Freigeben über

Microsoft Security Copilot Phishing Triage Agent in Microsoft Defender

  • Gilt für:: Microsoft Defender XDR, Microsoft Defender for Office 365 Plan 2

Phishing ist einer der häufigsten Einstiegspunkte für Cyberangriffe und eine anhaltende Betriebsbelastung für SoC-Teams (Security Operations Center). Analysten sehen sich einem kontinuierlichen Strom von vom Benutzer gemeldeten verdächtigen E-Mails gegenüber, die eine sorgfältige Überprüfung und Selektierung erfordern. Im großen Stil verlangsamt dieses Volumen die Reaktion, beansprucht Zeit für Analysten und erhöht das Risiko, dass echte Bedrohungen übersehen werden.

Der Phishing Triage Agent in Microsoft Defender ist ein KI-Agent, der Sicherheitsteams dabei hilft, die Selektierung und Klassifizierung von von Benutzern gemeldeten Phishing-E-Mails zu skalieren, wodurch sich wiederholende Untersuchungsarbeiten reduziert und die Reaktion beschleunigt wird.

Der Phishing-Triage-Agent verwendet llm-basierte Analysen (Large Language Model), um gemeldete E-Mails zu bewerten, die Absicht zu ermitteln und jede Übermittlung als echte Bedrohung oder falsch positiv zu klassifizieren. Anstatt sich auf statische Regeln oder vordefinierte Eingaben zu verlassen, wendet der Agent kontextbezogene Schlussfolgerungen an, um Übermittlungen dynamisch und im großen Stil auszuwerten.

Durch das Herausfiltern von Fehlalarmen ermöglicht der Agent analysten, sich auf bestätigte Bedrohungen und Untersuchungen mit höheren Auswirkungen zu konzentrieren– die Effizienz zu verbessern, die Erkennung zu beschleunigen und den allgemeinen Sicherheitsstatus der organization zu stärken.

Funktionsweise des Agents

Der Phishing-Triage-Agent ist ein Security Copilot-Agent in Microsoft Defender, der die Effizienz von Sicherheitsteams verbessert, indem von Benutzern übermittelte Phishingvorfälle klassifiziert und selektieren. Zu den wichtigsten Funktionen des Agents gehören:

  • Autonome Selektierung: Verwendet erweiterte KI-Tools, um anspruchsvolle Bewertungen durchzuführen und zu bestimmen, ob eine Übermittlung eine echte Bedrohung oder ein Falschalarm ist, ohne dass eine schrittweise Eingabe oder Code von Menschen erforderlich ist.
  • Transparente Begründung: Stellt eine transparente Begründung für die Klassifizierungsurteile in natürlicher Sprache bereit, wobei die Gründe für die Schlussfolgerungen und die verwendeten Beweise für ihre Schlussfolgerungen erläutert werden. Es bietet auch eine visuelle Darstellung des Argumentationsprozesses.
  • Lernen basierend auf Feedback: Analysten können Feedback zu Klassifizierungsergebnissen geben. Im Laufe der Zeit hilft dieses Feedback, das Verhalten des Agents zu verfeinern, um den Organisationskontext besser widerzuspiegeln und die manuelle Nachverfolgung zu reduzieren.

Um Phishingversuche zu untersuchen, verwendet der Agent eine Kombination aus Microsoft Defender- und Microsoft Security Copilot-Funktionen sowie eine Reihe von Sicherheitstools, die sich ständig weiterentwickeln, wenn neue Erkennungstechniken und Integrationen verfügbar werden. Aktuelle Beispiele:

  • Email Inhaltsanalyse: Erkennt verdächtige Muster und Indikatoren in E-Mail-Texten.
  • Datei- und URL-Detonation : Führt potenziell schädliche Dateien und Links mithilfe von Microsoft Deep Analysis Tools sicher aus und analysiert sie.
  • Screenshotanalyse : Überprüft visuelle Inhalte aus E-Mails, URLs und unterstützten Dateitypen.
  • Threat Intelligence-Tools : Verwendet Microsoft Threat Intelligence-Feeds, um einen erweiterten Erkennungskontext bereitzustellen.
  • Erweiterte Suche über Datenquellen hinweg : Korreliert Signale in allen verfügbaren Sicherheitsdatenquellen, um verdächtige Aktivitäten zu kontextualisieren und fundierte Ermittlungsentscheidungen zu fördern.

Voraussetzungen

Zum Ausführen des Phishing-Selektierungs-Agents in Ihrer Umgebung benötigen Sie Folgendes:

Komponenten Details
Produkte – Security Copilot und bereitgestellte Kapazität in Security Compute Units (SCU). Weitere Informationen finden Sie unter Erste Schritte mit Security Copilot, oder überprüfen Sie, ob Sie im Rahmen des Microsoft Security Copilot Integrationsmodells
– Microsoft Defender für Office 365 bereitgestellten Plan 2 berechtigt sind.
Microsoft Defender erforderlichen Features – Einheitliche rollenbasierte Zugriffssteuerung (Unified Role-Based Access Control, URBAC), aktiviert für Defender für Office 365. Weitere Informationen finden Sie unter Aktivieren von URBAC-Einstellungen .
– Aktivieren Sie die Option Gemeldete Nachrichten überwachen in Outlook in den Einstellungen vom Benutzer gemeldet. Weitere Informationen
finden Sie unter Vom Benutzer gemeldete Einstellungen: Die Warnungsrichtlinie Email, die vom Benutzer als Schadsoftware oder Phish gemeldet wird, muss aktiviert sein. Weitere Informationen finden Sie unter Warnungsrichtlinien im Microsoft Defender-Portal.
Plug-Ins Der Phishing-Selektierungs-Agent aktiviert diese Security Copilot-Plug-Ins automatisch:
- Microsoft Defender XDR
– Microsoft Threat Intelligence
– Phishing-Selektierungs-Agent

Aktivieren von URBAC-Einstellungen

Aktivieren Sie die Defender for Office 365-Workload in den Microsoft Defender XDR Einstellungen:

Screenshot der Seite

Weitere Informationen finden Sie unter Aktivieren von Workloads in Microsoft Defender XDR Einstellungen.

