Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Security Store im Microsoft Defender-Portal bietet verschiedene Agenten, die Sie bei der effizienten Ausführung Ihrer Sicherheitsaufgaben unterstützen. Zu diesen Agents gehören Microsoft Security Copilot Agents, die von Microsoft und Partnern veröffentlicht wurden. Diese Agenten sind in Microsoft Defender integriert und führen verschiedene Aufgaben im Security Operations Center (SOC) aus, z. B. Vorfallstriage, Untersuchungen, Bedrohungssuche und Bedrohungsaufklärung.
In diesem Artikel erfahren Sie, wie Sie KI-Agents in Microsoft Defender finden und bereitstellen.
Hinweis
Weitere Informationen zum Veröffentlichen von Agents im Microsoft Security Store finden Sie unter Veröffentlichen von Agents im Microsoft Security Store.
Voraussetzungen
Um Agents im Security Store zu erwerben, bereitzustellen und zu verwenden, benötigen Sie Folgendes:
- Zugriff auf einen Security Copilot-Arbeitsbereich, der mit SCU-Kapazität bereitgestellt wurde.
- Für vom Partner veröffentlichte Agenten benötigen Sie die Azure-Abonnement-Rolle Mitwirkender oder Besitzer.
Ermitteln und Bereitstellen von Agents im Microsoft Defender-Portal
So ermitteln und stellen Sie Agents im Microsoft Defender-Portal bereit:
Wählen Sie Security Copilot > Security Store aus.
Durchsuchen Sie die Liste, oder suchen Sie nach dem Agenten, den Sie bereitstellen möchten.
Wählen Sie den Agent aus, um seine Details anzuzeigen, einschließlich seiner Funktionen, Anforderungen und Setupanweisungen.
So erwerben Sie den Agent und stellen diesen bereit:
Wählen Sie Agent abrufen aus, um den Bereitstellungsprozess zu starten, wenn Sie über ausreichende Berechtigungen verfügen. Weitere Informationen finden Sie unter Voraussetzungen.
Wählen Sie Link kopieren aus, um die URL der Detailseite des Agents zu kopieren und mit einem Sicherheitsadministrator zu teilen, wenn Sie nicht über Berechtigungen zum Bereitstellen von Agents verfügen.
Schließen Sie für vom Partner veröffentlichte Agents den Kauf ab, und stellen Sie sie auf der Security Store-Website bereit, wie in der Microsoft Security Store-Dokumentation beschrieben.
Sie können zentralisierte Käufe für vom Partner veröffentlichte Agents über öffentliche Angebote oder private Angebote verwalten, wie unter Erwerben von SaaS-Lösungen (private Angebote) beschrieben.
Wählen Sie nach dem Kauf des Agents Security Copilot > Agents aus, suchen Sie Ihren Agent im Abschnitt Bereit für die Einrichtung, und wählen Sie dann Einrichten aus, um mit der Einrichtung des Agents zu beginnen.
Weitere Informationen zum Einrichten, Verwalten und Ausführen von von Partnern veröffentlichten Agenten finden Sie unter Security Copilot-Agenten verwalten.
Weitere Informationen zu Microsoft Security Copilot Agents finden Sie unter Microsoft Security Copilot Agents in Microsoft Defender.
Nach dem Setup wird der Agent im Abschnitt Verwendete Agents angezeigt.
Microsoft Security Copilot-Agenten in Microsoft Defender
In diesem Abschnitt werden die Microsoft Security Copilot Agents beschrieben, die im Microsoft Defender-Portal verfügbar sind.
- Agent für die Triage von Sicherheitswarnungen (Vorschau)
- Agent für Bedrohungsinformationen-Briefing
- Bedrohungssuche-Agent
- Sicherheitsanalyst-Agent
- Agent für die dynamische Bedrohungserkennung
Agent für die Triage von Sicherheitswarnungen (Vorschau)
Hinweis
Der Security Alert Triage Agent ist derselbe Agent wie der Phishing-Selektierungs-Agent mit erweiterten Funktionen zum Selektieren einer breiteren Gruppe von Warnungstypen. Der Sicherheitswarnungs-Triage-Agent ist nur für Kunden verfügbar, die an der Vorschau teilnehmen. Wenn Sie nicht an der Vorschau teilnehmen, ist der Phishing-Triage-Agent weiterhin im Security Store verfügbar.
