Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Хранилище безопасности на портале Microsoft Defender предлагает различные агенты, которые помогают эффективно выполнять задачи безопасности. К этим агентам относятся агенты Microsoft Security Copilot, опубликованные корпорацией Майкрософт и партнерами. Эти агенты интегрируются с Microsoft Defender и выполняют различные задачи по обеспечению безопасности (SOC), такие как рассмотрение инцидентов, расследование, охота на угрозы и аналитика угроз.
В этой статье объясняется, как обнаруживать и развертывать агенты ИИ в Microsoft Defender.
Примечание.
Дополнительные сведения о публикации агентов в Хранилище безопасности см. в статье Публикация агентов в Microsoft Security Store.
Предварительные условия
Чтобы приобрести, развернуть и использовать агенты в Магазине безопасности, вам потребуется следующее:
- Доступ к рабочей области Security Copilot, подготовленной с емкостью SCU.
- Для агентов, опубликованных партнером, требуется Azure подписка участник или роль владельца.
Обнаружение и развертывание агентов на портале Microsoft Defender
Обнаружение и развертывание агентов на портале Microsoft Defender:
Выберите Security Copilot > хранилище безопасности.
Найдите агент, который требуется развернуть.
Выберите агент, чтобы просмотреть сведения о нем, включая его возможности, требования и инструкции по настройке.
Чтобы приобрести и развернуть агент, выполните следующие действия:
Выберите Получить агент , чтобы начать процесс развертывания, если у вас есть достаточные разрешения. Дополнительные сведения см. в разделе Предварительные требования.
Выберите Копировать ссылку , чтобы скопировать URL-адрес страницы сведений агента и предоставить его администратору безопасности, если у вас нет разрешений на развертывание агентов.
Для агентов, опубликованных партнером, завершите покупку и развертывание на веб-сайте Security Store, как описано в документации Microsoft Security Store.
Вы можете управлять централизованными покупками для агентов, опубликованных партнером, с помощью общедоступных предложений или частных предложений, как описано в разделе Приобретение решений SaaS (частные предложения).
После приобретения агента выберите Security Copilot > Агенты, найдите свой агент в разделе Готово к установке, а затем выберите Настроить, чтобы начать настройку агента.
Дополнительные сведения о настройке, управлении и запуске агентов, опубликованных партнерами, см. в разделе Управление агентами Security Copilot.
Дополнительные сведения об агентах Microsoft Security Copilot см. в разделе агенты Microsoft Security Copilot в Microsoft Defender.
После настройки агент появится в разделе Агенты в использовании .
агенты Microsoft Security Copilot в Microsoft Defender
В этом разделе описаны агенты Microsoft Security Copilot, доступные на портале Microsoft Defender.
Агент анализа фишинга
Агент проверки фишинга помогает аналитикам операций безопасности рассматривать и классифицировать инциденты фишинга, отправленные пользователем. Агент работает автономно, предоставляет прозрачное обоснование для своих классификации вердиктов на естественном языке, а также постоянно учится и повышает свою точность на основе отзывов аналитиков.
| Атрибут | Описание |
|---|---|
| Identity | Работает в контексте пользователя, к которому подключается агент. |
| Лицензия | Microsoft Defender для Office P2 |
| Разрешения | Агенту требуются следующие разрешения для работы:
|
| Подключаемые модули | Агент автоматически активирует следующие подключаемые модули Security Copilot: |
| Продукты |
|
| Ролевой доступ |
Администратор безопасности Microsoft Entra роль требуется для настройки агента и управления им. Пользователи с теми же разрешениями, что и агент фишингового анализа, могут просматривать действия и результаты агента, а также оставлять отзывы о вердикте классификации агента. |
| Триггер | Запускается автоматически при обнаружении нового оповещения после того, как пользователь сообщит об сообщении электронной почты. |
Агент брифинга по аналитике угроз
Агент брифинга аналитики угроз предоставляет группам по операциям безопасности регулярные настраиваемые брифинги по аналитике угроз. Агент автономно собирает и синтезирует соответствующие данные аналитики угроз из различных источников, предоставляя краткие и практические аналитические сведения, помогающие аналитикам оставаться в курсе возникающих угроз и тенденций.
| Атрибут | Описание |
|---|---|
| Identity | Требуется подключение к существующей учетной записи пользователя или создание нового удостоверения агента |
| Лицензия | Неприменимо |
| Разрешения |
Необходимые разрешения:
|
| Продукты | Security Copilot |
| Подключаемые модули | Для запуска этого агента требуются следующие подключаемые модули:
|
| Ролевой доступ | Роль администратора безопасности необходима для настройки агента и управления им. Пользователи с теми же разрешениями, что и агент аналитики угроз, могут просматривать действия и результаты агента. |
| Триггер | Выполняется с заданным интервалом времени, настроенным во время установки, или вручную, когда вы хотите запустить его |
Настройка разрешений Defender для конечной точки для удостоверения агента
При запуске агента аналитики угроз с удостоверением агента необходимо также настроить следующие разрешения роли Defender для конечной точки и доступ к группе устройств. Без этих разрешений отчет о воздействии может отображаться как "недоступный" или возвращать ноль CVE, даже если в вашей среде существуют уязвимости.
Шаг 1. Обновление разрешений роли агента
- Войдите на портал Microsoft Defender.
- Перейдите в раздел Параметры>Конечные> точкиРазрешения>Роли.
- Найдите пользовательскую роль, назначенную агенту аналитики угроз.
- Измените роль и убедитесь, что включены следующие разрешения:
- Расширенная охота — чтение
- Управление уязвимостями — чтение
- Конфигурация компьютера — чтение
- Инвентаризация устройств — чтение
- Сохраните все изменения при внесении обновлений.
Шаг 2. Предоставление группе устройств доступа к агенту
- На портале Microsoft Defender перейдите в раздел Параметры>Конечные> точкиГруппы устройств.
- Для каждой группы устройств, содержащей рабочие конечные точки:
- Откройте группу устройств.
- Выберите раздел Доступ пользователей .
- Добавьте удостоверение агента брифинга аналитики угроз.
- Назначение доступа на чтение .
- Сохраните изменения.
Важно!
Предоставьте время для синхронизации обновлений разрешений между Microsoft Defender службами перед запуском агента.
Агент охоты на угрозы
Агент охоты на угрозы революционизирует охоту на угрозы, позволяя исследовать угрозы с помощью естественного языка от начала до конца. Он не только создает запросы KQL, но и интерпретирует результаты, предоставляет аналитические сведения и предоставляет полные сеансы охоты. Эти возможности позволяют вам охотиться на угрозы быстрее, точнее и с большей уверенностью.
Динамический агент обнаружения угроз
Динамический агент обнаружения угроз на портале Defender — это всегда включенная адаптивная серверная служба, которая обнаруживает скрытые угрозы в средах Defender и Microsoft Sentinel. Он использует ИИ для выявления пробелов и выявления ложноотрицательных данных путем корреляции оповещений, событий, аномалий и аналитики угроз. Когда агент определяет пробел, он создает динамическое оповещение с полным контекстом в сведениях об оповещении, включая объяснения на естественном языке, сопоставленное MITRE ATT&методов CK, а также индивидуальные шаги по исправлению.