Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
Microsoft Security Copilot агент динамического обнаружения угроз в настоящее время находится в предварительной версии. Эта информация относится к предварительной версии продукта, который может быть существенно изменен до выпуска. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.
Microsoft Security Copilot в Microsoft Defender включает в себя динамический агент обнаружения угроз— постоянно включенную адаптивную серверную службу, которая обнаруживает скрытые угрозы в средах Defender и Microsoft Sentinel. В этой статье представлен обзор агента, включая действия по его использованию при исследовании инцидентов и оповещений.
Обзор
Группы безопасности часто сталкиваются с риском ложноотрицательных угроз, которые не замечаются традиционными системами обнаружения на основе правил. Агент динамического обнаружения угроз использует ИИ для выявления пробелов и выявления ложноотрицательных данных путем корреляции оповещений, событий, аномалий и аналитики угроз. Когда агент определяет пробел, он создает динамическое оповещение с полным контекстом в сведениях об оповещении, включая объяснения на естественном языке, сопоставленное MITRE ATT&методов CK, а также индивидуальные шаги по исправлению.
Динамический агент обнаружения угроз всегда включен, легко работает в серверной части Defender и не требует настройки или подключения. Эти функции и возможности позволяют организациям обнаруживать угрозы и реагировать на них с большей скоростью, точностью и уверенностью.
Основные преимущества
- Узнайте, что не хватает традиционных правил обнаружения. Адаптивное обнаружение на основе ИИ агента постоянно исследует в Defender и Microsoft Sentinel сигналы для обнаружения ложноотрицательных и слепых пятен.
- Снижение шума и повышение доверия . Агент минимизирует шум центра управления безопасностью (SOC) и повышает доверие аналитиков с точностью, проверенной клиентом, а также предоставляя четкий контекст риска и конкретные дальнейшие шаги в подробных сведениях об оповещении.
- Всегда включен и без касания . Так как агент работает в серверной части Defender, он автоматически создает оповещения в существующих рабочих процессах Defender без необходимости настройки или подключения.
- Глубокая интеграция в экосистеме безопасности Майкрософт. Агент работает с Security Copilot, Defender и Microsoft Sentinel, сопоставляя собственные и сторонние сигналы для отображения пропущенных действий и предоставления более полного контекста в рабочих процессах SOC.
Получение доступа
Пользователи с доступом к Security Copilot могут использовать динамический агент обнаружения угроз.
Начало работы с динамическим агентом обнаружения угроз
Как и другие доступные средства и методы на портале Defender для исследования и реагирования, агент обнаружения угроз помогает в рассмотрении, расследовании и разрешении инцидентов.
Динамический агент обнаружения угроз запускается автоматически в фоновом режиме. При создании оповещения оповещение отображается в очередях инцидентов и оповещений с Security Copilotв качестве источника обнаружения.
Чтобы просмотреть дополнительные сведения об оповещении, выберите заголовок оповещения. Агент динамического обнаружения угроз предоставляет сводку и рекомендуемые действия на странице оповещений.
Важно!
- Агент динамического обнаружения угроз можно бесплатно использовать во время общедоступной предварительной версии. Он начинает использовать единицы вычислений безопасности (SKU), когда они становятся общедоступными.
- Сводка и рекомендуемые действия создаются на основе искусственного интеллекта, поэтому проверьте и проверьте их на точность.
Дальнейшие действия
При необходимости для внутрипроцессных инцидентов продолжайте расследование.