Microsoft Security Copilot агента аналитики угроз в Microsoft Defender

Аналитики аналитики угроз сталкиваются с рядом проблем при предоставлении аналитических, практических и контекстуализированных аналитических данных. Задача создания брифингов по аналитике угроз включает сбор информации из различных каналов угроз, инструментов и порталов. Аналитики должны фильтровать и сопоставлять эту информацию, а также анализировать и сопоставлять организационные риски. Эти действия происходят до того, как аналитики могут даже начать разработку самого отчета и генерировать аналитические сведения о том, когда они будут выступать на брифинге. К тому времени, поскольку эти процессы могут занять от нескольких часов до дней, угрозы, стоящие перед организацией, уже эволюционировали, что может привести к тому, что брифинг устаревает.

Агент Microsoft Security Copilot аналитики угроз в Microsoft Defender решает эти проблемы. Он создает инструктаж по аналитике угроз на основе последних действий субъекта угроз, а также внутренних и внешних сведений об уязвимостях в течение нескольких минут. Это может помочь группам безопасности сэкономить время, создав настраиваемый, соответствующий отчет, который предоставляет cisos, менеджерам по безопасности и аналитикам ключевую ситуатуационную осведомленность и надежную основу для работы в области обороны.

Агент использует динамическую автоматизацию и глубокий генеративный ИИ, а также множество знаний и сигналов об аналитике угроз. При создании брифинга агент динамически выбирает следующий шаг в зависимости от результата предыдущего шага. Такой подход позволяет в режиме реального времени решать, какую аналитику угроз следует включить и приоритизировать. Затем агент преобразует эту техническую информацию в доступный для чтения отчет, который могут использовать различные аудитории.

Агент аналитики угроз лучше всего подходит для клиентов, которые включают Microsoft Defender для конечной точки и Microsoft Defender внешних атак, так как агент использует сигналы и аналитические сведения из этих сторонних интеграций для предоставления точных и многофункциональных отчетов.

Где найти агент брифинга аналитики угроз

Агент аналитики угроз отображается в виде баннера в верхней части страницы Аналитика угроз на портале Microsoft Defender.

Чтобы получить доступ к аналитике угроз, в меню навигации выберите Аналитика угроз>Аналитика угроз.

Предварительные условия

Продукты

Для запуска этого агента требуется Microsoft Security Copilot.

подключаемые модули Security Copilot

Для запуска этого агента требуются следующие подключаемые модули:

• Аналитика угроз (Майкрософт)
• Агенты аналитики угроз (Майкрософт)

Следующий подключаемый модуль является необязательным, но может добавить дополнительный контекст в выходные данные:

• Управление направлением внешних атак Microsoft Defender

Разрешения учетной записи пользователя

Учетная запись пользователя, подключенная к агенту или созданному удостоверению агента, должна иметь следующие разрешения:

Необходимые разрешения:

• Microsoft Defender для конечной точки: доступ к данным Управление уязвимостями Defender
• Средство чтения безопасности: Доступ к аналитике угроз и результатам агента
• Администратор безопасности: доступ к подключению и настройке агента

Необязательные разрешения:

• Управление экспозицией (чтение): Доступ к аналитическим сведениям Управление рисками Microsoft Security, включая данные управления внешними атаками

Доступ на основе ролей:

• Владельцы и участники могут просматривать отчет, созданный агентом аналитики угроз, на странице библиотеки агента Microsoft Security Copilot.

Триггер

Этот агент запускается с заданным интервалом времени, настроенным во время установки, или вручную, когда вы хотите запустить его.

Настройка удостоверения агента для агента

Агент брифинга аналитики угроз может выполняться под выделенным удостоверением агента (субъектом-службой) с минимальными разрешениями на чтение, необходимыми в Microsoft Defender. В этом разделе описывается, как создать или повторно использовать роль с наименьшими привилегиями, зарегистрировать субъект-службу агента и назначить роль.

Перед настройкой удостоверения агента для агента аналитики угроз убедитесь, что у вас есть агент в вашей среде. Кроме того, необходимо выполнить следующие предварительные требования.

• Права администратора на уровне клиента для регистрации субъекта-службы и назначения ролей.
• Azure cli установлен и прошел проверку подлинности (az login). Дополнительные сведения см. в статье Начало работы с Azure CLI.
• Доступ к Defender XDR единому управлению RBAC или эквивалентным управлением разрешениями.

Чтобы настроить удостоверение агента, выполните приведенные далее действия.

1. Создание или повторное использование роли с наименьшими привилегиями

   Создайте роль или повторно используйте существующую роль, которая включает следующие минимальные разрешения:

   • Операции безопасности > Безопасность данных >Основы безопасности данных (чтение)
   • Управление уязвимостями управления > состоянием > безопасности (чтение)

   Вы можете повторно использовать другие роли, которые предоставляют по крайней мере эти уровни доступа на чтение. Узкое применение минимальных привилегий и область назначений.

