Bereitstellen von KI-Agents in Microsoft Defender

Security Store im Microsoft Defender-Portal bietet verschiedene Agenten, die Sie bei der effizienten Ausführung Ihrer Sicherheitsaufgaben unterstützen. Zu diesen Agents gehören Microsoft Security Copilot Agents, die von Microsoft und Partnern veröffentlicht wurden. Diese Agenten sind in Microsoft Defender integriert und führen verschiedene Aufgaben im Security Operations Center (SOC) aus, z. B. Vorfallstriage, Untersuchungen, Bedrohungssuche und Bedrohungsaufklärung.

In diesem Artikel erfahren Sie, wie Sie KI-Agents in Microsoft Defender finden und bereitstellen.

Hinweis

Weitere Informationen zum Veröffentlichen von Agents im Microsoft Security Store finden Sie unter Veröffentlichen von Agents im Microsoft Security Store.

Voraussetzungen

Um Agents im Security Store zu erwerben, bereitzustellen und zu verwenden, benötigen Sie Folgendes:

Ermitteln und Bereitstellen von Agents im Microsoft Defender-Portal

So ermitteln und stellen Sie Agents im Microsoft Defender-Portal bereit:

  1. Wählen Sie Security Copilot > Security Store aus.

  2. Durchsuchen Sie die Liste, oder suchen Sie nach dem Agenten, den Sie bereitstellen möchten.

  3. Wählen Sie den Agent aus, um seine Details anzuzeigen, einschließlich seiner Funktionen, Anforderungen und Setupanweisungen.

  4. So erwerben Sie den Agent und stellen diesen bereit:

    • Wählen Sie Agent abrufen aus, um den Bereitstellungsprozess zu starten, wenn Sie über ausreichende Berechtigungen verfügen. Weitere Informationen finden Sie unter Voraussetzungen.

    • Wählen Sie Link kopieren aus, um die URL der Detailseite des Agents zu kopieren und mit einem Sicherheitsadministrator zu teilen, wenn Sie nicht über Berechtigungen zum Bereitstellen von Agents verfügen.

      Screenshot der Seite „Security Store“ im Microsoft Defender-Portal.

    • Schließen Sie für vom Partner veröffentlichte Agents den Kauf ab, und stellen Sie sie auf der Security Store-Website bereit, wie in der Microsoft Security Store-Dokumentation beschrieben.

      Sie können zentralisierte Käufe für vom Partner veröffentlichte Agents über öffentliche Angebote oder private Angebote verwalten, wie unter Erwerben von SaaS-Lösungen (private Angebote) beschrieben.

  5. Wählen Sie nach dem Kauf des Agents Security Copilot > Agents aus, suchen Sie Ihren Agent im Abschnitt Bereit für die Einrichtung, und wählen Sie dann Einrichten aus, um mit der Einrichtung des Agents zu beginnen.

    Weitere Informationen zum Einrichten, Verwalten und Ausführen von von Partnern veröffentlichten Agenten finden Sie unter Security Copilot-Agenten verwalten.

    Weitere Informationen zu Microsoft Security Copilot Agents finden Sie unter Microsoft Security Copilot Agents in Microsoft Defender.

    Nach dem Setup wird der Agent im Abschnitt Verwendete Agents angezeigt.

Microsoft Security Copilot-Agenten in Microsoft Defender

In diesem Abschnitt werden die Microsoft Security Copilot Agents beschrieben, die im Microsoft Defender-Portal verfügbar sind.

Agent für die Triage von Sicherheitswarnungen (Vorschau)

Hinweis

Der Security Alert Triage Agent ist derselbe Agent wie der Phishing-Selektierungs-Agent mit erweiterten Funktionen zum Selektieren einer breiteren Gruppe von Warnungstypen. Der Sicherheitswarnungs-Triage-Agent ist nur für Kunden verfügbar, die an der Vorschau teilnehmen. Wenn Sie nicht an der Vorschau teilnehmen, ist der Phishing-Triage-Agent weiterhin im Security Store verfügbar.

Der Sicherheitswarnungs-Selektierungs-Agent ist ein autonomer Agent, mit dem Sicherheitsteams Warnungen in großem Umfang über mehrere Workloads hinweg selektieren können. Der Agent wendet KI-gesteuertes, dynamisches Denken an, um klare Urteile für unterstützte Sicherheitsworkloads zu liefern. Dies ist derselbe Agent wie der Phishing-Triage-Agent, der messbare Verbesserungen bei der Genauigkeit und Effizienz der Selektierung gezeigt hat. Der Agent kann jetzt eine breitere Gruppe von Warnungen in Microsoft Defender selektieren, einschließlich E-Mail- und Zusammenarbeitswarnungen (allgemein verfügbar) sowie Cloud- und Identitätswarnungen (Vorschau). Der Agent agiert autonom, stellt transparente Begründungen für seine Klassifizierungsentscheidungen in natürlicher Sprache bereit und lernt kontinuierlich aus dem Feedback von Analysten, um seine Genauigkeit zu verbessern.