Konfigurieren von benutzerseitig gemeldeten Einstellungen

Aktivieren Sie Gemeldete Nachrichten in Outlook überwachen , um zu definieren, wie Benutzer potenziell schädliche Nachrichten in Microsoft Outlook melden, und wählen Sie eine der Optionen gemeldete Nachrichtenziele aus:

Screenshot der Seite

Weitere Informationen finden Sie unter Verwenden des Microsoft Defender-Portals zum Konfigurieren von benutzerseitig gemeldeten Einstellungen.

Wenn Sie ein E-Mail-Berichterstellungstool eines Drittanbieters verwenden, lesen Sie Optionen für Berichterstellungstools von Drittanbietern, und zeigen Sie die Optionen Ihres Anbieters an, um gemeldete Nachrichten in Microsoft Defender XDR zu integrieren.

Hinzufügen einer Warnungsrichtlinie

Der Phishing-Selektierungs-Agent behandelt Phishingvorfälle, die Warnungen mit dem Typ Email enthalten, die vom Benutzer als Schadsoftware oder Phish gemeldet werden. Stellen Sie sicher, dass die entsprechende Warnungsrichtlinie aktiviert ist. Weitere Informationen finden Sie unter Warnungsrichtlinien im Microsoft Defender-Portal.

Wichtig

Der Phishing-Selektierungs-Agent klassifiziert keine Warnungen, die Sie mithilfe von Unterdrückungsregeln unterdrücken.

Erforderliche Berechtigungen

In dieser Tabelle sind die Berechtigungen aufgeführt, die zum Ausführen verschiedener Aktionen im Zusammenhang mit dem Phishing-Triage-Agent im Defender-Portal erforderlich sind.

Benutzeraktion Erforderliche Berechtigung
Anzeigen von Agent-Ergebnissen und Unterrichten des Agents durch Feedback Security Copilot (lesen),Sicherheitsdatengrundlagen (Lesen), Warnungen (Verwalten), Email & Metadaten für die Zusammenarbeit (lesen) und Email & Zusammenarbeitsinhalte (lesen) unter der Gruppe "Sicherheitsvorgänge" im Defender-Portal, die auf die Microsoft Defender für Office 365 Datenquelle. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für den Phishing-Selektierungs-Agent.
Anzeigen der Agent-Einstellungen Security Copilot (Lesen) und Sicherheitsdatengrundlagen (Lesen) unter der Gruppe "Berechtigungen für Sicherheitsvorgänge" im Defender-Portal
OR
Sicherheitsadministrator in Microsoft Entra ID
Feedbackseite anzeigen Security Copilot (Lesen), Grundlagen zu Sicherheitsdaten (Lesen) und Email & Metadaten für die Zusammenarbeit (lesen) unter der Berechtigungsgruppe Sicherheitsvorgänge im Defender-Portal
OR
Sicherheitsadministrator in Microsoft Entra ID
Verwalten von Agent-Einstellungen (Einrichten, Anhalten, Entfernen des Agents und Verwalten der Agent-Identität) Sicherheitsadministrator in Microsoft Entra ID
Feedback ablehnen Sicherheitsadministrator in Microsoft Entra ID

Weitere Informationen zur einheitlichen rollenbasierten Zugriffssteuerung (RBAC) im Defender-Portal finden Sie unter Microsoft Defender XDR Einheitliche rollenbasierte Zugriffssteuerung (RBAC).

Einrichten des Phishing-Selektierungs-Agents

Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen und alle Voraussetzungen erfüllt sind, bevor Sie den Agent einrichten.

Setup starten

Sie können auf zwei Arten auf den Setup-Assistenten für den Phishing-Triage-Agent zugreifen:

  • Wählen Sie in der Incidents-Warteschlange im Microsoft Defender-Portal Agent einrichten aus.

    Screenshot der Incidentwarteschlange mit der Phishing-Selektierung Karte mit hervorgehobener Option

  • Alternativ können Sie Systemeinstellungen >> Microsoft Defender XDR > Übersicht über > den Phishing-Triage-Agent > Einrichten aus, um den Prozess zu starten.

    Screenshot der Seite

Zuweisen der Identität und berechtigungen des Agents

Der Setup-Assistent führt Sie durch das Zuweisen einer Identität und der Berechtigungen, die für seine Arbeit erforderlich sind.

Zuweisen einer Identität

Für den Agent ist eine Identität erforderlich. Der Assistent fordert Sie auf, einen von zwei Identitätstypen auszuwählen.

Screenshot des Bildschirms

Auswählen:

  • Erstellen einer neuen Agent-Identität (empfohlen): Erstellen Sie automatisch eine neue Microsoft Entra-Agent-ID. Microsoft Entra erstellt Agent-IDs speziell für KI-Agents. Die Verwendung von Agent-IDs sorgt für einen bereichsbezogenen, sicheren und einfacheren Zugriff. Weitere Informationen finden Sie unter Was sind Agentidentitäten?.

    OR

  • Verbinden eines vorhandenen Benutzerkontos : Weisen Sie ein vorhandenes Benutzerkonto als Agentidentität zu. Der Agent erbt den Zugriff und die Berechtigungen des Benutzerkontos. Um diese Identitätsoption verwenden zu können, müssen Sie die Identität selbst erstellen und ihr die Berechtigungen zuweisen, die der Agent vor dem Setup benötigt . Informationen zum Erstellen eines Benutzerkontos finden Sie unter Erstellen eines neuen Benutzers.

    Wenn Sie den Agent mit einem Konto verbinden, wird empfohlen, ein langes Kontoablaufdatum festzulegen und dessen Authentifizierungs-status genau zu überwachen, um den kontinuierlichen Betrieb des Agents sicherzustellen. Wenn die Authentifizierung abläuft, funktioniert der Agent nicht mehr, bis er erneuert wird.

    Die angegebene Benutzeridentität des Agents ist nicht mit PIM oder TAP kompatibel, da sie keine langfristigen Hintergrundvorgänge unterstützen.

    Tipp

    Verwenden Sie ein dediziertes Identitätskonto mit den mindestens erforderlichen Berechtigungen für den Agent. Weisen Sie beim Erstellen des Kontos einen eindeutigen Anzeigenamen wie phishing triage Agent zu, um ihn im Microsoft Defender-Portal einfach zu identifizieren.

