智能 Microsoft Security Copilot 副驾驶®代理是 AI 支持的进程,旨在帮助你完成基于角色的特定任务。 Microsoft Purview 以预览版提供Microsoft Purview 数据丢失防护 (DLP) 会审代理。 Thise 代理提供代理管理的警报队列,可在其中识别有关最高风险活动的警报并设置优先级。 代理根据组织选择的参数和风险容忍度级别分析活动所涉及的内容和潜在意向。 代理为分类背后的逻辑提供了全面的说明。
代理在 Microsoft Purview 嵌入式体验中可用。 有关详细信息,请参阅 嵌入式体验。
对警报进行会审和分配优先级可能很复杂且耗时。 如果具有代理会审并设置警报的优先级,则根据设置的参数,完成任务所需的时间将减少。 该代理通过从较低风险警报的干扰中筛选出最重要的警报,帮助你专注于最重要的警报。 这可以缩短响应时间,并有助于提高团队的效率和有效性。
有关部署、配置和使用代理的信息,请参阅 Microsoft Purview 代理入门。
开始之前
如果你不熟悉Security Copilot或Security Copilot代理,则应熟悉以下文章中的信息:
- 智能 Microsoft Security Copilot 副驾驶®代理概述
- 什么是 Microsoft 安全 Copilot?
- 智能 Microsoft Security Copilot 副驾驶®体验
- 智能 Microsoft Security Copilot 副驾驶®入门
- 了解智能 Microsoft Security Copilot 副驾驶®中的身份验证
- 智能 Microsoft Security Copilot 副驾驶®中的提示
- 配置所有者设置
Security Copilot代理概念
Microsoft Purview 会审代理在 SCU) (安全计算单元上运行。 你的组织必须预配 SCU 才能运行代理。 有关详细信息,请参阅 SKU/订阅许可。
触发器
触发器是参数的分组,必须满足其值才能使代理会审任何给定警报。 触发器包括:
重要
代理无法 识别管理单元。 但是,如果代理在管理单元受限管理员的上下文中运行,并且有一些策略属于该管理员的管理单元,则代理将仅看到来自作用域为管理单元的策略的警报。
自动或手动运行
部署代理和编辑触发器时,可以选择代理是 将根据设置的计划自动 运行,还是 代理一次在一个警报上手动运行 。 如果选择“ 根据设置的计划自动运行”,代理将会审 “选择警报时间范围” 设置中包含的警报。
选择警报时间范围
部署代理以及编辑代理触发器时,可以选择代理用于确定要会审的警报的范围的时间范围。 选项包括:
- 仅会审新警报
- 过去 24 小时
- 过去 48 小时
- 过去 72 小时
- 过去 7 天
- 过去 14 天
- 过去 21 天
- 过去 30 天
如果选择“ 仅会审新警报”,则代理仅会审部署代理后生成的警报。 代理不会对部署代理之前生成的任何警报进行会审。 这意味着将忽略所有 “过去# 小时或天数 ”选项。
如果选择任何 “过去 # 小时或天 ”选项,则代理会审在所选时间范围内生成的警报。 这样,就可以对部署代理之前生成的所有作进行会审。 所有新生成的警报也会进行会审。
重要
要会审的警报的时间范围定位到成功启用代理的那一刻。 从本质上讲,时钟在启用代理时开始计时。 因此, 最后 的小时数或天数是指代理部署之前的时间段。 这不是滚动时间框架。
安全上下文
代理在上次配置代理的用户的安全上下文中运行。 安全上下文必须每 90 天续订一次。 如果从租户中删除或删除用户,或者用户被禁用,代理将停止运行。
会审警报
代理将根据触发器配置对警报进行会审。 代理将会审在所选时间范围内生成的警报,这些警报来自所选策略。 并非所有警报都会进行会审。 有关详细信息,请参阅 安装代理。
会审警报分为四类:
全部:此类别包括代理已会审的所有警报。 在进入该视图并向下滚动以加载所有警报之前,类别中指示的计数可能无法准确反映警报的真实数量。 如果首先导致引发警报的条件已更改,或者警报尚未会审,则可以选择警报,然后选择“ 运行代理 ”以手动对警报运行代理。
需要注意:这些是代理推理的警报,并确定它们对组织构成最大风险。 选择其中一个警报时,详细信息浮出控件将打开,以显示警报摘要和其他详细信息。
不太紧急:这些是代理已推理的警报,并确定它们对组织构成的风险较低。 选择其中一个警报时,详细信息浮出控件将打开,以显示警报摘要和其他详细信息。
未分类:这些是代理无法成功会审的警报。 出现这种情况的原因有很多,包括: - 服务器错误 - 正在审查 - 其他错误 - 对于包含代理不支持的活动的警报,不支持错误。
代理会审最大大小为 2 MB 的文件。
代理如何确定优先级
DLP 会审代理根据以下风险因素确定警报的优先级:
- 内容风险:这是代理会审期间使用的主要风险因素,它涵盖基于Microsoft提供的 SIT、可训练的分类器和默认敏感度标签的敏感内容。
- 外泄风险:外部共享的敏感数据外泄。
- 策略风险:策略模式和包含作的规则会影响警报的优先级。
- 内容风险:删除或降级标签。
- 外泄风险:敏感数据外泄到未经批准的域。 有关详细信息,请参阅 配置终结点数据丢失防护设置。
警报会审详细信息
重要
DLP 会审代理仅支持来自处于活动模式的策略的警报。 DLP 警报会审代理不会对模拟模式下运行的 DLP 策略中的警报进行会审。
如果租户有足够的 SCU,代理能够查看在启用代理之前最多 30 天生成的警报。 在启用代理之前超过 30 天生成的警报超出了范围。
DLP 会审代理会审来自 Exchange、SharePoint、 OneDrive、Teams 的警报。
在 DLP 中,代理不会仅会审由自定义敏感信息类型 (SIT) 和自定义可训练分类器条件触发的警报。 由非 SIT/不可训练的分类器策略条件(例如) Email subject match 触发的警报不会进行会审。
应对代理无法完全评估的警报执行手动分析。
部分会审警报
下面是一些可能部分会审警报的情况示例。
- DLP 规则包含一些不支持的条件,例如
The user accessed a sensitive site from Edge - DLP 规则包含某些条件,但系统无法检索电子邮件或文件(例如
Document couldn't be scanned)的相应属性。
内容分析
在某些情况下,内容分析可能会受到限制。
警报的内容风险优先级基于Microsoft提供的 SIT、可训练分类器和内容中的敏感度标签。 当代理评估内容风险时,它只查找Microsoft提供的 SIT,以及策略中定义的可训练分类器。
当 DLP 警报关联零到九个文件时,代理会扫描所有文件,并在内容摘要中使用。 当警报包含超过 10 个或更多个文件时, 将使用可能 排名前 10 的文件来生成文件风险摘要。 在 DLP 中,会审代理根据策略分类器命中次数、文件大小以及上次访问该文件的时间选取前 10 个有风险的文件。 发生这种情况时,代理会提供一条说明,指出警报中的所有文件未包含在内容摘要中。