Der Sicherheitswarnungs-Selektierungs-Agent ist ein autonomer Agent, mit dem Sicherheitsteams Warnungen in großem Umfang über mehrere Workloads hinweg selektieren können. Der Agent wendet KI-gesteuertes, dynamisches Denken an, um klare Urteile für unterstützte Sicherheitsworkloads zu liefern. Dies ist derselbe Agent wie der Phishing-Triage-Agent, der messbare Verbesserungen bei der Genauigkeit und Effizienz der Selektierung gezeigt hat. Der Agent kann jetzt eine breitere Gruppe von Warnungen in Microsoft Defender selektieren, einschließlich E-Mail- und Zusammenarbeitswarnungen (allgemein verfügbar) sowie Cloud- und Identitätswarnungen (Vorschau). Der Agent agiert autonom, stellt transparente Begründungen für seine Klassifizierungsentscheidungen in natürlicher Sprache bereit und lernt kontinuierlich aus dem Feedback von Analysten, um seine Genauigkeit zu verbessern.
| Attribut | Beschreibung |
|---|---|
| Identität | Erstellen einer neuen Agent-Identität oder Herstellen einer Verbindung mit einem vorhandenen Benutzerkonto |
| Lizenz | Hängt von den Warnungstypen ab:
|
| Berechtigungen | Der Agent benötigt diese Berechtigungen, je nachdem, welche Warnungstypen Sie selektieren möchten:
|
| Plug-Ins | Der Agent aktiviert diese Security Copilot-Plug-Ins automatisch: |
| Produkte |
|
| Rollenbasierter Zugriff |
Die Microsoft Entra-Rolle „Sicherheitsadministrator“ ist erforderlich, um den Agent einzurichten und zu verwalten Benutzer mit den gleichen Berechtigungen wie der Sicherheitswarnungs-Selektierungs-Agent können die Aktivitäten und Ergebnisse des Agents anzeigen und Feedback zum Klassifizierungsurteil des Agents geben. |
| Auslöser | Wird automatisch ausgeführt, wenn eine neue Warnung für die konfigurierten Warnungstypen erkannt wird, einschließlich benutzerseitig gemeldeter E-Mails (für E-Mail- und Zusammenarbeitswarnungen), Cloudsicherheitswarnungen (für Cloudwarnungen) und Identitätswarnungen. |
Agent für Bedrohungsinformations-Briefings
Der Threat Intelligence Briefing Agent bietet Security-Operations-Teams regelmäßige, maßgeschneiderte Threat-Intelligence-Briefings. Der Agent sammelt und synthetisiert relevante Threat Intelligence-Daten aus verschiedenen Quellen und liefert präzise und umsetzbare Erkenntnisse, damit Analysten über neue Bedrohungen und Trends auf dem Laufenden bleiben.
| Attribut | Beschreibung |
|---|---|
| Identität | Erstellen einer neuen Agent-Identität oder Herstellen einer Verbindung mit einem vorhandenen Benutzerkonto |
| Lizenz | Nicht zutreffend |
| Berechtigungen |
Erforderliche Berechtigungen:
|
| Produkte | Security Copilot |
| Plug-Ins | Zum Ausführen dieses Agents sind die folgenden Plug-Ins erforderlich:
|
| Rollenbasierter Zugriff | Die Rolle "Sicherheitsadministrator " ist erforderlich, um den Agent einzurichten und zu verwalten. Benutzer mit den gleichen Berechtigungen wie der Threat Intelligence Briefing-Agent können die Aktivitäten und Ergebnisse des Agents anzeigen. |
| Auslöser | Wird im festgelegten Zeitintervall ausgeführt, das Sie während des Setups konfiguriert haben, oder manuell, wenn Sie es ausführen möchten. |
Konfigurieren Sie die Defender for Endpoint-Berechtigungen für die Agent-Identität
Wenn Sie den Threat Intelligence Briefing-Agent mit einer Agent-Identität ausführen, müssen Sie auch die folgenden Defender für Endpunkt-Rollenberechtigungen und den Zugriff auf die Gerätegruppe konfigurieren. Ohne diese Berechtigungen wird der Expositionsbericht möglicherweise als "nicht verfügbar" angezeigt oder gibt keine CVEs zurück, selbst wenn Sicherheitsrisiken in Ihrer Umgebung vorhanden sind.
Schritt 1: Aktualisieren der Berechtigungen für die Agent-Rolle
- Melden Sie sich beim Microsoft Defender-Portal an.