Attribut Beschreibung
Identität Erstellen einer neuen Agent-Identität oder Herstellen einer Verbindung mit einem vorhandenen Benutzerkonto
Lizenz Hängt von den Warnungstypen ab:
Berechtigungen Der Agent benötigt diese Berechtigungen, je nachdem, welche Warnungstypen Sie selektieren möchten:
  • Alle Warnungstypen: Security Copilot (lesen), Grundlagen zu Sicherheitsdaten (lesen), Warnungen (verwalten)
  • Warnungen zu E-Mail und Zusammenarbeit: Metadaten zu E-Mails und Zusammenarbeit (Lesen), Inhalte zu E-Mails und Zusammenarbeit (Lesen)
  • Cloud- und Identitätswarnungen: Über die Basisberechtigungen hinaus sind keine zusätzlichen Berechtigungen erforderlich.
Plug-Ins Der Agent aktiviert diese Security Copilot-Plug-Ins automatisch:
Produkte
  • Security Copilot
  • Microsoft Defender für Office 365 Plan 2 (für E-Mail- und Zusammenarbeitswarnungen)
  • Microsoft Defender für Cloud (für Cloudwarnungen)
  • Microsoft Defender for Identity und Microsoft Defender for Cloud Apps (für Identitätswarnungen)
Rollenbasierter Zugriff Die Microsoft Entra-Rolle „Sicherheitsadministrator“ ist erforderlich, um den Agent einzurichten und zu verwalten

Benutzer mit den gleichen Berechtigungen wie der Sicherheitswarnungs-Selektierungs-Agent können die Aktivitäten und Ergebnisse des Agents anzeigen und Feedback zum Klassifizierungsurteil des Agents geben.
Auslöser Wird automatisch ausgeführt, wenn eine neue Warnung für die konfigurierten Warnungstypen erkannt wird, einschließlich benutzerseitig gemeldeter E-Mails (für E-Mail- und Zusammenarbeitswarnungen), Cloudsicherheitswarnungen (für Cloudwarnungen) und Identitätswarnungen.

Agent für Bedrohungsinformations-Briefings

Der Threat Intelligence Briefing Agent bietet Security-Operations-Teams regelmäßige, maßgeschneiderte Threat-Intelligence-Briefings. Der Agent sammelt und synthetisiert relevante Threat Intelligence-Daten aus verschiedenen Quellen und liefert präzise und umsetzbare Erkenntnisse, damit Analysten über neue Bedrohungen und Trends auf dem Laufenden bleiben.

Attribut Beschreibung
Identität Erstellen einer neuen Agent-Identität oder Herstellen einer Verbindung mit einem vorhandenen Benutzerkonto
Lizenz Nicht zutreffend
Berechtigungen Erforderliche Berechtigungen:
  • Microsoft Defender für Endpunkt
  • Sicherheitsleser
Optionale Berechtigungen:
  • Risikopositionsmanagement (Lesen)
Produkte Security Copilot
Plug-Ins Zum Ausführen dieses Agents sind die folgenden Plug-Ins erforderlich:
  • Microsoft Threat Intelligence (Gefahrenintelligenz)
  • Microsoft Threat Intelligence-Agenten
Das folgende Plug-In ist optional, kann der Ausgabe jedoch weiteren Kontext hinzufügen:
  • Microsoft Defender Verwaltung der externen Angriffsfläche
Rollenbasierter Zugriff Die Rolle "Sicherheitsadministrator " ist erforderlich, um den Agent einzurichten und zu verwalten.

Benutzer mit den gleichen Berechtigungen wie der Threat Intelligence Briefing-Agent können die Aktivitäten und Ergebnisse des Agents anzeigen.
Auslöser Wird im festgelegten Zeitintervall ausgeführt, das Sie während des Setups konfiguriert haben, oder manuell, wenn Sie es ausführen möchten.

Konfigurieren Sie die Defender for Endpoint-Berechtigungen für die Agent-Identität

Wenn Sie den Threat Intelligence Briefing-Agent mit einer Agent-Identität ausführen, müssen Sie auch die folgenden Defender für Endpunkt-Rollenberechtigungen und den Zugriff auf die Gerätegruppe konfigurieren. Ohne diese Berechtigungen wird der Expositionsbericht möglicherweise als "nicht verfügbar" angezeigt oder gibt keine CVEs zurück, selbst wenn Sicherheitsrisiken in Ihrer Umgebung vorhanden sind.

