Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Security Store nel portale di Microsoft Defender offre vari agenti che consentono di eseguire le attività di sicurezza in modo efficiente. Questi agenti includono Microsoft Security Copilot agenti pubblicati da Microsoft e dai partner. Questi agenti si integrano con Microsoft Defender ed eseguono varie attività di sicurezza (SOC), ad esempio valutazione degli eventi imprevisti, indagini, ricerca delle minacce e intelligence sulle minacce.
Questo articolo illustra come individuare e distribuire gli agenti di intelligenza artificiale in Microsoft Defender.
Nota
Per altre informazioni sulla pubblicazione di agenti in Security Store, vedere Pubblicare agenti in Microsoft Security Store.
Prerequisiti
Per acquistare, distribuire e usare agenti da Security Store, è necessario:
- Accesso a un'area di lavoro Security Copilot di cui è stato effettuato il provisioning con capacità SCU.
- Per gli agenti pubblicati dai partner, è necessario il ruolo di collaboratore o proprietario della sottoscrizione Azure.
Individuare e distribuire agenti nel portale di Microsoft Defender
Per individuare e distribuire gli agenti nel portale di Microsoft Defender:
Selezionare Security Copilot > Archivio sicurezza.
Individuare o cercare l'agente che si vuole distribuire.
Selezionare l'agente per visualizzarne i dettagli, incluse le funzionalità, i requisiti e le istruzioni di configurazione.
Per acquistare e distribuire l'agente:
Selezionare Ottieni agente per avviare il processo di distribuzione se si dispone di autorizzazioni sufficienti. Per altre informazioni, vedere Prerequisiti.
Selezionare Copia collegamento per copiare l'URL della pagina dei dettagli dell'agente e condividerlo con un amministratore della sicurezza, se non si dispone delle autorizzazioni per distribuire gli agenti.
Per gli agenti pubblicati dai partner, completare l'acquisto e la distribuzione nel sito Web di Security Store, come descritto nella documentazione di Microsoft Security Store.
È possibile gestire gli acquisti centralizzati per gli agenti pubblicati dai partner tramite offerte pubbliche o offerte private, come descritto in Come acquistare soluzioni SaaS (offerte private).
Dopo aver acquistato l'agente, selezionare Security Copilot > Agenti, trovare l'agente nella sezione Pronto per l'installazione e quindi selezionare Configura per avviare la configurazione dell'agente.
Per altre informazioni sulla configurazione, la gestione e l'esecuzione di agenti pubblicati dal partner, vedere Gestire gli agenti Security Copilot.
Per altre informazioni sugli agenti Microsoft Security Copilot, vedere Microsoft Security Copilot agenti in Microsoft Defender.
Dopo l'installazione, l'agente viene visualizzato nella sezione Agenti in uso .
agenti Microsoft Security Copilot in Microsoft Defender
Questa sezione descrive in dettaglio gli agenti Microsoft Security Copilot disponibili nel portale di Microsoft Defender.
Agente di valutazione del phishing
L'agente di valutazione del phishing consente agli analisti delle operazioni di sicurezza di valutare e classificare gli eventi di phishing inviati dall'utente. L'agente opera in modo autonomo, fornisce una logica trasparente per i verdetti di classificazione in linguaggio naturale e impara e migliora continuamente la sua accuratezza in base al feedback degli analisti.
| Attributo | Descrizione |
|---|---|
| Identità | Opera nel contesto dell'utente che si connette all'agente |
| License | Microsoft Defender per Office P2 |
| Autorizzazioni | L'agente richiede queste autorizzazioni per operare:
|
| Plug-in | L'agente attiva automaticamente questi plug-in Security Copilot: |
| Prodotti |
|
| Accesso in base al ruolo |
L'amministratore della sicurezza Microsoft Entra ruolo è necessario per configurare e gestire l'agente Gli utenti con le stesse autorizzazioni dell'agente di valutazione del phishing possono visualizzare l'attività e i risultati dell'agente e fornire feedback sul verdetto di classificazione dell'agente. |
| Attivazione | Viene eseguito automaticamente quando viene rilevato un nuovo avviso, dopo che un utente ha segnalato un messaggio di posta elettronica. |
Agente di briefing di Intelligence per le minacce
L'agente di intelligence per le minacce fornisce ai team delle operazioni di sicurezza briefing sulle minacce regolari e personalizzati. L'agente raccoglie e sintetizza in modo autonomo i dati di intelligence sulle minacce rilevanti da varie origini, fornendo informazioni concise e interattive per aiutare gli analisti a rimanere informati sulle minacce e le tendenze emergenti.