    Legen Sie Richtlinien für bedingten Zugriff für Security Copilot fest, damit der Agent basierend auf dem dafür erstellten Benutzerkonto funktioniert. Weitere Informationen finden Sie unter Problembehandlung für Richtlinien für bedingten Zugriff für Microsoft Security Copilot.

Berechtigungen zuweisen

In Übereinstimmung mit dem Prinzip der geringsten Rechte empfehlen wir, der Agent-Identität nur die Berechtigungen zuzuweisen, die der Phishing-Selektierungs-Agent zum Ausführen seiner Aufgaben benötigt.

  • Wenn Sie eine Agent-ID verwenden, werden in der Dropdownliste nur Rollen in Ihrem organization angezeigt, die über die berechtigungen verfügen, die der Agent benötigt. Wählen Sie eine vorhandene Rolle in Ihrem organization aus, oder erstellen Sie automatisch eine neue Rolle mit den erforderlichen Berechtigungen, wenn Sie noch keine geeignete Rolle eingerichtet haben.

    Screenshot des Bildschirms

  • Wenn Sie ein vorhandenes Benutzerkonto verwenden, müssen Sie dieser Identität die erforderlichen Berechtigungen zuweisen , bevor Sie die Agent-Identität während des Setups zuweisen. Dies ist nicht über den Setup-Assistenten möglich.

    Screenshot des Bildschirms

Erforderliche Berechtigungen für den Phishing-Selektierungs-Agent

Die Agent-Identität benötigt diese Berechtigungen, um auf E-Mails zuzugreifen, deren Inhalt zu analysieren und Warnungen zu verwalten:

  • Grundlagen zu Sicherheitsdaten (lesen): Wird für den Zugriff auf grundlegende Sicherheitsdaten wie Warnungen und Vorfälle verwendet.
  • Warnungen (verwalten): Wird verwendet, um die Warnung zu klassifizieren und den Status der Warnung zu überwachen, um die Außerkraftsetzung der Warnung status zu verhindern.
  • Security Copilot (lesen): Wird für den Zugriff auf Security Copilot Funktionen verwendet.
  • Email & Metadaten für die Zusammenarbeit (lesen): Wird für den Zugriff auf Metadaten für vom Benutzer gemeldete E-Mails verwendet.
  • Email & Zusammenarbeitsinhalte (lesen): Wird verwendet, um den Inhalt der vom Benutzer gemeldeten E-Mails zu lesen, die für die Analyse erforderlich sind.

Diese Berechtigungen befinden sich unter der Gruppe Berechtigungen für Sicherheitsvorgänge :

Screenshot der erforderlichen Berechtigungen für die Phishing-Selektierung

Stellen Sie sicher, dass Sie dem Agent Zugriff auf die Microsoft Defender für Office 365 Datenquelle gewähren.

Screenshot der erforderlichen Datenquellen für die Phishing-Selektierung

So erstellen Sie eine Rolle:

  1. Stellen Sie sicher, dass die relevanten Defender-Workloads aktiviert sind, damit der Agent Warnungen effektiv mit umfassendem Kontext analysieren kann. Führen Sie die Schritte unter Aktivieren von URBAC-Einstellungen aus.
  2. Erstellen Sie eine Rolle mit den erforderlichen Berechtigungen, oder weisen Sie dem Agent eine vorhandene Rolle mit diesen Berechtigungen zu.
  3. Weisen Sie dem Agent die Rolle zu. Stellen Sie sicher, dass Sie dem Agent Zugriff auf die Microsoft Defender für Office 365 Datenquelle gewähren.

Wichtig

Nachdem Sie dem Agent seine Berechtigungen zugewiesen haben, stellen Sie sicher, dass die Benutzergruppe, die den Agent überwacht, über gleiche oder höhere Berechtigungen verfügt, um seine Aktivität und Ausgabe zu überwachen. Vergleichen Sie dazu die Berechtigungen der Benutzergruppe mit dem Agent auf der Seite Berechtigungen im Microsoft Defender-Portal.

Verbessern der Reaktion auf Vorfälle mit dem Phishing-Selektierungs-Agent

Der Agent soll Sicherheitsteams dabei helfen, die überwältigende Menge verdächtiger E-Mails zu verwalten, die Organisationen täglich erhalten. Der Agent fungiert als Kraftmultiplikator für SOC-Teams und entlädt zeitaufwändige Selektierungsaufgaben, reduziert die Ermüdung von Warnungen und beschleunigt die Reaktion auf Vorfälle, indem er echte Phishing-Bedrohungen autonom identifiziert. Dies ermöglicht es Analysten, den Lärm zu reduzieren und ihre Aufmerksamkeit auf die Bedrohungen zu konzentrieren, die wirklich wichtig sind.

Agent-Trigger und -Flow

Nach der vollständigen Einrichtung und Ausführung wird der Phishing Triage-Agent automatisch ausgelöst, wenn ein Benutzer eine verdächtige Phishing-E-Mail meldet und eine Warnung erstellt wird. Anschließend analysiert der Agent die Warnung mithilfe komplexer KI-Tools und des Kontexts Ihrer organization autonom, um zu ermitteln, ob die zugehörige Bedrohung böswillig oder nur ein Falschalarm ist.

Wenn die Warnung als falscher Alarm eingestuft wird, klassifiziert der Agent sie als falsch positiv und löst sie entsprechend auf. Wenn die Warnung als bösartig eingestuft wird, wird sie als True Positive klassifiziert, und die status des zugehörigen Incidents bleibt offen und wird ausgeführt, damit ein Analyst weitere Maßnahmen ergreifen kann.

Für jede Warnung, die er verarbeitet, liefert der Agent eine detaillierte Erläuterung seiner Bewertung, was die Transparenz erhöht und das Vertrauen der Analysten in den entsprechenden Vorfall aufbaut.

Zusammenarbeiten mit dem Agent

Um Transparenz zu gewährleisten, aktualisiert der Agent während des Selektierungsprozesses routinemäßig Incidentfelder. Wenn die Selektierung beginnt, weist sich der Agent die Warnung selbst zu und fügt dem entsprechenden Incident ein Agent-Tag hinzu. Analysten können die Incidentwarteschlange filtern, um nur Vom Agent markierte Incidents anzuzeigen, was die Aufsicht und Priorisierung vereinfacht.

Tipp

Sie können die Incidentwarteschlange auch mithilfe des Namens der Identität filtern, die Sie dem Phishing-Selektierungs-Agent zugewiesen haben, um die Incidents anzuzeigen, an denen der Agent aktiv arbeitet.

