Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Локальные агенты ИИ выполняются с правами пользователя на конечных точках, на которых они работают, где они могут считывать файлы, вызывать средства и выполнять команды. Вредоносные инструкции, скрытые в контенте, который читает агент, могут перехватить управление агентом с помощью инъекции промпта. Защита среды выполнения агента ИИ помогает обнаруживать ввод запросов на уровне устройства и блокировать или проверять действия агента, прежде чем он выполнит действия этих инструкций.
В этой статье объясняется, как включить защиту среды выполнения в Microsoft Defender для конечной точки, развернуть ее в организации и исследовать обнаружения.
Общие сведения о том, как работает защита среды выполнения, см. в статье Защита среды выполнения агента ИИ с помощью Microsoft Defender для конечной точки.
Предварительные условия
Перед настройкой защиты среды выполнения ознакомьтесь со следующими требованиями:
- У вашей организации есть лицензия Microsoft Defender для конечной точки (план 2), Microsoft 365 E5, Microsoft Agent 365 или Microsoft 365 E7.
- Ваши устройства подключены к Defender for Endpoint, а антивирусная программа Microsoft Defender работает в активном режиме с включённой защитой в режиме реального времени.
- Ваши устройства работают с поддерживаемой версией Windows, а антивирусная программа Microsoft Defender обновляется с текущими ежемесячными обновлениями платформы, подсистемы и аналитики безопасности.
- Устройства имеют один или несколько поддерживаемых локальных агентов ИИ , установленных для подхода защиты среды выполнения, который вы планируете включить.
Рекомендуемые подходы к развертыванию
Корпорация Майкрософт рекомендует следующее поэтапное развертывание:
- Тест. Включение защиты среды выполнения в режиме аудита на небольшом наборе устройств, где активно используются поддерживаемые агенты.
- Обзор. Мониторинг оповещений на портале Microsoft Defender в течение 1–2 недель. Если есть ложноположительные результаты, отправьте их в Корпорацию Майкрософт для анализа.
- Развертывание: развертывание в организации в режиме аудита для дополнительных групп устройств.
- Применение: Убедившись, что оповещения точны и требуют принятия мер, включите режим блокировки для групп устройств, где требуется принудительное применение.
Включение защиты среды выполнения
Чтобы включить защиту среды выполнения на одном устройстве:
Откройте сеанс PowerShell с повышенными привилегиями.
Убедитесь, что
AntivirusSignatureVersionэто1.451.224.0или более поздняя версия:Get-MpComputerStatus | Select-Object AntivirusSignatureVersionВыберите метод защиты среды выполнения, который необходимо включить.
Вы можете включить встроенную в агент проверку событий, сетевую проверку или оба варианта сразу. Оба метода поддерживают одинаковые режимы:
Disabled,AuditиBlock.- Используйте
AiAgentProtectionдля защиты агентов, которые предоставляют интерфейсы событий агента, поддерживаемые поставщиком. - Используйте
AiAgentNetworkInspection, чтобы распространить защиту на агентов, которые не поддерживают интерфейсы событий агента, поддерживаемые поставщиком.
- Используйте
Включите нужный метод или методы:
Чтобы включить встроенную в агент проверку событий, выполните:
Set-MpPreference -AiAgentProtection <mode>Замените
<mode>наDisabled,AuditилиBlock.Чтобы включить проверку сети, выполните следующую команду:
Set-MpPreference -AiAgentNetworkInspection <mode>Замените
<mode>наDisabled,AuditилиBlock.Дополнительные сведения о каждом режиме см. в статье Что происходит при включении защиты среды выполнения. Дополнительные сведения о методах защиты среды выполнения см. в разделе " Проверка сети " и "Проверка событий на основе агента".
Проверьте текущие параметры:
Get-MpPreference | Select-Object AiAgentProtection, AiAgentNetworkInspectionЗакройте окно PowerShell и все окна терминала, используемые для запуска агентов. Затем откройте новое окно терминала перед запуском агента.
Разверните параметры во всей организации с помощью Intune
Команды PowerShell в разделе "Включить защиту среды выполнения " настраивают одно устройство. После того как вы подтвердите работу защиты во время выполнения на ограниченной группе устройств, можно развернуть команды PowerShell в виде скрипта для целевых групп устройств, задав для всех устройств в области действия встроенную в агент проверку событий, проверку сети или оба параметра со значением Audit или Block.
Примечание.
Собственная поддержка политик Intune для защиты среды выполнения ИИ-агента недоступна. Эти параметры можно развернуть с помощью сценариев PowerShell в Intune.
Создайте скрипт PowerShell, включающий настройки, которые нужно развернуть.
Чтобы включить собственную для агента проверку событий:
Set-MpPreference -AiAgentProtection AuditЧтобы включить проверку сети, выполните приведенные действия.
Set-MpPreference -AiAgentNetworkInspection AuditЗамените
AuditнаBlock, когда будете готовы включить защиту. Вы можете включить любую из этих настроек или обе, в зависимости от того, какой охват агентов вам нужен.Используйте Intune для развертывания скрипта на целевых устройствах. Подробные инструкции см. в статье Использование сценариев PowerShell на устройствах Windows в Intune.
Проверка и изучение обнаружений
После включения защиты среды выполнения просмотрите оповещения, чтобы проверить точность обнаружения и настроить конфигурацию перед расширением принудительного применения. Этот шаг имеет решающее значение на этапе аудита, так как он помогает понять, с какими агентами сталкиваются и представляют ли обнаружения реальные угрозы.
Когда защита во время выполнения обнаруживает инъекцию в ИИ-запрос, Defender выдает предупреждение Подозрительная инъекция в ИИ-запрос и выполняет действия в соответствии с настроенным режимом. Оповещение отображается на временной шкале устройства, а связанные оповещения объединяются в инциденты для расследования специалистами SOC. В блочном режиме уровень серьезности оповещений — "Критический", "Высокий", "Средний" или "Низкий" в зависимости от оцениваемого риска. В режиме аудита оповещение является информационным, поэтому ваша команда может проверить, что было бы заблокировано, не рассматривая его как активную угрозу.
Дополнительные сведения о поведении режима см. в статье Что происходит при включении защиты среды выполнения.
Пользовательский опыт
Когда Defender блокирует действие агента, пользователи видят два уведомления:
- В терминале агента: агент отображает сообщение блока, показывающее, что было заблокировано, почему и подтверждение того, что действие не выполнено.
- Всплывающее уведомление Windows. Системное уведомление отображается независимо от того, находится ли терминал агента в фокусе.
На следующем снимке экрана показан пример внедрения заблокированного запроса в терминале агента и соответствующего всплывающего уведомления Windows:
Пользователи также могут просматривать обнаружения в разделе Безопасность Windows>Вирус & защита от> угрозТекущие угрозы и журнал защиты, где они могут просматривать имя угрозы, серьезность, затронутый агент и состояние исправления.
Опыт работы с операциями безопасности
Для команд по обеспечению безопасности события защиты среды выполнения отображаются на портале Microsoft Defender:
Выберите оповещение, чтобы просмотреть тип обнаружения, серьезность, затронутый агент, сведения о дереве обработки и рекомендуемые действия.
Ваша команда безопасности использует те же процессы расследования, что и для других обнаружений на конечных точках: просмотр временной шкалы, корреляцию оповещений и сущностей, а также действия по реагированию.
Дополнительные сведения см. в разделах Исследование оповещений в Microsoft Defender и Исследование инцидентов в Microsoft Defender.