Udostępnij za pośrednictwem

Security Copilot w Microsoft Intune

  • Artykuł

Microsoft Security Copilot to oparta na chmurze platforma sztucznej inteligencji, która zapewnia środowisko copilot języka naturalnego. Może pomóc specjalistom ds. bezpieczeństwa w różnych scenariuszach, takich jak reagowanie na incydenty, wykrywanie zagrożeń i gromadzenie danych wywiadowczych. Aby uzyskać więcej informacji o tym, co może zrobić, przejdź do artykułu Co to jest usługa Copilot dla rozwiązań zabezpieczających firmy Microsoft?.

Przed rozpoczęciem

Jeśli dopiero zaczynasz Security Copilot, zapoznaj się z nim, czytając następujące artykuły:

integracja Security Copilot w Microsoft Intune

Jeśli używasz Microsoft Intune w tej samej dzierżawie co Security Copilot, możesz użyć Security Copilot, aby uzyskać szczegółowe informacje o danych Intune.

Istnieją Intune możliwości wbudowane w Security Copilot i możesz użyć monitów, aby uzyskać więcej informacji, w tym:

  • Informacje o urządzeniach, aplikacjach, zasadach konfiguracji & zgodności i przypisaniach zasad zarządzanych w Intune
  • Atrybuty urządzenia zarządzanego i szczegóły sprzętu
  • Problem z określonymi urządzeniami i porównanie działającego & urządzenia niedziałanego

W tym artykule przedstawiono sposób uzyskiwania dostępu do danych Microsoft Intune w Security Copilot i przedstawiono przykładowe monity.

Najważniejsze cechy

Istnieją trzy obszary do użycia copilot w Intune:

Fokus administratora zabezpieczeń

Security Copilot ma centrum operacji zabezpieczeń (SOC) lub administratora zabezpieczeń. Jeśli więc jesteś analitykiem SOC lub administratorem zabezpieczeń, możesz użyć Security Copilot, aby uzyskać stan zabezpieczeń urządzeń, którymi zarządza Intune.

Na przykład istnieje użytkownik lub urządzenie, które wykazuje oznaki złośliwej intencji. Ponadto zauważasz, że niektóre zdarzenia występują po złośliwym zamiarze, takim jak nieznane urządzenie rejestrujące się w Intune. Być może ktoś próbuje użyć skradzionych poświadczeń, aby zarejestrować się i uzyskać dostęp. Musisz uzyskać więcej informacji.

W Security Copilot możesz użyć funkcji Intune, aby uzyskać więcej informacji, takich jak:

  • Zapytaj o określone urządzenie, pobierz wszystkie właściwości tego urządzenia, w tym nazwę urządzenia, identyfikator urządzenia i producenta urządzenia.
  • Określ, kiedy urządzenie jest zarejestrowane w Intune.
  • Znajdowanie podstawowego użytkownika urządzenia
  • Określ typ urządzenia, takiego jak laptop lub telefon komórkowy.
  • Sprawdź stan zgodności, zwłaszcza jeśli urządzenie jest niezgodne i dlaczego jest niezgodne.

W Microsoft Defender możesz użyć tych informacji, w tym typu urządzenia, aby określić kolejne kroki. Na przykład możesz podjąć różne akcje w zależności od typu urządzenia (laptop a telefon komórkowy a tablet). Security Copilot można również podać link do urządzenia w Microsoft Defender, dzięki czemu można uruchamiać dowolne akcje usługi Defender.

Co musisz wiedzieć

Włączanie integracji Security Copilot w Intune

Aby korzystać z możliwości Intune w Security Copilot, włącz wtyczkę Intune.

  1. Przejdź do Security Copilot i zaloguj się przy użyciu poświadczeń.

  2. Na pasku monitu wybierz pozycję Źródła (prawy róg).

    Zrzut ekranu przedstawiający dostępne, włączone i wyłączone źródła wtyczki w Microsoft Security Copilot.

  3. W obszarze Zarządzanie źródłami włącz Microsoft Intune:

    Zrzut ekranu przedstawiający źródło wtyczki Microsoft Intune jest włączone w Security Copilot.

    Uwaga

    Niektóre role mogą włączać lub wyłączać wtyczki. Aby uzyskać więcej informacji, zobacz Zarządzanie wtyczkami w funkcji Copilot rozwiązań zabezpieczających firmy Microsoft.

Korzystanie z wbudowanych funkcji

W Security Copilot istnieją wbudowane funkcje systemowe, które są przydatne dla administratorów Intune. Aby zapoznać się z przewodnikiem po Security Copilot, przejdź do pozycji Nawigowanie Microsoft Security Copilot.

W tej sekcji opisano niektóre funkcje, które są przydatne dla administratorów Intune.

Możliwości systemowe

Możliwości to wbudowane funkcje, które mogą pobierać dane z różnych wtyczek, które można włączyć, w tym Microsoft Intune. Gdy używasz monitu, aby zapytać o dane Intune, takie jak aplikacje przypisane do użytkownika lub urządzenia, monity korzystają z tych Intune możliwości.

Aby wyświetlić listę Intune wbudowanych funkcji systemowych dla Intune, wykonaj następujące kroki:

  1. Na pasku wiersza polecenia portalu Security Copilot wybierz ikonę > Monity copilot Zobacz wszystkie możliwości systemu.

    Zrzut ekranu przedstawiający sposób wybierania ikony monitów i możliwości systemowych w Security Copilot.

  2. W sekcji Microsoft Intune znajduje się lista wszystkich wbudowanych możliwości Intune. Możesz wybrać dowolną z możliwości i uzyskać więcej informacji na temat tej możliwości.

Sesji

W przypadku korzystania z monitów w centrum administracyjnym Microsoft Intune lub w portalu Security Copilot sesje są zapisywane. Aby wyświetlić zapisane sesje, wykonaj następujące kroki:

  1. W portalu Security Copilot przejdź do menu w lewym > górnym rogu Moje sesje.

  2. Po wybraniu sesji zostaną wyświetlone poprzednie monity i wyniki. Każda sesja ma również identyfikator sesji w adresie URL. Możesz udostępnić ten identyfikator sesji innym osobom, aby przejrzeć tę samą sesję monitu.

    Na przykład identyfikator sesji jest podobny do https://securitycopilot.microsoft.com/sessions/023d1c61-f3c7-4702-8924-075a1058900d.

Przykładowe monity Intune

Możesz utworzyć własne monity w Security Copilot, aby uzyskać informacje o danych Intune. W tej sekcji wymieniono kilka pomysłów i przykładów.

Przed rozpoczęciem

  • Twoje polecenia muszą być jasne i konkretne. Lepsze wyniki mogą być uzyskiwane, jeśli w monitach uwzględnisz określone identyfikatory lub nazwy urządzeń, nazwy aplikacji lub nazwy zasad.

    Może również pomóc w dodaniu usługi Intune do polecenia, na przykład:

    • Według Intune, ile urządzeń zostało zarejestrowanych w tym tygodniu?
    • Opowiedz mi o Intune urządzeniach (nazwa użytkownika).

  • Poeksperymentuj z różnymi poleceniami i odmianami, aby zobaczyć, co najlepiej sprawdza się w Twoim przypadku. Modele sztucznej inteligencji czatu różnią się, więc iteruj i uściślaj polecenia na podstawie otrzymanych wyników.

    Możesz również zapisać monity w wierszu polecenia do użycia w przyszłości. Aby uzyskać więcej informacji, zobacz:

Ogólne informacje o danych usługi Intune

Uzyskaj ogólne informacje o danych usługi Intune, takie jak liczba urządzeń, wdrożone aplikacje, wersje platformy urządzeń i nie tylko.

Przykładowe polecenia:

  • Jakie aplikacje są dodawane do usługi Intune?
  • Jakie aplikacje usługi Intune są przypisane najczęściej?
  • Ile urządzeń zostało zarejestrowanych w usłudze Intune w ciągu ostatnich 24 godzin?
  • Opowiedz mi o urządzeniach usługi Intune dla Dominika Michalskiego.

Cele zasad

Uzyskaj szczegółowe informacje na temat elementów docelowych zasad, takich jak grupy, do których przypisano określoną aplikację lub ilu użytkowników ma przypisaną określoną aplikację.

Przykładowe polecenia:

  • Do ilu użytkowników jest przypisana aplikacja ContosoApp?
  • Do których grup jest przypisana aplikacja ContosoApp?
  • Ile aplikacji jest przypisanych do identyfikatora urządzenia Wprowadź identyfikator urządzenia w usłudze Intune?
  • Dlaczego zasady "Zezwalaj aplikacji ze Sklepu Microsoft na automatyczną aktualizację" mają zastosowanie do rozwiązania DeviceA?
  • Informacje o urządzeniach usługi Intune dla użytkownika UserA.
  • Dlaczego usługa PolicyA jest stosowana w usłudze DeviceB?

Określone urządzenia

Uzyskaj informacje o określonym urządzeniu, takie jak członkostwo w grupach i przypisane do niego aplikacje.

Przykładowe polecenia:

  • Jakie urządzenia są używane przez UserA@contoso.comprogram ?
  • W jakich grupach znajduje się urządzenie DeviceA?
  • Opowiedz mi o urządzeniu DeviceA.
  • Kto jest użytkownikiem podstawowym urządzenia DeviceA?
  • Czy aplikacja ContosoApp jest zainstalowana na urządzeniu DeviceA?
  • Pokaż odnalezione aplikacje w usłudze DeviceA.

Podobieństwa i różnice

Znajdź podobieństwa i różnice między dwoma urządzeniami, takie jak zasady zgodności, sprzęt i konfiguracje urządzeń przypisane do obu urządzeń.

Przykładowe polecenia:

  • Jaka jest różnica w konfiguracji sprzętu między urządzeniami DeviceA i DeviceB?
  • Jakie są podobieństwa w zasadach zgodności między urządzeniami DeviceA i DeviceB?
  • Jaka jest różnica w profilu konfiguracji urządzenia między urządzeniami DeviceA i DeviceB?
  • Porównaj zainstalowane aplikacje na urządzeniach DeviceA i DeviceB.

Przekazywanie opinii

Twoja opinia na temat integracji usługi Intune z funkcją Copilot rozwiązań zabezpieczających ułatwia opracowywanie aplikacji. Aby przekazać opinię, w Security Copilot użyj przycisków opinii w dolnej części każdego ukończonego monitu.

Zrzut ekranu przedstawiający sposób przesyłania opinii na temat wyników monitu w Security Copilot.

Jeśli to możliwe, a wynik nie jest oczekiwany, napisz kilka słów wyjaśniających, co można zrobić, aby poprawić wynik. Jeśli wprowadzono polecenia specyficzne dla usługi Intune, a wyniki nie są powiązane z usługą Intune, dołącz te informacje.

Prywatność i zabezpieczenia danych w funkcji Copilot rozwiązań zabezpieczających

Aby uzyskać więcej informacji na temat prywatności danych w funkcji Copilot rozwiązań zabezpieczających, przejdź do strony Prywatność i zabezpieczenia danych w aplikacji Copilot rozwiązań zabezpieczających firmy Microsoft.

W przypadku interakcji z Security Copilot w celu uzyskania danych Intune Security Copilot pobiera te dane z Intune. Monity, pobierane dane usługi Intune oraz dane wyjściowe wyświetlane w wynikach polecenia są przetwarzane i przechowywane w usłudze Copilot rozwiązań zabezpieczających.

Jeśli używasz Security Copilot do pobierania danych Intune, Security Copilot ma również dostęp do danych i uprawnień zdefiniowanych przez role RBAC i Intune przypisane tagi zakresu.