Wenn eine Warnung als echte Phishingbedrohung identifiziert wird, markiert der Phishing-Selektierungs-Agent sie als Richtig positiv. Dadurch können Analysten bestätigte Phishing-Bedrohungen priorisieren und schneller reagieren. Da diese Warnungen klar gekennzeichnet sind, können Analysten die Warteschlange einfach filtern, um sich auf verifizierte Bedrohungen zu konzentrieren, was zu einer erheblichen Reduzierung der Warteschlangen führt und die Zeit für die Sortierung durch falsch positive Ergebnisse minimiert. Dies ermöglicht es ihnen, ihre Bemühungen dort zu konzentrieren, wo sie am wichtigsten sind.

Screenshot der Incidentwarteschlange, gefiltert nach dem Tag des Phishing-Triage-Agents

Transparenz und Erklärbarkeit bei der Phishing-Selektierung

Der Phishing Triage Agent wurde entwickelt, um klar zu erklären , warum und wie er jede Entscheidung getroffen hat. Für jede Warnung, die verarbeitet wird, bietet sie eine detaillierte Erklärung im Klartext sowie eine vollständige grafische Darstellung des Entscheidungsfindungsworkflows. Dieses Maß an Transparenz ermöglicht es Analysten, Ergebnisse schnell zu interpretieren, Vertrauen in die Ausgabe des Agents aufzubauen und ihre Zeit auf fundierte Entscheidungen zu konzentrieren, anstatt manuelle Schritte im Phishing-Selektierungsprozess zu wiederholen.

Führen Sie die folgenden Schritte aus, um die Ergebnisse des Agents zu überprüfen:

  1. Wählen Sie einen Vorfall aus der Vorfallwarteschlange aus.

  2. Suchen Sie auf der Incidentseite im Seitenbereich Copilot oder Tasks unter dem Abschnitt Guided Response Triage nach dem Karte Phishing Triage Agent. Die Aufgabe wird als abgeschlossen markiert und dem Agent zugewiesen. Die Karte legt das Urteil des Agenten basierend auf seiner Klassifizierung dar und hebt wichtige Elemente von belastenden Beweisen hervor, die die Entscheidung geprägt haben.

    Screenshot der Seite

  3. Sie können die Auslassungspunkte Weitere Aktionen auswählen, um weitere Warnungsdetails anzuzeigen, die Klassifizierungsdetails des Agents in die Zwischenablage zu kopieren oder Feedback zu verwalten.

    Screenshot: Optionen für weitere Aktionen im Karte

  4. Um die Schritte anzuzeigen, die der Agent vor dem Erreichen seiner Klassifizierung ausgeführt hat, wählen Sie Agent-Aktivität anzeigen im Karte Phishing Triage Agent aus. Dies zeigt die Logik hinter der endgültigen Klassifizierung des Agents.

    Screenshot: Anzeigen des Bereichs

Vermitteln sie dem Agent den Kontext Ihrer organization durch Feedback

Der Phishing Triage Agent verbessert seine Entscheidungsfindung kontinuierlich basierend auf Feedback, das auf die Anforderungen Ihrer organization zugeschnitten ist. Analysten können Eingaben in einfacher, natürlicher Sprache bereitstellen – ohne dass komplexe Konfigurationen erforderlich sind –, sodass das Verhalten des Agents leicht zu steuern und zu gestalten ist. Dieses Feedback wird im Arbeitsspeicher des Agents gespeichert, sodass er sich daran anpassen kann, wie Ihr organization Phishing-Bedrohungen interpretiert und klassifiziert. Im Laufe der Zeit verbessert diese Anpassung die Genauigkeit und Effektivität des Agents bei der Selektierung zukünftiger Warnungen, wobei Ihr Team die Kontrolle hat.

Führen Sie die folgenden Schritte aus, um Feedback zu geben und den Agent zu unterrichten:

  1. Suchen Sie auf der Incidentseite im Seitenbereich Copilot oder Tasks unter dem Abschnitt Guided Response-Selektierung nach dem Karte Phishing Triage Agent.

  2. Überprüfen Sie die Klassifizierung und Argumentation des Agents, die im Titel und inhalt des Karte angezeigt werden. Wenn die Entscheidung nicht mit den Klassifizierungskriterien Ihres organization übereinstimmt, wählen Sie Klassifizierung ändern aus. Alternativ können Sie die Klassifizierung aktualisieren, indem Sie auf der Registerkarte Warnungen die spezifische Warnung und dann Warnung verwalten auswählen.

    Screenshot: Option

  3. Wählen Sie im Bereich Warnung verwalten im Dropdownmenü Klassifizierung die neue Klassifizierung aus. Geben Sie dann Ihren Grund für die Änderung an, indem Sie das Feld Warum haben Sie diese Klassifizierung geändert ? ausfüllen. In diesem Schritt werden Ihre Eingaben auf der Feedbackverwaltungsseite nur zu Überwachungszwecken aufgezeichnet. Der Agent verwendet dieses Feedback erst, um seine Entscheidungsfindung zu verbessern, wenn Sie explizit Dieses Feedback verwenden ausgewählt haben, um den Agent zu unterrichten. Wenn Sie dieses Feedback nicht zum Unterrichten des Agents verwenden möchten, können Sie Speichern auswählen. Dadurch wird nur das Feedback überwacht, ohne es in den Arbeitsspeicher des Agents einzufügen.

    Screenshot mit hervorgehobenen Klassifizierungs- und Feedbackfeldern im Bereich

  4. Um Ihr Feedback anzuwenden, wählen Sie Dieses Feedback verwenden aus, um den Agent zu unterrichten. Sie können den Leitfaden zum Schreiben von Feedback verwenden, um effektive Eingaben zu erstellen, und dann Feedback bewerten auswählen, um eine Vorschau anzuzeigen, wie der Agent Ihr Feedback in eine Lektion übersetzt und bewerten kann, ob das Ergebnis mit Ihrer Absicht übereinstimmt. Darüber hinaus führt die Feedbackauswertung grundlegende Sicherheitsüberprüfungen durch, um sicherzustellen, dass das angewendete Feedback für die Verwendung durch den Agent relevant ist und nicht in Konflikt mit vorherigem Feedback steht.

