Доступ к данным Microsoft Intune в Copilot для безопасности
Copilot for Security — это облачная платформа ИИ, которая предоставляет возможности Copilot на естественном языке. Она может помочь специалистам по безопасности в различных сценариях, таких как реагирование на инциденты, поиск угроз и сбор разведывательной информации. Дополнительные сведения о возможностях см. в статье Что такое Microsoft Copilot для безопасности?.
Copilot for Security интегрируется с данными Microsoft Intune.
Если вы используете Microsoft Intune в том же клиенте, что и Copilot для безопасности, вы можете использовать Copilot для безопасности, чтобы получить аналитические сведения о данных Intune.
В Copilot for Security встроены возможности Intune, и вы можете использовать запросы для получения дополнительных сведений, в том числе:
- Сведения об устройствах, приложениях, политиках конфигурации соответствия & и назначениях политик, управляемых в Intune
- Атрибуты управляемого устройства и сведения об оборудовании
- Проблема с определенными устройствами и сравнение рабочего & нерабочего устройства
В этой статье показано, как получить доступ к данным Microsoft Intune в Copilot for Security, а также приведены примеры запросов.
Фокус администратора безопасности
Copilot for Security имеет центр управления безопасностью (SOC) или фокус администратора безопасности. Таким образом, если вы являетесь аналитиком SOC или администратором безопасности, вы можете использовать Copilot для обеспечения безопасности устройств, которыми управляет Intune.
Например, есть пользователь или устройство, которое показывает признаки злонамеренного намерения. Кроме того, вы заметили, что после злонамеренного намерения происходят некоторые события, такие как регистрация неизвестного устройства в Intune. Может быть, кто-то пытается использовать украденные учетные данные для регистрации и получения доступа. Вам нужно получить дополнительные сведения.
В Copilot для безопасности можно использовать возможности Intune для получения дополнительных сведений, например:
- Спросите о конкретном устройстве, получите все свойства этого устройства, включая имя устройства, идентификатор устройства и изготовитель устройства.
- Определите, когда устройство зарегистрировано в Intune.
- Поиск основного пользователя устройства
- Определите тип устройства, например ноутбук или мобильный телефон.
- Проверьте состояние соответствия требованиям, особенно если устройство не соответствует требованиям и почему оно не соответствует требованиям.
В Microsoft Defender можно использовать эти сведения, включая тип устройства, для определения дальнейших действий. Например, вы можете выполнять различные действия в зависимости от типа устройства (ноутбук, мобильный телефон и планшет). Copilot for Security также может предоставить вам ссылку на устройство в Microsoft Defender, чтобы вы могли выполнять любые действия Defender.
Что необходимо знать
Когда администратор отправляет запрос, Copilot может получить доступ только к данным, на которые у администратора есть разрешения, включая роли RBAC и назначенные им теги области Intune .
Если вы хотите, чтобы администраторы обращались ко всем данным Intune в Copilot for Security, используйте следующую роль в идентификаторе Microsoft Entra:
- Администратор служб Intune (также известный как администратор Intune).
Дополнительные сведения о ролях и проверке подлинности см. по следующим причинам:
Доступ к данным Intune можно получить на портале Copilot для безопасности и в Центре администрирования Intune. Дополнительные сведения о Copilot в Intune и Copilot for Security и другие распространенные вопросы см. в статье Вопросы и ответы о Microsoft Copilot в Intune.
Откройте Copilot для безопасности и включите Intune
Чтобы использовать возможности Intune в Copilot for Security, включите подключаемый модуль Intune.
Перейдите в Microsoft Copilot для безопасности и войдите в систему, используя свои учетные данные.
На панели запросов выберите Источники (правый угол).
В разделе Управление источниками включите Microsoft Intune:
Примечание.
Некоторые роли могут включать или отключать подключаемые модули. Дополнительные сведения см. в статье Управление подключаемыми модулями в Microsoft Security Copilot.
Использование встроенных функций
В Copilot for Security есть встроенные системные функции, которые полезны для администраторов Intune. Пошаговое руководство по Copilot for Security см. в статье Навигация по Microsoft Copilot для обеспечения безопасности.
В этом разделе описываются некоторые функции, полезные для администраторов Intune.
Возможности системы
Возможности — это встроенные функции, которые могут получать данные из разных подключаемых модулей, которые вы включаете, включая Microsoft Intune. Когда вы используете запрос на запрос данных Intune, например приложения, назначенные пользователю или сведения об устройстве, ваши запросы используют эти возможности Intune.
Чтобы просмотреть список встроенных системных возможностей Intune для Intune, выполните следующие действия.
На панели командной строки портала Copilot for Security выберите значок > Запросы Copilot Просмотреть все возможности системы.
