Agente do Analista de Segurança no Defender

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

O Agente do Analista de Segurança no Defender ajuda os analistas de segurança a identificar, avaliar e priorizar rapidamente os riscos ao fornecer:

  • Análise Flexível: Executar análises prontas a utilizar ou personalizadas em dados de segurança. Obtenha informações, recomendações e relatórios acionáveis e prioritários para descobrir as principais vulnerabilidades e riscos.

  • Integração de Dados: analise dados de Microsoft Defender XDR, Sentinel Log Analytics ou Sentinel Data Lake, com base nas suas instruções. Também pode carregar ficheiros CSV para análise de conjuntos de dados personalizados (Disponível atualmente na experiência Autónoma, mas estará disponível em breve no Defender)

  • Exploração Interativa: Visualize dados para detetar anomalias e riscos mais rapidamente.

  • Assistência de Conversação: Conversar com o agente, fazer perguntas de seguimento e realizar análises relacionadas para aprofundar a sua compreensão

Utilize o Agente analista de segurança, se quiser realizar tarefas de análise básicas como análise de padrões, análise de tendências, série temporal e visualização e tarefas de análise mais complexas, como deteção de anomalias, clustering, classificação, classificação de riscos e atribuição de prioridades, previsão e modelação preditiva para descobrir riscos ocultos. O agente gera informações prioritárias com provas completas de defensibilidade. Trata-se de uma análise avançada com tecnologia python numa primeira experiência de chat, sem necessidade de escrever código ou consultas.

O agente pode efetuar uma análise de um ou vários passos em grandes volumes de dados e, iterativamente, razões e descobrir riscos ocultos, prioriza estes riscos com um registo de provas detalhado e justificação.

Pré-requisitos e requisitos de configuração

Tem de ter acesso a Security Copilot e Defender XDR ou Sentinel Log Analytics ou Sentinel Data Lake para utilizar o Agente.

Requisitos de acesso e configuração

  • Requisitos de Acesso

Tem de ter acesso de leitura a Microsoft Defender XDR, Microsoft Sentinel Área de Trabalho do Log Analytics ou Microsoft Sentinel Data Lake, consoante a origem de dados que escolher.

  • Configuração específica do RBAC e do Utilizador

Quando configura o agente, este está associado à sua identidade e aplica-se apenas à sua instância de utilizador.

  • Compatibilidade multiusuário

Outros utilizadores no mesmo inquilino também podem configurar o agente com a sua própria identidade, desde que tenham o acesso necessário às origens de dados selecionadas.

Fontes de dados

O agente suporta atualmente três origens de dados:

Fonte de dados Descrição
Defender XDR (predefinição) telemetria Microsoft Defender XDR
Sentinel Log Analytics Área de Trabalho do Microsoft Sentinel Log Analytics
Sentinel Data Lake Microsoft Sentinel Data Lake

Existem dois métodos para especificar a origem de dados:

Pedidos de linguagem natural: adicione a origem de dados à sua instrução. Por exemplo:

Analyze if there are privilege escalation or role elevation activities that are followed by sensitive data access in my enterprise. Please use Sentinel Log Analytics for this.

Quando especifica uma origem de dados na sua instrução, o agente obtém e analisa os registos de segurança dessa origem. Se existirem várias áreas de trabalho, o agente pede-lhe para especificar qual utilizar.

Depois de configurada num pedido, a definição da origem de dados persiste durante toda a sessão até ser alterada. Recomendamos que limite as alterações da origem de dados numa determinada sessão a três para um melhor desempenho.

Definições do Agente: também pode especificar a origem de dados ao editar as Definições do Agente.

Importante

O agente honra sempre as suas instruções. Se existir um conflito entre as Definições do Agente e uma instrução de pedido, a instrução do pedido tem precedência.

Se nenhuma origem de dados for especificada através de qualquer um dos métodos, o agente tenta primeiro obter dados de Defender XDR. Se isso falhar devido à indisponibilidade de dados ou a um problema de permissão, o agente tentará novamente a partir do Sentinel Log Analytics.

Configurar o Agente do Analista de Segurança

Importante

A configuração da origem de dados é opcional. Pode especificar a origem de dados diretamente na sua linha de comandos e o agente prioriza estas instruções baseadas em pedidos ao realizar a análise. Se não for especificada nenhuma origem de dados no pedido, o agente utiliza a origem de dados configurada nas definições do agente.

  1. Inicie sessão no Security Copilot (https://securitycopilot.microsoft.com).

  2. Selecione o ícone do menu inicial.

  3. Navegue para Agentes.

  4. Na secção Pronto para configuração , selecione Agente do Analista de Segurança.

  5. Para a configuração inicial, localize o agente na secção Pronto para configuração e selecione Configurar. Se o agente já estiver configurado para, pelo menos, um utilizador, procure "Agente analista de segurança" na secção "Agentes em Utilização" e clique em "Ir para o agente".