    Hinweis

    Sie können dem Agent nur einmal pro Warnung Feedback geben, und es kann nur verwendet werden, um dem Agent beizubringen, wie Phishingwarnungen klassifiziert werden, insbesondere durch Auswahl von True Positive (Phishing) oder False Positive (nicht böswillig). Überprüfen Sie immer Ihr Feedback, und überprüfen Sie die VON KI generierte Antwort, bevor Sie die Lektion speichern.

  5. Wenn das Ergebnis Ihren Erwartungen entspricht, können Sie die Lektion in das Gedächtnis des Agents einfügen, um die zukünftigen Entscheidungen zu beeinflussen. Wählen Sie Speichern aus, um die Lektion zu speichern und ggf. als Lektion im Arbeitsspeicher des Agents zu speichern. Alle zu Überwachungszwecken aufgezeichneten Feedbacks und Lektionen, die dem Speicher des Agents hinzugefügt wurden, können später auf der Feedbackverwaltungsseite überprüft werden.

Der Agent nutzt gespeichertes Feedback, um ähnliche Warnungen in Zukunft zu selektieren und zu klassifizieren. Wenn eine relevante Warnung empfangen wird, die den Feedbackmerkmalen entspricht, wendet der Agent dieses Feedback an, um seine Klassifizierung zu bestimmen und es als unterstützende Beweise in seinen Entscheidungsprozess einzubeziehen.

Bewährte Methoden zum Schreiben von Feedback

Lektionen enthalten systematische Richtlinien, die dem Agent dabei helfen zu bestimmen, ob eine Warnung eine echte Phishing-Bedrohung oder ein falscher Alarm ist. Um sicherzustellen, dass der Agent Ihr Feedback effektiv einbezieht, befolgen Sie diese bewährten Methoden, wenn Sie Eingaben für den Phishing-Triage-Agent bereitstellen:

  1. Stellen Sie sicher, dass Feedback relevant und kontextbezogen ist. Feedback sollte sich nur auf die aktuell überprüfte E-Mail beziehen. Sie muss auch mit der aktualisierten Klassifizierung übereinstimmen, die Sie zugewiesen haben.
  2. Beschreibend und spezifisch sein. Erläutern Sie die Merkmale der E-Mail deutlich. Geben Sie relevante Details wie E-Mail-Betreff, Nachrichtentext, Absender oder Empfänger an, damit der Agent den Kontext besser verstehen kann. Spezifisches Feedback mit mehreren Details erhöht die Effektivität.
  3. Sorgen Sie für Klarheit und Entschlossenheit. Vermeiden Sie vage oder universelle Aussagen. Geben Sie klares und umsetzbares Feedback. Verwenden Sie entscheidende und klare Identifikationsbegriffe.
  4. Seien Sie konsistent mit vorherigem Feedback. Stellen Sie sicher, dass das neue Feedback mit dem übereinstimmt, was zuvor bereitgestellt wurde, um Widersprüche zu vermeiden, die den Agent verwirren oder die Genauigkeit seiner Entscheidungen verringern könnten. Sie können alle zuvor übermittelten Eingaben auf der Seite Feedbackverwaltung überprüfen.
  5. Überprüfen Sie die Interpretation Ihres Feedbacks durch den Agenten. Wenn Sie Feedback übermitteln, überprüfen Sie immer, ob das Feedback korrekt in eine Lektion übersetzt wird. Vergewissern Sie sich, dass die Lektion Ihre Absicht widerspiegelt und die Konsistenz mit Ihrer ursprünglichen Eingabe aufrechterhält. Überprüfen der Gültigkeit von KI-generierten Antworten, um sicherzustellen, dass sie auf das Szenario anwendbar sind.

Hier finden Sie Beispiele dafür, wie Sie Ihr Feedback an den Agent schreiben können.

Bereich Beispiele für gut geschriebenes Feedback Beispiele für Feedback, das zu Fehlern führen kann Comparison
Feedback zu einem Absender Jede E-Mail, die behauptet, von Leistungsanbietern zu sein, muss von "@benefits.company.com" stammen. Der Absender in der zweiten Warnung im Incident ist nicht legitim. Feedback muss sich auf die E-Mail in der aktuellen Warnung und ihren Kontext beziehen. Sie wird an die ausgewählte Klassifizierung gebunden (auch wenn sie nicht explizit im Feedback erwähnt wird) und für ähnliche zukünftige Warnungen verwendet.
Feedback zum Absender und E-Mail-Text E-Mails, die Dateifreigaben oder Dokumentzugriff anbieten, sollten nur von unserem autorisierten Anbieter Contoso.com stammen. E-Mails, die Dateifreigaben oder Dokumentzugriff anbieten, sollten nur von unseren autorisierten Anbietern stammen. Gut geschriebenes Feedback besagt eindeutig bestimmte Anforderungen (z. B. Absenderdomäne), während vage Verweise (z. B. "autorisierte Anbieter") keine umsetzbaren Informationen enthalten.
Feedback zum E-Mail-Betreff Jede E-Mail, in der der Betreff eine Anforderung für eine Abrechnungstransaktion enthält, ist in unserem organization nicht zulässig und wird als Phishing betrachtet. Wenn das Subjekt eine positive natürliche Stimmung hat, ist es legitim. Feedback, das beschreibend und spezifisch ist, kann effektiv überprüft werden, während subjektives Feedback zu unbeabsichtigten Ergebnissen führen kann.
Feedback zum E-Mail-Text E-Mails, die die Überprüfung der Anmeldeinformationen anfordern, sollten einen Verweis auf das jeweilige Konto oder den jeweiligen Dienst enthalten. Jede generische "Konto verifizieren"-Anforderung ohne Details sollte als Phishing behandelt werden. Diese E-Mail sollte als Phishing behandelt werden. Feedback, das detaillierte Informationen enthält, ist wahrscheinlicher, dass es klar verstanden wird, während Feedback ohne Details auf verschiedene Arten interpretiert werden kann und zu unvorhersehbaren Ergebnissen führen kann.
Feedback zu einem Empfänger und E-Mail-Text Diese E-Mail wurde an mehrere Mitarbeiter gesendet, und der Text weist die Empfänger an, eine "wichtige Anlage" herunterzuladen, ohne deren Inhalt zu beschreiben– legitime E-Mails geben immer Anlagendetails an. Interne Massen-E-Mails mit Anlagen sind Phishing. Feedback, das bestimmte fehlende Details hervorgibt, die häufig in legitimen E-Mails gefunden werden, ist effektiver. Feedback, das allgemeine Verallgemeinerungen (Massen-E-Mails) oder vage Begriffe (z. B. "intern") enthält, kann zu einer übermäßigen Anzahl von true positiven Ergebnissen führen.
Feedback zu einem Empfänger und einer Domäne Neue Onboarding-E-Mails sollten nur an E-Mail-Adressen gesendet werden, die mit "v-" beginnen, um sicherzustellen, dass sie an die richtigen Empfänger weitergeleitet werden. Vertragsnehmer-E-Mails sehen anders aus als üblich, sodass sie möglicherweise Phishing sind. Gut geschriebenes Feedback definiert klar das erwartete Empfängerformat, während Feedback, das unentschlossen ("vielleicht sein") ist und keine klaren Identifikationskriterien enthält ("sieht anders aus als üblich" ohne Angabe, was anders ist) die Erkennung unzuverlässig macht.

