Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Security Store i Microsoft Defender-portalen erbjuder olika agenter som hjälper dig att utföra dina säkerhetsuppgifter effektivt. Dessa agenter omfattar Microsoft Security Copilot agenter som publicerats av Microsoft och partner. Dessa agenter integreras med Microsoft Defender och utför olika säkerhetsåtgärder (SOC), till exempel incidenttriage, undersökning, hotjakt och hotinformation.
Den här artikeln beskriver hur du identifierar och distribuerar AI-agenter i Microsoft Defender.
Obs!
Mer information om hur du publicerar agenter till Security Store finns i Publicera agenter till Microsoft Security Store.
Förhandskrav
Om du vill köpa, distribuera och använda agenter från Security Store behöver du:
- Åtkomst till en Security Copilot arbetsyta som etablerats med SCU-kapacitet.
- För partnerpublicerad agent behöver du rollen Azure prenumerationsdeltagare eller ägare.
Identifiera och distribuera agenter i Microsoft Defender-portalen
Så här identifierar och distribuerar du agenter i Microsoft Defender-portalen:
Välj Security Copilot > Security Store.
Bläddra eller sök efter den agent som du vill distribuera.
Välj agenten för att visa dess information, inklusive dess funktioner, krav och installationsinstruktioner.
Så här köper och distribuerar du agenten:
Välj Hämta agent för att påbörja distributionsprocessen om du har tillräcklig behörighet. Mer information finns i Krav.
Välj Kopiera länk för att kopiera agentens url för informationssidan och dela den med en säkerhetsadministratör om du inte har behörighet att distribuera agenter.
För partnerpublicerad agent slutför du köpet och distributionen på security store-webbplatsen enligt beskrivningen i Microsoft Security Store-dokumentationen.
Du kan hantera centraliserade köp för partnerpublicerade agenter via offentliga erbjudanden, eller via privata erbjudanden, enligt beskrivningen i Så här köper du SaaS-lösningar (privata erbjudanden).
När du har köpt agenten väljer du Security Copilot > Agenter, letar upp din agent i avsnittet Redo för installation och väljer sedan Konfigurera för att påbörja agentkonfigurationen.
Mer information om hur du konfigurerar, hanterar och kör partnerpubliceringsagenter finns i Hantera Security Copilot agenter.
Mer information om Microsoft Security Copilot agenter finns i Microsoft Security Copilot agenter i Microsoft Defender.
Efter installationen visas agenten i avsnittet Agenter som används .
Microsoft Security Copilot agenter i Microsoft Defender
Det här avsnittet beskriver de Microsoft Security Copilot agenter som är tillgängliga i Microsoft Defender-portalen.
- Triage-agent för säkerhetsaviseringar (förhandsversion)
- Informationsagent för hotinformation
- Hotjaktagent
- Agent för säkerhetsanalytiker
- Agent för dynamisk hotidentifiering
Triage-agent för säkerhetsaviseringar (förhandsversion)
Obs!
Triage-agenten för säkerhetsaviseringar är samma agent som nätfisketriageagenten med utökade funktioner för att sortera en bredare uppsättning av aviseringstyper. Triage-agenten för säkerhetsaviseringar är endast tillgänglig för kunder som ingår i förhandsversionen. Om du inte är en del av förhandsversionen fortsätter nätfisketriageagenten att vara tillgänglig i Security Store.
Triage-agenten för säkerhetsaviseringar är en autonom agent som hjälper säkerhetsteam att sortera aviseringar i stor skala över flera arbetsbelastningar. Agenten tillämpar AI-drivna, dynamiska resonemang för att leverera tydliga omdömen för säkerhetsarbetsbelastningar som stöds. Det här är samma agent som nätfisketriageagenten, som har visat mätbara förbättringar i noggrannhet och effektivitet för prioritering. Agenten kan nu sortera en bredare uppsättning aviseringar i Microsoft Defender, inklusive e-post- och samarbetsaviseringar (allmänt tillgängliga) och moln- och identitetsaviseringar (förhandsversion). Agenten fungerar självständigt, ger transparent motivering för klassificeringsutslag på naturligt språk och lär sig och förbättrar kontinuerligt dess noggrannhet baserat på feedback från analytiker.
| Attribut | Beskrivning |
|---|---|
| Identitet | Skapa en ny agentidentitet eller anslut till ett befintligt användarkonto |
| Licens | Beror på aviseringstyper:
|
| Behörigheter | Agenten kräver dessa behörigheter för att fungera, beroende på vilka aviseringstyper du vill prioritera:
|
| Plugins | Agenten aktiverar automatiskt dessa Security Copilot plugin-program: |
| Produkter |
|
| Rollbaserad åtkomst |
Säkerhetsadministratör Microsoft Entra roll krävs för att konfigurera och hantera agenten Användare med samma behörigheter som triageagenten för säkerhetsaviseringar kan visa agentens aktivitet och resultat och ge feedback om agentens klassificeringsutfall. |
| Utlösa | Körs automatiskt när en ny avisering identifieras för de konfigurerade aviseringstyperna, inklusive användarrapporterade e-postmeddelanden (för e-post- och samarbetsaviseringar), molnsäkerhetsaviseringar (för molnaviseringar) och identitetsaviseringar. |
Informationsagent för hotinformation
Informationsagenten för hotinformation ger säkerhetsteam regelbundna, anpassade informationsgenomgångar om hotinformation. Agenten samlar autonomt in och syntetiserar relevanta hotinformationsdata från olika källor, vilket ger koncisa och användbara insikter som hjälper analytiker att hålla sig informerade om nya hot och trender.