Schritt 1: Aktualisieren der Berechtigungen für die Agent-Rolle

  1. Melden Sie sich beim Microsoft Defender-Portal an.
  2. Navigieren Sie zu Einstellungen>Endpunkte>Berechtigungen>Rollen.
  3. Suchen Sie die benutzerdefinierte Rolle, die dem Threat Intelligence-Briefing-Agent zugewiesen ist.
  4. Bearbeiten Sie die Rolle, und vergewissern Sie sich, dass die folgenden Berechtigungen aktiviert sind:
    • Erweiterte Suche – Lesen
    • Verwaltung von Sicherheitsrisiken – Lesen
    • Computerkonfiguration – Lesen
    • Gerätebestand – Lesen
  5. Speichern Sie alle Änderungen, wenn Updates vorgenommen werden.

Schritt 2 – Der Gerätegruppe Zugriff auf den Agenten gewähren

  1. Wechseln Sie im Microsoft Defender-Portal zu Einstellungen>Endpunkte>Gerätegruppen.
  2. Für jede Gerätegruppe, die Produktionsendpunkte enthält:
    1. Öffnen Sie die Gerätegruppe.
    2. Wählen Sie den Abschnitt Benutzerzugriff aus.
    3. Fügen Sie die Identität des Threat Intelligence Briefing-Agents hinzu.
    4. Weisen Sie Lesezugriff zu.
  3. Speichern Sie die Änderungen.

Wichtig

Lassen Sie zeit, bis Berechtigungsupdates über Microsoft Defender Dienste hinweg synchronisiert werden, bevor Sie den Agent ausführen.

Bedrohungssuche-Agent

Der Threat Hunting-Agent revolutioniert die Bedrohungssuche, indem er Es Ihnen ermöglicht, Bedrohungen in natürlicher Sprache von Anfang bis Ende zu untersuchen. Sie generiert nicht nur KQL-Abfragen, sondern interpretiert auch Ergebnisse, liefert Erkenntnisse und führt Sie durch vollständige Huntingsitzungen. Diese Funktionen ermöglichen es Ihnen, Bedrohungen schneller, genauer und mit größerer Sicherheit zu suchen.

Screenshot des Copilot-Bereichs in der erweiterten Suche mit hervorgehobener Antwort

Sicherheitsanalyst-Agent

Der Security Analyst Agent unterstützt Sicherheitsanalysten dabei, Risiken schnell zu identifizieren, zu bewerten und zu priorisieren, indem er sofort einsatzbereite oder benutzerdefinierte Analysen für Sicherheitsdaten durchführt. Der Agent bietet umsetzbare und priorisierte Erkenntnisse, Empfehlungen und Berichte, um die wichtigsten Sicherheitsrisiken und Risiken aufzudecken. Es unterstützt Daten aus Microsoft Defender XDR, Sentinel Log Analytics oder Sentinel Data Lake und kann komplexe Analyseaufgaben wie Anomalieerkennung, Clustering, Risikobewertung und Vorhersage ausführen, ohne Code oder Abfragen zu erfordern.

Attribut Beschreibung
Identität An Ihre Benutzeridentität gebunden; Jeder Benutzer konfiguriert den Agent unabhängig voneinander.
Lizenz Nicht zutreffend
Berechtigungen Lesezugriff auf Microsoft Defender XDR, Microsoft Sentinel Log Analytics-Arbeitsbereich oder Microsoft Sentinel Data Lake, je nach ausgewählter Datenquelle
Produkte
  • Security Copilot
  • Microsoft Defender XDR (optionale Datenquelle)
  • Microsoft Sentinel (optionale Datenquelle)
Rollenbasierter Zugriff Benutzer mit Lesezugriff auf die ausgewählten Datenquellen können den Agent konfigurieren und verwenden.
Auslöser Wird bei Bedarf ausgeführt, wenn Sie im Agent-Chat einen Prompt für eine Sicherheitsanalyse eingeben oder in den Ergebnissen einer erweiterten Hunting-Abfrage Mit Copilot analysieren auswählen.

Agent für die dynamische Bedrohungserkennung

Der Agent für die dynamische Bedrohungserkennung im Defender-Portal ist ein immer aktivierter, adaptiver Back-End-Dienst, der versteckte Bedrohungen in Defender- und Microsoft Sentinel-Umgebungen aufdeckt. Es nutzt KI, um Lücken zu identifizieren und falsch negative Befunde aufzudecken, indem Warnungen, Ereignisse, Anomalien und Bedrohungsinformationen korreliert werden. Wenn der Agent eine Lücke identifiziert, generiert er eine dynamische Warnung mit dem vollständigen Kontext in den Warnungsdetails, einschließlich Erklärungen in natürlicher Sprache, zugeordneten MITRE ATT&CK-Techniken und maßgeschneiderten Korrekturschritten.