Beheben von Feedbackfehlern

Wenn der Agent Ihr Feedback akzeptiert, übersetzt er es in eine Lektion. Wenn es dem Agent nicht gelingt, das Feedback zu interpretieren, zeigt eine relevante Meldung an, was den Fehler verursacht hat. Sie können diese Fehler basierend auf der vom Agent zurückgegebenen Nachricht beheben.

Hier finden Sie Beispiele für Fehler, die beim Schreiben von Feedback an den Agent auftreten können, und wie Sie diese beheben können.

Fehlermeldung Empfohlenes Vorgehen
Screenshot der Fehlermeldung zu irrelevanten Informationen im feedback
Ein Teil des feedbacks kann nicht behandelt werden, da der Agent diese Art von Eingabe derzeit nicht unterstützt und daher überhaupt nicht in eine Lektion übersetzt werden konnte.		 Schreiben Sie Ihr Feedback um, und stellen Sie sicher, dass es den bewährten Methoden entspricht. Wählen Sie Feedback auswerten aus, um es erneut zu versuchen.
Screenshot der Fehlermeldung zu nicht unterstützten Features im bereitgestellten
Feedback Das Feedback enthält Eingaben, die der Agent unterstützen kann, aber es ist für die E-Mail nicht relevant und konnte daher nicht in eine umsetzbare Lektion übersetzt werden, die im Speicher gespeichert werden soll.		 Schreiben Sie Ihr Feedback um, und stellen Sie sicher, dass es die Beschreibungen der E-Mail enthält, die es unterstützen kann. Wählen Sie dann Feedback auswerten aus, um es erneut zu versuchen.
Screenshot der Fehlermeldung zu in Konflikt stehenden Daten im feedback
Das gegebene Feedback widerspricht dem vorherigen Feedback, das einer ähnlichen E-Mail gegeben wurde.		 Suchen Sie auf der Feedbackverwaltungsseite nach der Feedback-ID, um das Feedback anzuzeigen, mit dem ein Konflikt auftritt. Basierend auf Ihrer Bewertung haben Sie folgende Möglichkeiten:
– Lehnen Sie das vorherige Feedback auf der Feedbackverwaltungsseite ab. Wählen Sie anschließend Auswerten aus, um ihr Feedback erneut einzufügen.
– Schreiben Sie Ihr feedback auf eine Weise um, die nicht in Konflikt steht, und wählen Sie dann Feedback auswerten aus, damit der Agent Ihre neue Eingabe neu auswertet.

Hinweis

Sie können feedbackfehler nicht beheben. Sie können Ihr Feedback hinterlassen und Speichern auswählen, ohne das Kontrollkästchen zum Unterrichten des Agents zu aktivieren. Das Feedback wird nicht im Arbeitsspeicher des Agents gespeichert und nur auf der Feedbackverwaltungsseite für Ihre zukünftigen Nachverfolgungsklassifizierungsänderungen dokumentiert.

Sobald der Agent unterrichtet und mit Organisationswissen ausgestattet ist, beginnt er, seine Entscheidungsfunktionen zu verfeinern. Dieser interaktive Lehrprozess stellt sicher, dass sich der Agent kontinuierlich weiterentwickelt und im Laufe der Zeit immer präziser Klassifizierungen und Antworten liefert. Durch die Integration von Feedbackschleifen passt sich das System dynamisch der sich ändernden Landschaft von Organisationsprioritäten und Incidentmustern an.

Verwalten des Phishing-Selektierungs-Agents

Um die Einstellungen des Phishing-Selektierungs-Agents zu verwalten, seine Aktivität zu überprüfen und Benutzerinteraktionen mit dem Agent zu überprüfen, wählen Sie agent verwalten im Karte oberhalb der Incidentwarteschlange aus. Alternativ können Sie Einstellungen > Microsoft Defender XDR > Feedback zum Phishing-Selektierungs-Agent > auswählen.

Anzeigen der vorherigen Aktivität des Agents

So zeigen Sie alle vorherigen Ausführungen des Agents an:

  1. Wählen Sie Einstellungen > Microsoft Defender XDR > Übersicht des Phishing-Selektierungs-Agents > aus.
  2. Wählen Sie Agent-Aktivität anzeigen aus.
    Dadurch wird das Security Copilot-Portal auf einer neuen Registerkarte geöffnet. Die Registerkarte wird mit einer Tabelle geöffnet, in der alle aktuellen Aktivitäten und Details des Agents aufgeführt sind.

Anzeigen und Verwalten von Feedback an den Agent

Der Phishing-Triage-Agent verwendet Feedback, um seine Leistung im Laufe der Zeit zu verbessern. Es speichert anwendbares Feedback in seinem Gedächtnis als Lektionen. Sie können vom Benutzer übermitteltes Feedback für den Phishing-Selektierungs-Agent anzeigen und verwalten, indem Sie zur Seite Feedbackverwaltung navigieren.