- Navigieren Sie zu Einstellungen>Endpunkte>Berechtigungen>Rollen.
- Suchen Sie die benutzerdefinierte Rolle, die dem Threat Intelligence-Briefing-Agent zugewiesen ist.
- Bearbeiten Sie die Rolle, und vergewissern Sie sich, dass die folgenden Berechtigungen aktiviert sind:
- Erweiterte Suche – Lesen
- Verwaltung von Sicherheitsrisiken – Lesen
- Computerkonfiguration – Lesen
- Gerätebestand – Lesen
- Speichern Sie alle Änderungen, wenn Updates vorgenommen werden.
Schritt 2 – Der Gerätegruppe Zugriff auf den Agenten gewähren
- Wechseln Sie im Microsoft Defender-Portal zu Einstellungen>Endpunkte>Gerätegruppen.
- Für jede Gerätegruppe, die Produktionsendpunkte enthält:
- Öffnen Sie die Gerätegruppe.
- Wählen Sie den Abschnitt Benutzerzugriff aus.
- Fügen Sie die Identität des Threat Intelligence Briefing-Agents hinzu.
- Weisen Sie Lesezugriff zu.
- Speichern Sie die Änderungen.
Wichtig
Lassen Sie zeit, bis Berechtigungsupdates über Microsoft Defender Dienste hinweg synchronisiert werden, bevor Sie den Agent ausführen.
Bedrohungssuche-Agent
Der Threat Hunting-Agent revolutioniert die Bedrohungssuche, indem er Es Ihnen ermöglicht, Bedrohungen in natürlicher Sprache von Anfang bis Ende zu untersuchen. Sie generiert nicht nur KQL-Abfragen, sondern interpretiert auch Ergebnisse, liefert Erkenntnisse und führt Sie durch vollständige Huntingsitzungen. Diese Funktionen ermöglichen es Ihnen, Bedrohungen schneller, genauer und mit größerer Sicherheit zu suchen.
Sicherheitsanalyst-Agent
Der Security Analyst Agent unterstützt Sicherheitsanalysten dabei, Risiken schnell zu identifizieren, zu bewerten und zu priorisieren, indem er sofort einsatzbereite oder benutzerdefinierte Analysen für Sicherheitsdaten durchführt. Der Agent bietet umsetzbare und priorisierte Erkenntnisse, Empfehlungen und Berichte, um die wichtigsten Sicherheitsrisiken und Risiken aufzudecken. Es unterstützt Daten aus Microsoft Defender XDR, Sentinel Log Analytics oder Sentinel Data Lake und kann komplexe Analyseaufgaben wie Anomalieerkennung, Clustering, Risikobewertung und Vorhersage ausführen, ohne Code oder Abfragen zu erfordern.
| Attribut | Beschreibung |
|---|---|
| Identität | An Ihre Benutzeridentität gebunden; Jeder Benutzer konfiguriert den Agent unabhängig voneinander. |
| Lizenz | Nicht zutreffend |
| Berechtigungen | Lesezugriff auf Microsoft Defender XDR, Microsoft Sentinel Log Analytics-Arbeitsbereich oder Microsoft Sentinel Data Lake, je nach ausgewählter Datenquelle |
| Produkte |
|
| Rollenbasierter Zugriff | Benutzer mit Lesezugriff auf die ausgewählten Datenquellen können den Agent konfigurieren und verwenden. |
| Auslöser | Wird bei Bedarf ausgeführt, wenn Sie im Agent-Chat einen Prompt für eine Sicherheitsanalyse eingeben oder in den Ergebnissen einer erweiterten Hunting-Abfrage Mit Copilot analysieren auswählen. |
Agent für die dynamische Bedrohungserkennung
Der Agent für die dynamische Bedrohungserkennung im Defender-Portal ist ein immer aktivierter, adaptiver Back-End-Dienst, der versteckte Bedrohungen in Defender- und Microsoft Sentinel-Umgebungen aufdeckt. Es nutzt KI, um Lücken zu identifizieren und falsch negative Befunde aufzudecken, indem Warnungen, Ereignisse, Anomalien und Bedrohungsinformationen korreliert werden. Wenn der Agent eine Lücke identifiziert, generiert er eine dynamische Warnung mit dem vollständigen Kontext in den Warnungsdetails, einschließlich Erklärungen in natürlicher Sprache, zugeordneten MITRE ATT&CK-Techniken und maßgeschneiderten Korrekturschritten.