Поделиться через

Security Copilot в Microsoft Intune

  • Статья

Microsoft Security Copilot — это облачная платформа ИИ, которая обеспечивает взаимодействие с Copilot на естественном языке. Она может помочь специалистам по безопасности в различных сценариях, таких как реагирование на инциденты, поиск угроз и сбор разведывательной информации. Дополнительные сведения о его возможностях см. в разделе Что такое Microsoft Security Copilot? .

Перед началом работы

Если вы не знакомы с Security Copilot, ознакомьтесь с ним, прочитав следующие статьи:

интеграция Security Copilot в Microsoft Intune

Если вы используете Microsoft Intune в том же клиенте, что и Security Copilot, вы можете использовать Security Copilot для получения аналитических сведений о данных Intune.

Существуют Intune возможности, встроенные в Security Copilot, и вы можете использовать запросы для получения дополнительных сведений, в том числе:

  • Сведения об устройствах, приложениях, политиках конфигурации соответствия & и назначениях политик, управляемых в Intune
  • Атрибуты управляемого устройства и сведения об оборудовании
  • Проблема с определенными устройствами и сравнение рабочего & нерабочего устройства

В этой статье показано, как получить доступ к данным Microsoft Intune в Security Copilot и приведены примеры запросов.

Основные возможности

Существует три области использования Copilot в Intune:

Фокус администратора безопасности

Security Copilot имеет центр управления безопасностью (SOC) или центр управления безопасностью. Таким образом, если вы являетесь аналитиком SOC или администратором безопасности, вы можете использовать Security Copilot, чтобы получить состояние безопасности устройств, которыми Intune управляет.

Например, есть пользователь или устройство, которое показывает признаки злонамеренного намерения. Кроме того, вы заметили, что после злонамеренного намерения происходят некоторые события, например неизвестное устройство, зарегистрированное в Intune. Может быть, кто-то пытается использовать украденные учетные данные для регистрации и получения доступа. Вам нужно получить дополнительные сведения.

В Security Copilot вы можете использовать возможности Intune для получения дополнительных сведений, например:

  • Спросите о конкретном устройстве, получите все свойства этого устройства, включая имя устройства, идентификатор устройства и изготовитель устройства.
  • Определите, когда устройство зарегистрировано в Intune.
  • Поиск основного пользователя устройства
  • Определите тип устройства, например ноутбук или мобильный телефон.
  • Проверьте состояние соответствия требованиям, особенно если устройство не соответствует требованиям и почему оно не соответствует требованиям.

В Microsoft Defender вы можете использовать эти сведения, включая тип устройства, для определения дальнейших действий. Например, вы можете выполнять различные действия в зависимости от типа устройства (ноутбук, мобильный телефон и планшет). Security Copilot также может предоставить ссылку на устройство в Microsoft Defender, чтобы вы могли выполнять любые действия Defender.

Что необходимо знать

Включение интеграции Security Copilot в Intune

Чтобы использовать возможности Intune в Security Copilot, включите подключаемый модуль Intune.

  1. Перейдите в Security Copilot и выполните вход с помощью учетных данных.

  2. На панели запросов выберите Источники (правый угол).

    Снимок экрана: источники подключаемых модулей, доступные, включенные и отключенные в Microsoft Security Copilot.

  3. В разделе Управление источниками включите Microsoft Intune:

    Снимок экрана: источник Microsoft Intune подключаемых модулей включен в Security Copilot.

    Примечание.

    Некоторые роли могут включать или отключать подключаемые модули. Дополнительные сведения см. в разделе Управление подключаемыми модулями в Microsoft Security Copilot .

Использование встроенных функций

В Security Copilot есть встроенные системные функции, которые полезны для администраторов Intune. Пошаговое руководство по Security Copilot см. в статье Навигация по Microsoft Security Copilot.

В этом разделе описываются некоторые функции, полезные для администраторов Intune.

Возможности системы

Возможности — это встроенные функции, которые могут получать данные из разных подключаемых модулей, которые вы включаете, включая Microsoft Intune. Когда вы используете запрос на запрос о данных Intune, например приложения, назначенные пользователю или устройству, ваши запросы используют эти возможности Intune.

Чтобы просмотреть список Intune встроенных системных возможностей для Intune, выполните следующие действия.

  1. На панели командной строки портала Security Copilot выберите значок > Запросы Copilot Просмотреть все возможности системы.

    Снимок экрана: выбор значка

  2. В разделе Microsoft Intune приведен список всех встроенных возможностей для Intune. Вы можете выбрать любую из возможностей и получить дополнительные сведения о ней.

Сеансы

При использовании запросов в Центре администрирования Microsoft Intune или на портале Security Copilot сеансы сохраняются. Чтобы просмотреть сохраненные сеансы, выполните следующие действия.

