Security Copilot i Microsoft Intune

Microsoft Security Copilot är en molnbaserad AI-plattform som ger en copilot-upplevelse med naturligt språk. Det kan hjälpa säkerhetspersonal i olika scenarier, till exempel svara på incidenter, hotjakt och insamling av information. Mer information om vad den kan göra finns i Vad är Microsoft Security Copilot?

Ha kunskap innan du börjar

Om du inte har Security Copilot bör du bekanta dig med det genom att läsa följande artiklar:

• Vad är Microsoft Security Copilot?
• Microsoft Security Copilot upplevelser
• Kom igång med Microsoft Security Copilot
• Förstå autentisering i Microsoft Security Copilot
• Fråga i Microsoft Security Copilot

Security Copilot integrering i Microsoft Intune

Om du använder Microsoft Intune i samma klientorganisation som Security Copilot kan du använda Security Copilot för att få insikter om dina Intune data.

Det finns Intune funktioner som är inbyggda i Security Copilot, och du kan använda prompter för att få mer information, inklusive:

• Information om dina enheter, appar, efterlevnad & konfigurationsprinciper och principtilldelningar som hanteras i Intune
• Attribut för hanterade enheter och maskinvaruinformation
• Problem med specifika enheter och jämför en fungerande & icke-fungerande enhet

Den här artikeln visar hur du kommer åt dina Microsoft Intune data i Security Copilot och innehåller exempelfrågor.

Nyckelfunktioner

Det finns tre områden att använda Copilot i Intune:

• Princip- och inställningshantering
• Enhetsinformation och felsökning
• