Condividi tramite

Security Copilot in Microsoft Intune

  • Articolo

Microsoft Security Copilot è una piattaforma di intelligenza artificiale basata sul cloud che offre un'esperienza Copilot in linguaggio naturale. Può aiutare a supportare i professionisti della sicurezza in scenari diversi, ad esempio la risposta agli eventi imprevisti, la ricerca delle minacce e la raccolta di informazioni. Per altre informazioni sulle operazioni che può eseguire, vedere Che cos'è Microsoft Security Copilot?

Sapere prima di iniziare

Se non si ha familiarità con Security Copilot, è consigliabile acquisire familiarità con questo articolo leggendo questi articoli:

integrazione Security Copilot in Microsoft Intune

Se si usa Microsoft Intune nello stesso tenant di Security Copilot, è possibile usare Security Copilot per ottenere informazioni dettagliate sui dati Intune.

Esistono funzionalità Intune integrate in Security Copilot ed è possibile usare i prompt per ottenere altre informazioni, tra cui:

  • Informazioni su dispositivi, app, criteri di configurazione & conformità e assegnazioni di criteri gestite in Intune
  • Attributi del dispositivo gestito e dettagli hardware
  • Problema con dispositivi specifici e confronto di un dispositivo funzionante & non funzionante

Questo articolo illustra come accedere ai dati Microsoft Intune in Security Copilot e include richieste di esempio.

Funzionalità principali

Sono disponibili tre aree per l'uso di Copilot in Intune:

Stato attivo dell'amministratore della sicurezza

Security Copilot dispone di uno stato attivo del Centro operazioni di sicurezza (SOC) o dell'amministratore della sicurezza. Pertanto, se si è un analista soc o un amministratore della sicurezza, è possibile usare Security Copilot per ottenere il comportamento di sicurezza dei dispositivi gestiti Intune.

Ad esempio, è presente un utente o un dispositivo che mostra segni di finalità dannose. Si noterà inoltre che alcuni eventi si verificano dopo la finalità dannosa, ad esempio un dispositivo sconosciuto che si registra in Intune. Forse qualcuno sta provando a usare le credenziali rubate per registrare e ottenere l'accesso. È necessario ottenere altre informazioni.

In Security Copilot è possibile usare le funzionalità di Intune per ottenere altre informazioni, ad esempio:

  • Chiedere informazioni su un dispositivo specifico, ottenere tutte le proprietà relative al dispositivo, inclusi il nome del dispositivo, l'ID dispositivo e il produttore del dispositivo.
  • Determinare quando il dispositivo è registrato in Intune.
  • Trovare l'utente principale di un dispositivo
  • Determinare il tipo di dispositivo, ad esempio un portatile o un telefono cellulare.
  • Controllare lo stato di conformità, soprattutto se un dispositivo non è conforme e perché non è conforme.

In Microsoft Defender è possibile usare queste informazioni, incluso il tipo di dispositivo, per determinare i passaggi successivi. Ad esempio, è possibile eseguire azioni diverse in base al tipo di dispositivo (portatile e telefono cellulare rispetto al tablet). Security Copilot può anche fornire un collegamento al dispositivo in Microsoft Defender, in modo da poter eseguire qualsiasi azione di Defender.

Informazioni importanti

Abilitare l'integrazione Security Copilot in Intune

Per usare le funzionalità di Intune in Security Copilot, abilitare il plug-in Intune.

  1. Passare a Security Copilot e accedere con le credenziali.

  2. Nella barra dei prompt selezionare Origini (angolo destro).

    Screenshot che mostra le origini del plug-in disponibili, abilitate e disabilitate in Microsoft Security Copilot.

  3. In Gestisci origini attivare Microsoft Intune:

    Screenshot che mostra l'origine del plug-in Microsoft Intune abilitata in Security Copilot.

    Nota

    Alcuni ruoli possono abilitare o disabilitare i plug-in. Per altre informazioni, vedere Gestire i plug-in in Microsoft Security Copilot.

Usare le funzionalità predefinite

In Security Copilot sono disponibili funzionalità di sistema predefinite utili per gli amministratori Intune. Per una procedura dettagliata di Security Copilot, vedere Esplorazione Microsoft Security Copilot.

Questa sezione descrive alcune delle funzionalità utili per gli amministratori Intune.

Funzionalità di sistema

Le funzionalità sono funzionalità predefinite che possono ottenere dati dai diversi plug-in abilitati, tra cui Microsoft Intune. Quando si usa una richiesta per chiedere informazioni sui dati Intune, ad esempio le app assegnate a un utente o i dettagli del dispositivo, i prompt usano queste funzionalità di Intune.

Per visualizzare l'elenco di Intune funzionalità di sistema predefinite per Intune, seguire questa procedura:

  1. Nella barra dei prompt del portale Security Copilot selezionare l'icona > Prompt copilot Vedere tutte le funzionalità di sistema.

    Screenshot che mostra come selezionare l'icona dei prompt e le funzionalità di sistema in Security Copilot.

  2. Nella sezione Microsoft Intune è disponibile un elenco di tutte le funzionalità predefinite per Intune. È possibile selezionare una qualsiasi delle funzionalità e ottenere altre informazioni su tale funzionalità.