Diese Seite enthält eine umfassende Liste aller Feedbacks, die an den Agent übermittelt werden. Sie können die wichtigsten Details für jedes Feedback überprüfen, einschließlich:

  • Die ursprüngliche Klassifizierung des Agents und die vom Benutzer angewendete Änderung
  • Das ursprüngliche Feedback des Benutzers beim Ändern der Klassifizierung
  • Die vom Agent generierte übersetzte Lektion (falls zutreffend)
  • Feedback status: in Verwendung, nicht in Gebrauch oder Konflikt
  • Der Benutzer, der das Feedback übermittelt hat
  • Feedbackübermittlungsdatum, Feedback-ID, Warnungs-ID und Incident-ID

Screenshot der Seite

Feedback status kann Folgendes bedeuten:

Status Beschreibung
In Verwendung Das Feedback wurde erfolgreich in eine Lektion im Arbeitsspeicher des Agents konvertiert und wird aktiv verwendet, um ähnliche Vorfälle zu selektieren und zu klassifizieren.
Konflikt: Das feedback, das in Konflikt mit zuvor bereitgestelltem Feedback zu einem ähnlichen Vorfall war. Erfahren Sie, wie Sie Feedbackfehler beheben können.
Nicht verwendet Das Feedback wurde entweder nicht in das Gedächtnis des Agents integriert oder vom Benutzer nicht für den Unterricht markiert. Abgelehnte Lektionen werden als "nicht verwendet" angezeigt und nur für die Überwachung gespeichert, nicht für das Selektieren und Klassifizieren von Vorfällen. Weitere Details finden Sie im Detailbereich.

Tipp

Feedback kann nur einzeln verwaltet werden. Die Massenverwaltung mehrerer Feedbackeinträge wird derzeit nicht unterstützt.

Um die Details eines bestimmten Feedbacks zu überprüfen, wählen Sie einen Eintrag aus der Feedbackliste aus. Überprüfen Sie im Bereich Feedback überprüfen die Details des bereitgestellten Feedbacks, die Lektion des Agents, die Klassifizierungsänderungen und andere wichtige Details. Anhand dieser Details können Sie entscheiden, ob das Feedback im Speicher des Agents beibehalten oder abgelehnt werden soll.

Screenshot des Bereichs

Hinweis

Um feedback abzulehnen, benötigen Sie die Rolle Sicherheitsadministrator in Microsoft Entra ID.

Um bestimmtes Feedback abzulehnen, öffnen Sie den Bereich Feedback überprüfen, und wählen Sie Feedback ablehnen aus. Wenn Sie dies tun, zeichnet der Agent es als abgelehnt auf und verwendet es bei zukünftigen Selektierungsentscheidungen nicht mehr.

Screenshot: Abgelehntes Feedback

Ändern der Identität und Rolle des Agents

Um die Identität und Rolle des Agents jederzeit zu verwalten, wählen Sie Systemeinstellungen >> Microsoft Defender XDR > Phishing Triage Agent > Übersicht > Identität und Rolle aus.

Auf dieser Seite können Sie die aktuelle Identität des Agents anzeigen, auf Details zum letzten Update zugreifen und bei Bedarf einen neuen Identitätstyp für den Agent auswählen. Der Prozess zum Ändern einer Identität ähnelt der anfänglichen Einrichtung der Identität und Rolle des Agents.

Screenshot der Seite

Anhalten oder Fortsetzen des Agents

Das Anhalten des Agents beendet vorübergehend alle Selektierungsaktivitäten, einschließlich aller in Bearbeitung stehenden Selektierungsaufgaben. Der Agent verarbeitet keine neuen Incidents, bis er fortgesetzt wird. Durch das Fortsetzen des Agents werden alle Aktivitäten fortgesetzt, sodass er mit der Selektierung und Klassifizierung eingehender Warnungen erneut beginnen kann.

So halten Sie den Agent an oder setzen diesen fort:

  1. Wählen Sie system settings > Microsoft Defender XDR > Phishing Triage Agent Overview (Übersicht über den Phishing-Triage-Agent>) im Defender-Portal aus.>

  2. Wählen Sie Anhalten aus, um den Agent vorübergehend zu beenden. Nach dem Anhalten wird die Schaltfläche auf Fortsetzen aktualisiert, die Sie auswählen können, wenn Sie bereit sind, die Aktivitäten des Agents erneut zu aktivieren.

    Screenshot der Seite

Entfernen des Agents

Wenn Sie den Agent dauerhaft entfernen, wird er deaktiviert. Nach dem Entfernen wird die Selektierung und Klassifizierung neuer Vorfälle beendet, und das gesamte Feedback wird gelöscht. Der Verlauf der zuvor selektierten Vorfälle wird jedoch als Referenz beibehalten.

So entfernen Sie den Agent:

  1. Wählen Sie Systemeinstellungen >> Microsoft Defender XDR > Übersicht des Phishing-Triage-Agents >aus.
  2. Wählen Sie Agent entfernen aus.

Häufig gestellte Fragen

Im Folgenden werden Antworten auf häufig gestellte Fragen zum Phishing-Triage-Agent aufgeführt. Informationen zu den Funktionen und Anforderungen des Agents finden Sie in den AbschnittenFunktionsweise des Agents und Voraussetzungen in diesem Artikel.

Wann wird der Agent ausgelöst?

Der Agent wird automatisch ausgeführt, wenn ein Benutzer einen potenziellen Phishingversuch meldet und eine Warnung erstellt wird.

Warum ist der Phishing-Selektierungs-Agent wichtig?

Phishing ist nach wie vor eine der gängigsten Methoden, mit denen Angreifer sich ersten Zugriff auf Systeme verschaffen. Während Sicherheitstools die meisten Bedrohungen effektiv blockieren, schaffen es einige immer noch, durchzurutschen, überwältigen Inboxen und lassen E-Mail-Benutzer unsicher, ob eine verdächtige E-Mail ein legitimer Phishingversuch oder harmloser Spam ist. Diese Unsicherheit führt häufig zu einem Zustrom von von Benutzern übermittelten Berichten. Daher wird die Verwaltung dieser Vorfälle für SoC-Analysten (Security Operations Center) zu einer mühsamen und sich wiederholenden Aufgabe. Jede Warnung kann bis zu 30 Minuten manuelle Selektierung erfordern, was erhebliche Anstrengungen erfordert, um eine große Anzahl von Vorfällen auf der Suche nach der tatsächlichen Bedrohung inmitten des Lärms zu durchsuchen. Diese Anstrengung überfordert Analysten, die eine begrenzte Zeit für die Erfüllung kritischer Anforderungen aufwenden müssen. Durch die Entlastung reaktiver Arbeit ermöglicht der Phishing-Selektierungs-Agent Analysten, sich auf proaktive Sicherheitsmaßnahmen zu konzentrieren und letztendlich den allgemeinen Sicherheitsstatus von Organisationen zu stärken.