В разделе Microsoft Intune приведен список всех встроенных возможностей Intune. Вы можете выбрать любую из возможностей и получить дополнительные сведения о ней.
Сеансы
При использовании запросов в Центре администрирования Microsoft Intune или на портале Copilot для безопасности сеансы сохраняются. Чтобы просмотреть сохраненные сеансы, выполните следующие действия.
На портале Copilot для безопасности перейдите в меню >Мои сеансы.
При выборе сеанса отображаются предыдущие запросы и результаты. Каждый сеанс также имеет идентификатор сеанса в URL-адресе. Вы можете поделиться этим идентификатором сеанса с другими пользователями, чтобы просмотреть тот же сеанс запроса.
Например, идентификатор сеанса — это что-то вроде
https://securitycopilot.microsoft.com/sessions/023d1c61-f3c7-4702-8924-075a1058900d
.
Примеры запросов для Intune
Вы можете создать собственные запросы в Copilot for Security, чтобы получить сведения о данных Intune. В этом разделе перечислены некоторые идеи и примеры.
Подготовка к работе
Будьте ясны и конкретны в своих подсказках. Вы можете получить лучшие результаты, если включить в запросы определенные идентификаторы устройств или имена, имена приложений или политики.
Также может быть полезно добавить Intune в запрос, например:
- Сколько устройств было зарегистрировано на этой неделе в Intune?
- Расскажите об устройствах Intune для (имя пользователя).
Поэкспериментируйте с различными подсказками и вариантами, чтобы увидеть, что лучше всего подходит для вашего случая использования. Модели искусственного интеллекта в чате различаются, поэтому повторяйте и уточняйте подсказки на основе полученных результатов.
Вы также можете сохранить запросы в сборнике подсказок для использования в будущем. Дополнительные сведения см. в статьях:
Общая информация о ваших данных Intune
Получите общую информацию о ваших данных Intune, например количество устройств, развернутых приложений, версии платформ ваших устройств и т. д.
Примеры запросов :
- Какие приложения добавляются в Intune?
- Каким приложениям Intune назначаются чаще всего?
- Сколько устройств было зарегистрировано в Intune за последние 24 часа?
- Расскажите мне об устройствах Intune для Джона Смита.
Цели политики
Получите подробную информацию о целях политики , например о группах, которым назначено определенное приложение, или о количестве пользователей, которым назначено определенное приложение.
Примеры запросов :
- Скольким пользователям назначено ContosoApp?
- К каким группам относится ContosoApp?
- Сколько приложений назначено идентификатору устройства . Введите идентификатор устройства в Intune?
- Почему к Устройству А применяется политика "Разрешить автоматическое обновление приложений Microsoft Store"?
- Расскажите мне об устройствах Intune для пользователя UserA.
- Почему PolicyA применяется к DeviceB?
Определенные устройства
Получите информацию о конкретном устройстве , например о его членстве в группах и назначенных ему приложениях.
Примеры запросов :
- Какие устройства используются [email protected]?
- В каких группах входит DeviceA?
- Расскажи мне о DeviceA.
- Кто является основным пользователем DeviceA?
- Установлено ли ContosoApp на DeviceA?
- Показать обнаруженные приложения на Устройстве А.
Сходства и различия
Узнайте о сходствах и различиях между двумя устройствами, например о политике соответствия, оборудовании и конфигурации устройств, назначенных обоим устройствам.
Примеры запросов :
- В чем разница в конфигурации оборудования между устройствами DeviceA и DeviceB?
- В чем сходство политик соответствия между устройствами DeviceA и DeviceB?
- В чем разница в профиле конфигурации устройства между устройствами DeviceA и DeviceB?
- Сравните установленные приложения на DeviceA и DeviceB.
Предоставление отзывов
Ваши отзывы об интеграции Intune с Copilot for Security помогают при разработке. Чтобы предоставить отзыв, в Copilot for Security используйте кнопки обратной связи в нижней части каждого завершенного запроса.
По возможности и когда результат не является ожидаемым, напишите несколько слов, объясняя, что можно сделать для улучшения результата. Если вы ввели подсказки, специфичные для Intune, и результаты не связаны с Intune, включите эту информацию.
Обработка данных и конфиденциальность
Дополнительные сведения о конфиденциальности данных в Copilot for Security см. в статье Конфиденциальность и безопасность данных в Microsoft Copilot for Security.
При взаимодействии с Copilot по безопасности для получения данных Intune copilot извлекает эти данные из Intune. Запросы, полученные данные Intune и выходные данные, отображаемые в результатах запросов, обрабатываются и сохраняются в службе Security Copilot.
При использовании Copilot для безопасности для получения данных Intune Copilot for Security также имеет доступ к данным и разрешениям, определенным ролями RBAC и тегами области Intune , назначенными вам.