Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
ИТ-администраторы и аналитики безопасности сталкиваются с растущим давлением, чтобы выявлять и реагировать на угрозы быстро при управлении все более сложными средами. Они часто перегружены огромным объемом оповещений, испытывают трудности с установлением приоритетов для рисков, которые требуют немедленного внимания, и испытывают сложности с подключением разбросанных точек данных в системах своей организации. Агент управления рисками удостоверений вместе с Copilot по безопасности в Microsoft Entra помогает этим специалистам анализировать потенциальные риски, понимать их влияние и принимать решительные меры для защиты критически важных активов своей организации.
Замечание
Агент управления рисками идентификации в настоящее время развертывается и находится в режиме предварительного просмотра. Эта информация относится к предварительному продукту, который может быть существенно изменен до его выпуска. Корпорация Майкрософт не предоставляет никаких гарантий, выраженных или подразумеваемых, в отношении информации, предоставленной здесь.
Предпосылки
- У вас должна быть по крайней мере лицензия Microsoft Entra ID P2.
- Необходимо иметь доступные вычислительные единицы безопасности (SCU).
- В среднем каждый запуск агента потребляет менее одного SCU.
- У вас должна быть соответствующая роль Microsoft Entra.
- Security Administrator обязан активировать агента впервые и следить за агентом и принимать меры в отношении предложений.
- Security Reader и Global Reader могут просматривать агента и любые предложения, но не могут выполнять никаких действий.
- Дополнительные сведения см. в разделе Назначение доступа к Security Copilot.
- Изучите конфиденциальность и безопасность данных в Microsoft Security Copilot.
Известные ограничения
- В настоящее время каждый агент изучает до 100 рискованных пользователей. Чтобы настроить область в рамках этого ограничения, используйте параметр области действия агента.
- После запуска агента его нельзя остановить или приостановить. Для завершения выполнения теста для 100 пользователей может потребоваться 10–15 минут.
- Агент в настоящее время анализирует только удостоверение пользователя. В настоящее время анализ агента по удостоверениям рабочей нагрузки не поддерживается.
- Для предложений агента требуется утверждение администратора вручную. В настоящее время автоматическое исправление не поддерживается.
- Агент анализирует данные Microsoft Entra, такие как журналы входа, обнаружение рисков, пользователи с рисками и журналы аудита.
- Сводки исследования и рекомендации создаются ИИ и могут быть неполными или неверными. Проверьте перед применением и используйте человеческое решение при применении изменений.
Принцип работы
Если агент выявляет новые рискованные удостоверения, которые ранее не были обнаружены, он выполняет следующие действия. Начальные шаги сканирования не используют какие-либо SCU.
- Агент проверяет наличие новых рискованных пользователей в тенанте, которые в настоящее время имеют рискованное состояние "Под угрозой".
- Агент определяет рискованных пользователей, находящихся в определенных параметрах области.
Если агент идентифицирует то, что ранее не было предложено, он выполняет следующие действия. Эти действия агента используют SCU.
- Расследование рискованного пользователя: агент проверяет рискованные входы в систему и обнаруженные риски пользователя, чтобы проанализировать, чем этот пользователь опасен.
- Создание результатов и сводка по рискам: Агент создает выводы на основе исследования, который включает в себя тщательную сводку риска, объясняющую предложение и определяя ключевые факторы риска.
- Создайте рекомендуемое действие по исправлению: агент предлагает действие по исправлению, используя сведения, собранные во время исследования.
- Ответы на вопросы через чат: ИТ-администраторы задают вопросы агента, связанные с рискованными пользователями и сводной суммой риска.
- Храните пользовательские инструкции в памяти агента: клиенты могут предоставлять пользовательские инструкции агента через чат агента, который агент хранит в памяти и применяется для будущих запусков. В настоящее время память агента может хранить предпочтительные рекомендации по исправлению.
Замечание
Память агента в настоящее время хранит только рекомендуемые действия. Исправления не выполняются автоматически; Вместо этого пользовательские инструкции используются для обновления рекомендаций агента.
Начало работы
Войдите в центр администрирования Microsoft Entra по крайней мере как администратор безопасности.
Перейдите к Защита идентификаторов>Рискованные пользователи.
В сообщении баннера в верхней части отчета выберите "Запуск агента", чтобы начать первый запуск.
- Избегайте использования учетной записи с ролью, активированной с помощью PIM.
- Сообщение, которое говорит, что агент запускает свой первый запуск, отображается в правом верхнем углу.
- Первый запуск может занять несколько минут.