Sessioni

Quando si usano richieste nell'interfaccia di amministrazione Microsoft Intune o nel portale di Security Copilot, le sessioni vengono salvate. Per visualizzare le sessioni salvate, seguire questa procedura:

  1. Nel portale di Security Copilot passare al menu in alto a sinistra >Sessioni personali.

  2. Quando si seleziona una sessione, vengono visualizzati i prompt e i risultati precedenti. Ogni sessione ha anche un ID sessione nell'URL. È possibile condividere questo ID sessione con altri utenti per esaminare la stessa sessione di richiesta.

    Ad esempio, l'ID sessione è simile https://securitycopilot.microsoft.com/sessions/023d1c61-f3c7-4702-8924-075a1058900da .

Richieste di Intune di esempio

È possibile creare prompt personalizzati in Security Copilot per ottenere informazioni sui dati Intune. Questa sezione elenca alcune idee ed esempi.

Prima di iniziare

  • Essere chiari e specifici con le richieste. È possibile ottenere risultati migliori se si includono ID dispositivo o nomi specifici, nomi di app o nomi di criteri nei prompt.

    Potrebbe anche essere utile aggiungere Intune al prompt, ad esempio:

    • Secondo Intune, quanti dispositivi sono stati registrati questa settimana?
    • Informazioni sui dispositivi Intune per (nome utente).

  • Sperimentare diverse richieste e varianti per vedere cosa funziona meglio per il caso d'uso. I modelli di intelligenza artificiale della chat variano, quindi è possibile eseguire l'iterazione e perfezionare le richieste in base ai risultati ricevuti.

    È anche possibile salvare le richieste in un promptbook per un uso futuro. Per altre informazioni, vedere:

Informazioni generali sui dati di Intune

Ottenere informazioni generali sui dati di Intune, ad esempio il numero di dispositivi, le app distribuite, le versioni della piattaforma dei dispositivi e altro ancora.

Richieste di esempio:

  • Quali app vengono aggiunte a Intune?
  • Quali app di Intune vengono assegnate di più?
  • Quanti dispositivi sono stati registrati in Intune nelle ultime 24 ore?
  • Informazioni sui dispositivi Intune per Jon Smith.

Destinazioni dei criteri

Ottenere informazioni dettagliate sulle destinazioni dei criteri, ad esempio i gruppi a cui è assegnata un'app specifica o il numero di utenti a cui è assegnata un'app specifica.

Richieste di esempio:

  • A quanti utenti viene assegnata ContosoApp?
  • A quali gruppi sono assegnati ContosoApp?
  • Quante app sono assegnate all'ID dispositivo Immettere l'ID dispositivo in Intune?
  • Perché i criteri "Consenti l'aggiornamento automatico dell'app di Microsoft Store" si applicano a DeviceA?
  • Informazioni sui dispositivi Intune per l'utente UserA.
  • Perché PolicyA viene applicato in DeviceB?

Dispositivi specifici

Ottenere informazioni su un dispositivo specifico, ad esempio le appartenenze ai gruppi e le app ad esso assegnate.

Richieste di esempio:

  • Quali dispositivi vengono usati da UserA@contoso.com?
  • In quali gruppi si trova DeviceA?
  • Informazioni su DeviceA.
  • Chi è l'utente principale per DeviceA?
  • ContosoApp è installato in DeviceA?
  • Mostra le app individuate in DeviceA.

Analogie e differenze

Ottenere le analogie e le differenze tra due dispositivi, ad esempio i criteri di conformità, l'hardware e le configurazioni dei dispositivi assegnati a entrambi i dispositivi.

Richieste di esempio:

  • Qual è la differenza di configurazione hardware tra i dispositivi DeviceA e DeviceB?
  • Quali sono le analogie nei criteri di conformità tra i dispositivi DeviceA e DeviceB?
  • Qual è la differenza nel profilo di configurazione del dispositivo tra i dispositivi DeviceA e DeviceB?
  • Confrontare le applicazioni installate in DeviceA e DeviceB.

Inviare feedback

Il feedback sull'integrazione di Intune con Security Copilot è utile per lo sviluppo. Per fornire commenti e suggerimenti, in Security Copilot usare i pulsanti di feedback nella parte inferiore di ogni richiesta completata.

Screenshot che mostra come inviare commenti e suggerimenti sui risultati della richiesta in Security Copilot.

Quando possibile, e quando il risultato non è quello previsto, scrivere alcune parole che spiegano cosa è possibile fare per migliorare il risultato. Se sono state immesse richieste specifiche di Intune e i risultati non sono correlati a Intune, includere tali informazioni.

Privacy e sicurezza dei dati in Security Copilot

Per altre informazioni sulla privacy dei dati in Security Copilot, vedere Privacy e sicurezza dei dati in Microsoft Security Copilot.

Quando si interagisce con il Security Copilot per ottenere i dati Intune, il Security Copilot esegue il pull dei dati da Intune. I prompt, i dati di Intune recuperati e l'output visualizzato nei risultati della richiesta vengono elaborati e archiviati all'interno del servizio Security Copilot.

Quando si usa Security Copilot per ottenere Intune dati, Security Copilot ha anche accesso ai dati e alle autorizzazioni definiti dai ruoli controllo degli accessi in base al ruolo e Intune tag di ambito assegnati all'utente.