AI-agents implementeren in Microsoft Defender

  • Van toepassing op: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Security Store in de Microsoft Defender portal biedt verschillende agents waarmee u uw beveiligingstaken efficiënt kunt uitvoeren. Deze agents omvatten Microsoft Security Copilot agents die zijn gepubliceerd door Microsoft en partners. Deze agents integreren met Microsoft Defender en voeren verschillende soc-taken (security operations) uit, zoals incident triage, onderzoek, opsporing van bedreigingen en bedreigingsinformatie.

In dit artikel wordt uitgelegd hoe u AI-agents in Microsoft Defender kunt detecteren en implementeren.

Opmerking

Zie Agents publiceren naar Microsoft Beveiliging Store voor meer informatie over het publiceren van agents naar Security Store.

Vereisten

Voor het aanschaffen, implementeren en gebruiken van agents in Security Store hebt u het volgende nodig:

Agents detecteren en implementeren in de Microsoft Defender-portal

Agents detecteren en implementeren in de Microsoft Defender-portal:

  1. Selecteer Security Copilot > Beveiligingsarchief.

  2. Blader of zoek naar de agent die u wilt implementeren.

  3. Selecteer de agent om de details ervan weer te geven, inclusief de mogelijkheden, vereisten en installatie-instructies.

  4. Ga als volgende te werk om de agent aan te schaffen en te implementeren:

    • Selecteer Agent ophalen om het implementatieproces te starten als u over voldoende machtigingen beschikt. Zie Vereisten voor meer informatie.

    • Selecteer Koppeling kopiëren om de URL van de detailspagina van de agent te kopiëren en deze te delen met een beveiligingsbeheerder, als u geen machtigingen hebt om agents te implementeren.

      Schermopname van de pagina Security Store in Microsoft Defender portal.

    • Voor door de partner gepubliceerde agents voltooit u de aankoop en implementatie op de website van de Security Store, zoals beschreven in de documentatie van de Microsoft Beveiliging Store.

      U kunt gecentraliseerde aankopen voor door partners gepubliceerde agents beheren via openbare aanbiedingen of via privéaanbiedingen, zoals beschreven in SaaS-oplossingen aanschaffen (privéaanbiedingen).

  5. Nadat u de agent hebt gekocht, selecteert u Security Copilot > Agents, zoekt u uw agent in de sectie Gereed voor installatie en selecteert u vervolgens Instellen om de agent in te stellen.

    Zie Agent voor Security Copilot beheren voor meer informatie over het instellen, beheren en uitvoeren van door partners gepubliceerde agents.

    Zie Microsoft Security Copilot agents in Microsoft Defender voor meer informatie over Microsoft Security Copilot agents.

    Na de installatie wordt de agent weergegeven in de sectie Agents in gebruik .

agents Microsoft Security Copilot in Microsoft Defender

In deze sectie worden de Microsoft Security Copilot agents beschreven die beschikbaar zijn in de Microsoft Defender-portal.

Triageagent voor beveiligingswaarschuwingen (preview)

Opmerking

De Security Alert Triage Agent is dezelfde agent als de Phishing Triage Agent met uitgebreide mogelijkheden voor het sorteren van een bredere set waarschuwingstypen. De Triage-agent voor beveiligingswaarschuwingen is alleen beschikbaar voor klanten die deel uitmaken van de preview- versie. Als u geen deel uitmaakt van de preview, blijft de Agent voor phishing-triage beschikbaar in Security Store.

De Security Alert Triage Agent is een autonome agent waarmee beveiligingsteams waarschuwingen op schaal kunnen sorteren voor meerdere workloads. De agent past ai-gestuurde, dynamische redenering toe om duidelijke oordelen te leveren voor ondersteunde beveiligingsworkloads. Dit is dezelfde agent als de Phishing Triage Agent, die meetbare verbeteringen heeft aangetoond in de nauwkeurigheid en efficiëntie van de triage. De agent kan nu een bredere set waarschuwingen in Microsoft Defender sorteren, waaronder e-mail- en samenwerkingswaarschuwingen (algemeen beschikbaar) en cloud- en identiteitswaarschuwingen (preview). De agent werkt autonoom, biedt transparante logica voor de classificatiebeoordelingen in natuurlijke taal en leert en verbetert voortdurend de nauwkeurigheid op basis van feedback van analisten.