  1. На портале Security Copilot перейдите в меню в левом > верхнем углу Мои сеансы.

  2. При выборе сеанса отображаются предыдущие запросы и результаты. Каждый сеанс также имеет идентификатор сеанса в URL-адресе. Вы можете поделиться этим идентификатором сеанса с другими пользователями, чтобы просмотреть тот же сеанс запроса.

    Например, идентификатор сеанса — это что-то вроде https://securitycopilot.microsoft.com/sessions/023d1c61-f3c7-4702-8924-075a1058900d.

Примеры запросов Intune

Вы можете создать собственные запросы в Security Copilot, чтобы получить сведения о данных Intune. В этом разделе перечислены некоторые идеи и примеры.

Подготовка к работе

  • Будьте ясны и конкретны в своих подсказках. Вы можете получить лучшие результаты, если включить в запросы определенные идентификаторы устройств или имена, имена приложений или политики.

    Также может быть полезно добавить Intune в запрос, например:

    • Согласно Intune, сколько устройств было зарегистрировано на этой неделе?
    • Расскажите о Intune устройствах для (имя пользователя).

  • Поэкспериментируйте с различными подсказками и вариантами, чтобы увидеть, что лучше всего подходит для вашего случая использования. Модели искусственного интеллекта в чате различаются, поэтому повторяйте и уточняйте подсказки на основе полученных результатов.

    Вы также можете сохранить запросы в сборнике подсказок для использования в будущем. Дополнительные сведения см. в статьях:

Общая информация о ваших данных Intune

Получите общую информацию о ваших данных Intune, например количество устройств, развернутых приложений, версии платформ ваших устройств и т. д.

Примеры запросов :

  • Какие приложения добавляются в Intune?
  • Каким приложениям Intune назначаются чаще всего?
  • Сколько устройств было зарегистрировано в Intune за последние 24 часа?
  • Расскажите мне об устройствах Intune для Джона Смита.

Цели политики

Получите подробную информацию о целях политики , например о группах, которым назначено определенное приложение, или о количестве пользователей, которым назначено определенное приложение.

Примеры запросов :

  • Скольким пользователям назначено ContosoApp?
  • К каким группам относится ContosoApp?
  • Сколько приложений назначено идентификатору устройства . Введите идентификатор устройства в Intune?
  • Почему к Устройству А применяется политика "Разрешить автоматическое обновление приложений Microsoft Store"?
  • Расскажите мне об устройствах Intune для пользователя UserA.
  • Почему PolicyA применяется к DeviceB?

Определенные устройства

Получите информацию о конкретном устройстве , например о его членстве в группах и назначенных ему приложениях.

Примеры запросов :

  • Какие устройства используются UserA@contoso.com?
  • В каких группах входит DeviceA?
  • Расскажи мне о DeviceA.
  • Кто является основным пользователем DeviceA?
  • Установлено ли ContosoApp на DeviceA?
  • Показать обнаруженные приложения на Устройстве А.

Сходства и различия

Узнайте о сходствах и различиях между двумя устройствами, например о политике соответствия, оборудовании и конфигурации устройств, назначенных обоим устройствам.

Примеры запросов :

  • В чем разница в конфигурации оборудования между устройствами DeviceA и DeviceB?
  • В чем сходство политик соответствия между устройствами DeviceA и DeviceB?
  • В чем разница в профиле конфигурации устройства между устройствами DeviceA и DeviceB?
  • Сравните установленные приложения на DeviceA и DeviceB.

Предоставление отзывов

Ваш отзыв об интеграции Intune с Security Copilot помогает в разработке. Чтобы предоставить отзыв, в Security Copilot используйте кнопки обратной связи в нижней части каждого завершенного запроса.

Снимок экрана, на котором показано, как отправить отзыв о результатах запроса в Security Copilot.

По возможности и когда результат не является ожидаемым, напишите несколько слов, объясняя, что можно сделать для улучшения результата. Если вы ввели подсказки, специфичные для Intune, и результаты не связаны с Intune, включите эту информацию.

Конфиденциальность и безопасность данных в Security Copilot

Дополнительные сведения о конфиденциальности данных в Security Copilot см. в разделе Конфиденциальность и безопасность данных в Microsoft Security Copilot .

При взаимодействии с Security Copilot для получения Intune данных Security Copilot извлекает эти данные из Intune. Запросы, полученные данные Intune и выходные данные, отображаемые в результатах запросов, обрабатываются и сохраняются в службе Security Copilot.

При использовании Security Copilot для получения Intune данных Security Copilot также имеет доступ к данным и разрешениям, определенным ролями RBAC и Intune область тегами, назначенными вам.