Kann der Phishing-Selektierungs-Agent vertrauenswürdig sein?

Microsoft KI-Agents befolgen strenge Richtlinien für verantwortungsvolle KI und werden gründlichen Überprüfungen unterzogen, um die Einhaltung aller KI-Standards und Sicherheitsvorkehrungen sicherzustellen. Security Copilot Phishing Triage Agent ist vollständig in diese Steuerelemente integriert. Während des Setups weisen Sie dem Agent eine Identität zu und konfigurieren ihn mit den minimalen Berechtigungen, die für seinen Betrieb erforderlich sind, um sicherzustellen, dass er nicht über unnötige Berechtigungen verfügt. Alle Agent-Aktivitäten werden detailliert protokolliert, wobei der gesamte Flow jederzeit von Analysten und Administratoren überprüft werden kann. Feedback, das an den Agent bereitgestellt wird, um ihn bei der Anpassung an die Umgebung des organization zu unterstützen, wird protokolliert, im System widerspiegelt und kann von Administratoren nach Bedarf überprüft und geändert werden.

Wie unterscheidet sich der Agent von einer STANDARD-SOAR-Lösung?

Sowohl SOAR-Lösungen als auch der Phishing-Triage-Agent zielen darauf ab, Aspekte von Sicherheitsvorgängen zu automatisieren, doch ihre Ansätze unterscheiden sich grundlegend. SOAR-Tools basieren auf statischen, richtlinien- und regelbasierten Workflows, die vordefinierte Logik und manuelle Optimierung erfordern. Im Gegensatz dazu verwendet der Agent rekursives Denken, um Aufgaben selbstständig zu erledigen – Lernen, Anpassen und Verbessern im Laufe der Zeit.

Der Agent muss nicht für jede neue Situation neu programmiert werden. Innerhalb definierter Grenzen passt sie sich an die anstehenden Aufgaben an und macht sie deutlich flexibler als herkömmliche Automatisierung. Anstatt starr und reaktiv zu sein, entwickelt es sich kontinuierlich mit Ihrer Umgebung und Bedrohungslandschaft, geleitet von Analystenfeedback und basiert auf echten Daten. Der Phishing-Triage-Agent wurde speziell für Sicherheitsteams entwickelt und trägt dazu bei, Die Reaktionen zu beschleunigen und manuelle Workloads zu reduzieren, wodurch analysten sich auf strategische Initiativen konzentrieren können.

Welche Sichtbarkeit und Kontrolle habe ich über den Agent?

Microsoft stellt Tools für Organisationen bereit, mit denen Sie den Einblick und die Kontrolle über den Phishing-Triage-Agent von der Bereitstellung bis hin zum laufenden Betrieb behalten können. Der Agent hält die Rai-Standards (Responsible AI) von Microsoft für Fairness, Zuverlässigkeit, Sicherheit, Datenschutz, Sicherheit, Inklusion, Transparenz und Verantwortlichkeit ein.

Administratoren konfigurieren die Identitäts- und Zugriffsebenen des Agents während der Installation nach den Prinzipien der geringsten Rechte. Sicherheits- und IT-Teams können bestimmte Aktionen autorisieren, die Leistung überwachen und Ausgaben direkt in Microsoft Defender überprüfen. Kapazitätsnutzungs- und Datenzugriffslimits können auch von Administratoren konfiguriert werden.

Der Phishing Triage-Agent arbeitet in einer Zero Trust-Umgebung. Das System erzwingt Organisationsrichtlinien für jede Agentaktion, indem die Absicht und der Umfang der einzelnen Vorgänge ausgewertet werden. Alle Entscheidungen, Argumentationen und Aktionen des Agents werden transparent als Entscheidungsstruktur in Defender dokumentiert und in Microsoft Purview-Überwachungsprotokollen zur Rückverfolgbarkeit und Compliance aufgezeichnet.

Ich möchte den Phishing-Selektierungs-Agent ausprobieren – wie kann ich ihn in Microsoft Defender einrichten?

Zum Einrichten des Agents müssen Sie Zugriff auf Security Copilot in Microsoft Defender haben und die erforderlichen Voraussetzungen erfüllen. Wenn Sie noch kein Onboarding bei Security Copilot vorgenommen haben, lesen Sie Erste Schritte mit Security Copilot oder wenden Sie sich an Ihren Microsoft-Vertreter. Nach dem Onboarding in Security Copilot kann es einige Zeit dauern, bis die Agent-Setupoption im Microsoft Defender-Portal verfügbar ist.

Ich habe den Phishing-Selektierungs-Agent ausprobiert – wie kann ich die SCU-Kapazität schätzen, die für den Agent in meinem organization benötigt wird?

Nach dem Setup beginnt der Agent automatisch mit der Nutzung von SCUs, die für den Arbeitsbereich bereitgestellt wurden, wenn der Testzeitraum endet.

Es ist wichtig, sicherzustellen, dass Ihr organization über ausreichende SCUs für einen fehlerfreien Agent-Betrieb verfügt. Informationen zum Bewerten der SCU-Nutzung und des zukünftigen Planens der Kapazität finden Sie unter Dashboard Nutzungsüberwachung im Security Copilot-Portal, und überprüfen Sie, ob Sie im Rahmen des Microsoft Security Copilot-Einschlussmodells berechtigt sind. Die Dashboard zeigt Folgendes an:

  • Kosten pro verarbeiteter E-Mail
  • Kapazitätsverbrauch im Zeitverlauf

Sie können die Dashboard Daten auch nach Excel exportieren, um eine detailliertere Analyse durchzuführen und nur nach Agent-Vorgängen zu filtern.

Nachdem Sie Ihre SCU-Nutzungsanforderungen bewertet haben, aktualisieren Sie die SCU-Kapazität für Ihre organization. Weitere Informationen zum Verwalten von SCUs finden Sie unter Verwalten der Nutzung von Sicherheitscomputeeinheiten in Security Copilot.

Verwandte Inhalte

  • Last updated on