時間範圍與成功啟用代理的時刻相連結。 基本上,當代理被啟用時,計時器才開始倒數。 所以, 最後 幾小時或天數指的是部署代理人員前的這段期間。 這不是一個滾動的時間框架。
代理身份
代理 (適用於 Posture 代理) 現在可以用兩種選項設定
建立並使用代理身份 (建議) :這裡有一個獨立的 Entra 代理身份,所有代理活動都與該代理身份相關聯。 閱讀更多: https://learn.microsoft.com/en-us/entra/agent-id/
指派並使用我的身份:這裡的代理是以設定代理的使用者或管理員身份設定,所有活動都與使用者身份綁定。
自訂說明
在代理設定過程中,你可以給代理 自訂指令。 (僅適用於DLP) 的分診特工。 Microsoft Purview 代理程式使用這些自然語言指令來增強警示分流,方法包括:
將你的輸入轉化成結構化的分類邏輯。
將此邏輯與每個警示相關的文件內容執行。
如果內容符合你的自訂指示,則提高警示的優先順序。
對於自訂指令,我們只分析文件內容,不分析元資料或行為屬性。 這表示代理支援以下內容類別:
- 稅務、財務或法律資訊
- 命名實體,如信用卡號碼、社會安全號碼及姓名
- 邏輯條件如 超過五個社會安全號碼,包含財務文件
如果你不確定你想使用的條件是否被支援,請檢查它是否被標記為內容條件。 如果是,代理可以在自訂指令中使用。
例如,如果你輸入:「我想聚焦於包含超過五個信用卡號碼或社會安全號碼的稅務或財務相關內容的提醒。」 代理人會將此解釋為:
{
"logic_expression": "MATCH(content, 'Tax') or MATCH(content, 'Finance') and (COUNT(content, 'U.S. social security number') >= 5) or (COUNT(content, 'U.S. credit card number') >= 5)"
}
分流警示
代理會根據觸發設定來分流警示。 客服人員會分流你選擇的時間範圍內產生的警示,這些警示來自你所選的保單。 並非所有警示都會被分流處理。
分流警示分為四大類:
全部:此類別包含客服人員已分流的所有警示。 分類中顯示的數量可能無法準確反映真實警報數量,直到你進入該檢視並向下捲動載入所有警報。 如果最初引發警報的條件改變,或警報尚未被分流,你可以選擇警報,然後選擇 執行代理 ,手動執行警報中的代理。
需要注意:這些是代理人評估並認定對您的組織構成最大風險的警示。 當你選擇其中一個警示時,詳細資訊飛出視窗會打開,顯示警示摘要及其他細節。
較不緊急:這些警示是代理人評估並認定其對組織風險較低的。 當你選擇其中一個警示時,詳細資訊飛出視窗會打開,顯示警示摘要及其他細節。
未分類:這些是客服人員無法成功分流的警示。 這種情況可能有多種原因,包括:
- 伺服器錯誤
- 正在審查中
- 其他錯誤
- 對於包含代理程式不支援活動的警報,則會顯示不支援的錯誤。
代理人員可分流檔案大小可達 2 MB。
客服人員如何排序優先順序
DLP 中的分流代理會根據以下風險因素優先發送警示:
- 內容風險:這是代理分流時主要的風險因素,涵蓋根據 SIT) 、可訓練分類器及預設敏感標籤 (提供的敏感資訊類型Microsoft敏感內容。 欲了解更多資訊,請參閱 預設敏感度標籤。
- 外洩風險:外洩對外共享的敏感資料。
- 政策風險:政策模式及包含動作的規則會影響警示的優先順序。
- 內容風險:標籤被移除或降級。
內部風險管理中的分流代理根據以下條件優先處理警示:
- 活動風險:代理識別風險最高的活動,並回報歷史警示洞察。
- 檔案風險:代理人分析有被竊取風險的檔案內容,並提供文件摘要及風險分析。
- 使用者風險:可能影響警示優先順序的使用者屬性,例如優先用戶群組設定或目前活躍案件數量。
警報分流詳情
重要事項
DLP 中的 Triage agent 只支援處於主動模式的政策發出的警示。 它不會對模擬模式下執行的 DLP 政策發出的警示進行分流。
如果租戶有足夠的SCU,代理人可以審查在啟用前30天內產生的警示。 在代理啟用前超過 30 天產生的警示不在適用範圍內。
DLP 中的分流代理負責分流來自 Exchange、Devices、SharePoint、OneDrive、Teams 的警示。 要從裝置中分流警示,您必須啟用裝置檔案 活動的證據收集。
在 DLP 中,代理不會對僅由自訂敏感資訊類型 (SIT) 和自訂可訓練分類器條件觸發的警示進行分流。 僅 Email subject match 由非 SIT 或不可訓練分類器政策條件觸發的警示,例如不會被分流。
你應該對客服無法完全評估的警示進行手動分析。
部分分流警報
以下是一些可能部分分流警報的情況範例。
- DLP 規則包含一些不支援的條件,例如
The user accessed a sensitive site from Edge - DLP 規則包含某些條件,但系統無法取得電子郵件或檔案的相應屬性,例如
Document couldn't be scanned。 - 找不到使用者
- 預覽期間,內部風險管理代理只會分析 SharePoint 檔案內容。 它不會分析電子郵件和裝置活動及其相關檔案。 若警報僅包含電子郵件或裝置活動,則不會被分析。
- 這是由政策產生的警示,僅針對內部風險管理的端點或電子郵件活動。
內容分析
有些情況下內容分析可能有限。
警示的內容風險優先排序基於 Microsoft 提供的 SITs、可訓練分類器及內容敏感標籤。 當代理評估內容風險時,它只會尋找 Microsoft 提供的 SIT 以及政策中定義的可訓練分類器。
當 DLP 警示關聯的檔案少於 10 個時,代理會掃描所有檔案並用於內容摘要。 當警報檔案超過 10 個或更多時,會利用 可能 的前 10 個檔案來產生檔案風險摘要。 在 DLP 中,分流代理會根據政策分類器命中次數、檔案大小以及該檔案最後一次被存取的時間,選擇前十大風險檔案。 當這種情況發生時,客服人員會提供備註,說明警示中的所有檔案都未包含在內容摘要中。
在IRM) (內部風險管理中,潛在十大風險檔案的標準是:
- 檔案名稱、路徑、副檔名
- Microsoft 提供了 SIT、可訓練的分類器及敏感性標籤。
- 如果該檔案被視為 IRM 政策設定中的優先內容
- 與檔案相關的活動風險分數。
- 檔案中繼資料。 例如,內容是否被隱藏,或有受保護的標籤。
- 如果有客製化說明。
在內部風險管理中,代理僅支援 SharePoint 和 OneDrive 檔案用於內容分析。 這只影響檔案風險區塊,活動區塊和使用者風險區塊不受此支援限制影響。