    Imagem do Agente do Analista de Segurança – Ir para o agente

  6. Forneça os detalhes das origens de dados preferenciais para configurar o agente:

    • Defender XDR: deixe todos os campos em branco e especifique Use Defender XDR no final da sua instrução.

    • Sentinel Data Lake:

      1. Introduza SentinelDataLake no campo OrigemDeDados .
      2. Introduza o nome da área de trabalho no campo Sentinel Nome da Área de Trabalho do Data Lake.
      3. Deixe os restantes campos vazios.

    • Sentinel Área de Trabalho do Log Analytics:

      1. Introduza SentinelLogAnalyticsWorkspace no campo OrigemDeDados .
      2. Preencha o seguinte campo: Nome da Área de Trabalho do Log Analytics.
      3. Deixe o campo Sentinel Nome da Área de Trabalho do Data Lake em branco e guarde as suas definições.

      Imagem do Agente do Analista de Segurança – Configurar o chat do agente

  7. Selecione Conversar com o agente na parte superior para interagir com o agente.

    Imagem do Agente do Analista de Segurança – conversa com o botão do agente

    Pode iniciar uma nova conversa para uma nova análise, ver e aceder a conversas históricas e ver os detalhes da definição do agente a partir de qualquer sessão de agente.

    Imagem do Agente do Analista de Segurança – nova sessão de chat

Utilizar o Agente do Analista de Segurança

  1. Aceda a Microsoft Defender em e, em https://defender.microsoft.comseguida, selecione Investigação avançada em Investigação e resposta.

  2. Abra Copilot e, em seguida, selecione Agente analista de segurança.

    Captura de ecrã a mostrar a seleção do Agente do Analista de Segurança no Microsoft Defender Investigação avançada.

  3. Introduza o seu pedido de análise de segurança em linguagem natural ou selecione um dos pedidos sugeridos.

  4. Se a tarefa for ampla, responda às perguntas esclarecedoras do agente para que o agente possa restringir o âmbito da análise.

  5. Opcionalmente, especifique a origem de dados no seu pedido. Se não for fornecida nenhuma origem de dados, o agente tenta primeiro Defender XDR e, em seguida, Sentinel Log Analytics para identificar e obter os dados necessários para análise.

  6. Reveja a resposta, incluindo resultados prioritários, provas de apoio e recomendações.

    No exemplo seguinte, o agente resume as suas conclusões juntamente com as provas e também fornece recomendações contextuais sobre os próximos passos, quer seja uma investigação mais aprofundada ou uma contenção. A resposta também contém uma lista de sugestões seguintes que o utilizador pode pedir para continuar a interação.

    Captura de ecrã a mostrar a resposta de exemplo do agente do Analista de Segurança.

  7. Continue com os pedidos de seguimento na mesma sessão ou inicie uma nova sessão para uma investigação separada.

    Observação

    O agente pode demorar alguns minutos a concluir análises complexas.

  8. Se tiver executado uma consulta KQL e quiser analisar os resultados para compreender os riscos de segurança, selecione o painel Analisar com , abaixo do separador resultados da consulta. Os motivos do agente nos resultados gerados e apresenta um resumo das informações prioritárias que necessitam de atenção urgente.

    Captura de ecrã a mostrar a ação Analisar com o Copilot nos resultados da consulta investigação avançada.

  9. Utilize os botões de feedback na resposta para partilhar se o resultado foi útil.

Interpretar o relatório

Resumo executivo

Esta secção fornece uma narrativa clara de como a análise foi executada, descrevendo os passos seguidos e os dados considerados. Explica os critérios de filtragem, intervalos de tempo e qualquer classificação aplicada, tudo num idioma simples para que os leitores possam seguir facilmente o processo.

Informações-chave

Aqui, encontrará as conclusões mais significativas da análise, apresentadas de forma concisa e significativa. Cada informação inclui uma breve explicação do porquê de ser importante e, quando relevante, referências a provas de apoio.

Visualizações

Esta secção contém gráficos que acrescentam profundidade e clareza ao relatório, ajudando os leitores a interpretar rapidamente padrões ou relações nos dados. Os elementos visuais só são incluídos quando fornecem um valor exclusivo à análise.

Artefatos

Os artefactos são os ficheiros de suporte que acompanham o relatório, como um CSV abrangente de todas as entidades analisadas e, quando aplicável, ficheiros de provas detalhados. Estes recursos permitem que os leitores explorem o conjunto de dados completo por trás das descobertas. Os artefactos incluem a consulta KQL que foi utilizada pelo agente para obter os dados (tenha em atenção que o agente utiliza apenas KQL para obtenção de dados, a análise é feita em python), um plano abrangente que foi formulado para executar a tarefa.

  • Last updated on