| Attributo | Descrizione |
|---|---|
| Identità | Richiede la connessione a un account utente esistente o la creazione di una nuova identità dell'agente |
| License | Non applicabile |
| Autorizzazioni |
Autorizzazioni necessarie:
|
| Prodotti | Security Copilot |
| Plug-in | Per eseguire questo agente sono necessari i plug-in seguenti:
|
| Accesso in base al ruolo | Il ruolo Amministratore della sicurezza è necessario per configurare e gestire l'agente. Gli utenti con le stesse autorizzazioni dell'agente briefing di Intelligence per le minacce possono visualizzare l'attività e i risultati dell'agente. |
| Attivazione | Viene eseguito all'intervallo di tempo impostato configurato durante l'installazione o manualmente quando si vuole eseguirlo |
Configurare le autorizzazioni di Defender per endpoint per l'identità dell'agente
Quando si esegue l'agente briefing di Intelligence per le minacce con un'identità dell'agente, è anche necessario configurare le autorizzazioni del ruolo Defender per endpoint e l'accesso al gruppo di dispositivi seguenti. Senza queste autorizzazioni, il report di esposizione può essere visualizzato come "non disponibile" o restituire zero CVE anche quando esistono vulnerabilità nell'ambiente.
Passaggio 1: Aggiornare le autorizzazioni del ruolo dell'agente
- Accedere al portale di Microsoft Defender.
- Passare a Impostazioni>- Ruoli delleautorizzazioni> degli > endpoint.
- Individuare il ruolo personalizzato assegnato all'agente briefing di Intelligence per le minacce.
- Modificare il ruolo e verificare che siano abilitate le autorizzazioni seguenti:
- Ricerca avanzata - Lettura
- Gestione delle vulnerabilità - Lettura
- Configurazione computer - Lettura
- Inventario dispositivi - Lettura
- Salvare eventuali modifiche se vengono eseguiti aggiornamenti.
Passaggio 2: Concedere al gruppo di dispositivi l'accesso all'agente
- Nel portale di Microsoft Defender passare a Impostazioni>Endpoint>Gruppi di dispositivi.
- Per ogni gruppo di dispositivi che contiene endpoint di produzione:
- Aprire il gruppo di dispositivi.
- Selezionare la sezione Accesso utente .
- Aggiungere l'identità dell'agente di Intelligence per le minacce.
- Assegnare l'accesso in lettura .
- Salvare le modifiche.
Importante
Attendere la sincronizzazione degli aggiornamenti delle autorizzazioni tra Microsoft Defender servizi prima di eseguire l'agente.
Agente di ricerca delle minacce
L'agente di ricerca delle minacce rivoluziona la ricerca delle minacce consentendo di analizzare le minacce usando il linguaggio naturale dall'inizio alla fine. Non solo genera query KQL, ma interpreta anche i risultati, visualizza informazioni dettagliate e guida l'utente nelle sessioni di ricerca complete. Queste funzionalità consentono di cacciare le minacce più velocemente, in modo più accurato e con maggiore sicurezza.
Agente di rilevamento dinamico delle minacce
L'agente di rilevamento dinamico delle minacce nel portale di Defender è un servizio back-end adattivo e sempre attivo che individua le minacce nascoste negli ambienti Defender e Microsoft Sentinel. Usa l'intelligenza artificiale per identificare le lacune e individuare falsi negativi correlando avvisi, eventi, anomalie e intelligence sulle minacce. Quando l'agente identifica un gap, genera un avviso dinamico con il contesto completo nei dettagli dell'avviso, tra cui spiegazioni del linguaggio naturale, tecniche mitre ATT mappate&CK e passaggi di correzione personalizzati.