Attribuut Beschrijving
Identiteit Een nieuwe agent-id maken of verbinding maken met een bestaand gebruikersaccount
Licentie Afhankelijk van waarschuwingstypen:
Machtigingen De agent heeft deze machtigingen nodig om te kunnen werken, afhankelijk van de waarschuwingstypen die u wilt sorteren:
  • Alle waarschuwingstypen: Security Copilot (lezen), Basisbeginselen van beveiligingsgegevens (lezen), Waarschuwingen (beheren)
  • Email- en samenwerkingswaarschuwingen: Email & metagegevens van samenwerking (lezen), Email & samenwerkingsinhoud (lezen)
  • Cloud- en identiteitswaarschuwingen: Geen extra machtigingen vereist buiten de basismachtigingen
Plugins De agent activeert deze Security Copilot plug-ins automatisch:
Producten
  • Security Copilot
  • Microsoft Defender voor Office 365 Abonnement 2 (voor e-mail- en samenwerkingswaarschuwingen)
  • Microsoft Defender voor cloud (voor cloudwaarschuwingen)
  • Microsoft Defender for Identity en Microsoft Defender for Cloud Apps (voor identiteitswaarschuwingen)
Op rollen gebaseerde toegang Beveiligingsbeheerder Microsoft Entra rol is vereist voor het instellen en beheren van de agent

Gebruikers met dezelfde machtigingen als de Security Alert Triage Agent kunnen de activiteit en resultaten van de agent bekijken en feedback geven over het classificatieoordeel van de agent.
Trigger Wordt automatisch uitgevoerd wanneer er een nieuwe waarschuwing wordt gedetecteerd voor de geconfigureerde waarschuwingstypen, waaronder door de gebruiker gerapporteerde e-mailberichten (voor e-mail- en samenwerkingswaarschuwingen), cloudbeveiligingswaarschuwingen (voor cloudwaarschuwingen) en identiteitswaarschuwingen.

Bedreigingsinformatiebriefingsagent

De Bedreigingsinformatieagent biedt beveiligingsteams regelmatig aangepaste informatie over bedreigingsinformatie. De agent verzamelt en synthetiseert autonoom relevante bedreigingsinformatiegegevens uit verschillende bronnen en levert beknopte en bruikbare inzichten om analisten te helpen op de hoogte te blijven van opkomende bedreigingen en trends.

Attribuut Beschrijving
Identiteit Een nieuwe agent-id maken of verbinding maken met een bestaand gebruikersaccount
Licentie Niet van toepassing
Machtigingen Vereiste machtigingen:
  • Microsoft Defender voor Eindpunt
  • Beveiligingslezer
Optionele machtigingen:
  • Blootstellingsbeheer (lezen)
Producten Security Copilot
Plugins De volgende invoegtoepassingen zijn vereist om deze agent uit te voeren:
  • Microsoft Threat Intelligence
  • Microsoft Threat Intelligence-agents
De volgende invoegtoepassing is optioneel, maar kan meer context toevoegen aan de uitvoer:
  • Microsoft Defender Beheer van externe kwetsbaarheden voor aanvallen
Op rollen gebaseerde toegang De rol Beveiligingsbeheerder is vereist voor het instellen en beheren van de agent.

Gebruikers met dezelfde machtigingen als de Threat Intelligence Briefing Agent kunnen de activiteit en resultaten van de agent bekijken.
Trigger Wordt uitgevoerd met het ingestelde tijdsinterval dat u tijdens de installatie hebt geconfigureerd of handmatig wanneer u het wilt uitvoeren

Defender for Endpoint-machtigingen configureren voor de agentidentiteit

Wanneer u de Threat Intelligence Briefing Agent uitvoert met een agent-id, moet u ook de volgende Defender for Endpoint-rolmachtigingen en toegang tot apparaatgroepen configureren. Zonder deze machtigingen kan het blootstellingsrapport worden weergegeven als 'niet beschikbaar' of nul CVE's retourneren, zelfs wanneer er beveiligingsproblemen in uw omgeving bestaan.