| Attribut | Beskrivning |
|---|---|
| Identitet | Skapa en ny agentidentitet eller anslut till ett befintligt användarkonto |
| Licens | Saknas |
| Behörigheter |
Nödvändiga behörigheter:
|
| Produkter | Security Copilot |
| Plugins | Följande plugin-program krävs för att köra den här agenten:
|
| Rollbaserad åtkomst | Rollen Säkerhetsadministratör krävs för att konfigurera och hantera agenten. Användare med samma behörigheter som informationsagenten för hotinformation kan visa agentens aktivitet och resultat. |
| Utlösa | Körs med det angivna tidsintervallet som du konfigurerade under installationen eller manuellt när du vill köra det |
Konfigurera Defender för Endpoint-behörigheter för agentidentiteten
När du kör informationsagenten för hotinformation med en agentidentitet måste du också konfigurera följande behörigheter för Defender för Endpoint-rollen och åtkomst till enhetsgrupp. Utan dessa behörigheter kan exponeringsrapporten visas som "inte tillgänglig" eller returnera noll CVE även när det finns säkerhetsrisker i din miljö.
Steg 1 – Uppdatera behörigheterna för agentrollen
- Logga in på Microsoft Defender-portalen.
- Gå till Inställningar>Behörighetsroller>> för slutpunkter.
- Leta upp den anpassade roll som tilldelats till hotinformationsinformationsagenten.
- Redigera rollen och bekräfta att följande behörigheter är aktiverade:
- Avancerad jakt – läsa
- Sårbarhetshantering – Läs
- Datorkonfiguration – läsa
- Enhetsinventering – läs
- Spara eventuella ändringar om uppdateringar görs.
Steg 2 – Bevilja enhetsgrupp åtkomst till agenten
- I Microsoft Defender-portalen går du till Inställningar>Slutpunkter>Enhetsgrupper.
- För varje enhetsgrupp som innehåller produktionsslutpunkter:
- Öppna enhetsgruppen.
- Välj avsnittet Användaråtkomst .
- Lägg till hotinformationsagentens identitet.
- Tilldela läsåtkomst .
- Spara ändringarna.
Viktigt
Tillåt att behörighetsuppdateringar synkroniseras mellan Microsoft Defender tjänster innan agenten körs.
Hotjaktagent
Hotjaktagenten revolutionerar hotjakten genom att du kan undersöka hot med naturligt språk från början till slut. Den genererar inte bara KQL-frågor utan tolkar även resultat, visar insikter och vägleder dig genom fullständiga jaktsessioner. Med de här funktionerna kan du jaga hot snabbare, mer exakt och med större tillförsikt.
Agent för säkerhetsanalytiker
Säkerhetsanalytikeragenten hjälper säkerhetsanalytiker att snabbt identifiera, utvärdera och prioritera risker genom att utföra färdiga eller anpassade analyser av säkerhetsdata. Agenten tillhandahåller användbara och prioriterade insikter, rekommendationer och rapporter för att upptäcka de främsta säkerhetsriskerna och riskerna. Den stöder data från Microsoft Defender XDR, Sentinel Log Analytics eller Sentinel Data Lake och kan utföra komplexa analysuppgifter som avvikelseidentifiering, klustring, riskbedömning och prognostisering utan att behöva kod eller frågor.
| Attribut | Beskrivning |
|---|---|
| Identitet | Kopplad till din användaridentitet; varje användare konfigurerar agenten oberoende av varandra |
| Licens | Saknas |
| Behörigheter | Läsbehörighet till Microsoft Defender XDR, Microsoft Sentinel Log Analytics-arbetsyta eller Microsoft Sentinel Data Lake, beroende på vilken datakälla du väljer |
| Produkter |
|
| Rollbaserad åtkomst | Användare med läsåtkomst till de valda datakällorna kan konfigurera och använda agenten. |
| Utlösa | Körs på begäran när du anger en säkerhetsanalysfråga i agentchatten eller väljer Analysera med copilot från avancerade jaktfrågeresultat |
Agent för dynamisk hotidentifiering
Agenten för dynamisk hotidentifiering i Defender-portalen är en alltid aktiv, anpassningsbar serverdelstjänst som upptäcker dolda hot i Defender och Microsoft Sentinel miljöer. Den använder AI för att identifiera luckor och upptäcka falska negativa identifieringar genom att korrelera aviseringar, händelser, avvikelser och hotinformation. När agenten identifierar en lucka genererar den en dynamisk avisering med den fullständiga kontexten i aviseringsinformationen, inklusive förklaringar av naturligt språk, mappade MITRE ATT-&CK-tekniker och skräddarsydda reparationssteg.