2. Регистрация субъекта-службы агента (удостоверение агента)

   Выполните следующие команды cli Azure от имени администратора клиента, чтобы создать субъект-службу в клиенте:

   TOKEN=$(az account get-access-token \
      --tenant <your tenant ID> \
      --resource-type ms-graph \
      --query accessToken -o tsv)
   

   curl -X POST https://graph.microsoft.com/v1.0/servicePrincipals \
      -H "Authorization: Bearer $TOKEN" \
      -H "Content-Type: application/json" \
      -d '{
         "appId": "43d7b169-1d9e-4d32-8cd8-06c5974ed90c"
      }'
   

   Дополнительные: Проверьте, создан ли субъект-служба:

   curl -X GET "https://graph.microsoft.com/v1.0/servicePrincipals?$filter=appId eq '43d7b169-1d9e-4d32-8cd8-06c5974ed90c'" \
     -H "Authorization: Bearer $TOKEN"
   

3. Назначение субъекту-службе роли с наименьшими привилегиями

   1. На портале Defender перейдите в раздел Параметры Роли>и разрешения (Unified RBAC)>Назначения Добавление>назначения
   2. Задайте следующие параметры:
      • Основной: Выберите субъект-службу, созданный на шаге 2.
      • Роль: Выберите пользовательскую роль с двумя разрешениями на чтение, упомянутыми на шаге 1.
      • Области: Выберите минимальный необходимый область (определенные ресурсы или подписки).
   3. Сохраните назначение.

4. Настройка агента аналитики угроз и подключение созданного удостоверения агента

Настройка агента

Чтобы в первый раз запустить агент брифинга аналитики угроз, выполните следующие действия:

1. На баннере Агент аналитики угроз в верхней части страницы Аналитика угроз выберите Настроить агент.

   

2. Во появившемся всплывающем окне просмотрите сведения об агенте и нажмите кнопку Далее.

   

3. Подключите учетную запись пользователя или удостоверение агента, а затем нажмите кнопку Продолжить , чтобы открыть новое окно, в котором можно выполнить этот шаг.

   

4. Дождитесь, пока агент завершит подключение к удостоверению или учетной записи, а затем нажмите кнопку Продолжить.

   

5. Укажите следующие параметры для настройки выходных данных агента:

   • Идеи: Количество уязвимостей, которые агент исследует на наличие активных угроз.
   • Оглянуться назад дни: Количество дней, в течение которых агент возвращается к изучению угроз для уязвимостей.
   • Регионе: Географическая область, которую агент проверяет на наличие соответствующих угроз.
   • Промышленности: Вертикали сектора или отрасли, которые агент проверяет на наличие соответствующих угроз.
   • Параметры запланированных запусков: Выберите, нужно ли запускать агент вручную или автоматически отправлять брифинги через регулярные интервалы. По умолчанию агент выполняется каждые семь дней.
   • Созданный краткий получатель: Адрес электронной почты пользователя или группы рассылки, по которому агент отправляет брифинг.

   

6. Выберите Развернуть агент. После активации агента можно вернуться на страницу Аналитика угроз или выбрать Управление агентом , чтобы обновить параметры агента.

   

Просмотр брифинга и управление агентом

Выберите Запустить агент , чтобы создать нерегламентированный или самый актуальный брифинг. Выберите Просмотреть полный краткий отчет.

При выборе пункта Просмотреть полный краткий отчет появляется боковая панель, содержащая соответствующую сводку информации об угрозах и подробный технический анализ, включая все активно эксплуатируемые уязвимости и ее возможное влияние на организацию. Вы можете скачать отчет в виде файла Markdown или скопировать его содержимое, выбрав соответствующие значки в верхней части панели.

Выберите Управление агентом , чтобы просмотреть параметры агента и управлять им.

Вы также можете получить доступ к параметрам агента, выполнив следующие действия:

• Выберите три точки в баннере агента, а затем выберите Управление агентом.

• Перейдите враздел Параметры>системы>Microsoft Defender XDR>Threat Intelligence Briefing Agent в меню навигации на портале Defender.

  

Оценка и предоставление отзывов о выходных данных агента

Агент брифинга аналитики угроз сохраняет отчеты, которые он создает на автономном портале Security Copilot в разделе Действия. Вы можете открыть эту страницу действия на портале Defender, выбрав Просмотр действий агента на странице параметров агента аналитики угроз.

На странице Действие отображается время запуска агента аналитики угроз для создания отчета, метод создания и состояние. Чтобы оценить выходные данные агента, выберите один из отчетов.

Чтобы просмотреть ход работы агента по созданию брифинга по угрозам, выберите Просмотр действий. Этот выбор открывает карту действий, где можно просмотреть сведения о действии, обеспечивая прозрачность действий, выполняемых агентом для создания выходных данных. Агент брифинга аналитики угроз динамически выбирает следующий шаг на основе результатов предыдущего, когда он создает брифинг.

Чтобы оставить отзыв о брифинге, щелкните значок больших пальцев вверх или вниз . В появившемся всплывающем окне добавьте свой отзыв в текстовое поле и нажмите кнопку Отправить. Вы можете предоставить свой отзыв агенту, чтобы научить его, что вам нравится и как он может улучшиться, или корпорации Майкрософт, чтобы сообщить нам, что вы думаете о результатах, которые создает агент, и что мы можем сделать для их улучшения.

См. также

• агенты Microsoft Security Copilot
• Вопросы и ответы по ответственному использованию ИИ для агента Security Copilot