Stap 1: de machtigingen voor de agentrol bijwerken

  1. Meld u aan bij de Microsoft Defender-portal.
  2. Navigeer naar Instellingen>Eindpuntmachtigingenrollen>>.
  3. Zoek de aangepaste rol die is toegewezen aan de Threat Intelligence Briefing Agent.
  4. Bewerk de rol en controleer of de volgende machtigingen zijn ingeschakeld:
    • Geavanceerde opsporing – lezen
    • Beheer van beveiligingsproblemen – Lezen
    • Machineconfiguratie – Lezen
    • Apparaatinventaris – Lezen
  5. Sla eventuele wijzigingen op als er updates worden aangebracht.

Stap 2: Apparaatgroep toegang verlenen tot de agent

  1. Ga in de Microsoft Defender portal naar Instellingen>Eindpunten>Apparaatgroepen.
  2. Voor elke apparaatgroep die productie-eindpunten bevat:
    1. Open de apparaatgroep.
    2. Selecteer de sectie Gebruikerstoegang .
    3. Voeg de identiteit van de bedreigingsinformatieagent toe.
    4. Leestoegang toewijzen.
  3. Sla de wijzigingen op.

Belangrijk

Geef toestemmingsupdates de tijd om te synchroniseren tussen Microsoft Defender services voordat u de agent uitvoert.

Agent voor het opsporen van bedreigingen

De Agent voor het opsporen van bedreigingen zorgt voor een revolutie in het opsporen van bedreigingen door u in staat te stellen bedreigingen van begin tot eind met natuurlijke taal te onderzoeken. Het genereert niet alleen KQL-query's, maar interpreteert ook resultaten, geeft inzichten weer en begeleidt u door volledige opsporingssessies. Met deze mogelijkheden kunt u bedreigingen sneller, nauwkeuriger en met meer vertrouwen opsporen.

Schermopname van het copilot-deelvenster in geavanceerde opsporing met het antwoord gemarkeerd.

Agent voor beveiligingsanalisten

Met de agent voor beveiligingsanalisten kunnen beveiligingsanalisten risico's snel identificeren, beoordelen en prioriteren door gebruiksklare of aangepaste analyses op beveiligingsgegevens uit te voeren. De agent biedt bruikbare inzichten, aanbevelingen en rapporten met prioriteit om de belangrijkste beveiligingsproblemen en risico's aan het licht te brengen. Het ondersteunt gegevens van Microsoft Defender XDR, Sentinel Log Analytics of Sentinel Data Lake en kan complexe analysetaken uitvoeren, zoals anomaliedetectie, clustering, risicoscore en prognoses zonder code of query's.

Attribuut Beschrijving
Identiteit Gekoppeld aan uw gebruikersidentiteit; elke gebruiker configureert de agent onafhankelijk
Licentie Niet van toepassing
Machtigingen Leestoegang tot Microsoft Defender XDR, Microsoft Sentinel Log Analytics-werkruimte of Microsoft Sentinel Data Lake, afhankelijk van de gegevensbron die u kiest
Producten
  • Security Copilot
  • Microsoft Defender XDR (optionele gegevensbron)
  • Microsoft Sentinel (optionele gegevensbron)
Op rollen gebaseerde toegang Gebruikers met leestoegang tot de geselecteerde gegevensbronnen kunnen de agent configureren en gebruiken.
Trigger Wordt op aanvraag uitgevoerd wanneer u een beveiligingsanalyseprompt invoert in de agentchat of Analyseren met copilot selecteert in de resultaten van geavanceerde opsporingsquery's

Dynamic Threat Detection Agent

De Dynamic Threat Detection Agent in de Defender-portal is een altijd ingeschakelde, adaptieve back-endservice die verborgen bedreigingen in Defender- en Microsoft Sentinel-omgevingen blootlegt. Het maakt gebruik van AI om hiaten te identificeren en fout-negatieven te ontdekken door waarschuwingen, gebeurtenissen, afwijkingen en bedreigingsinformatie te correleren. Wanneer de agent een hiaat identificeert, genereert deze een dynamische waarschuwing met de volledige context in de waarschuwingsdetails, inclusief uitleg in natuurlijke taal, toegewezen MITRE ATT&CK-technieken en op maat gemaakte herstelstappen.

  • Last updated on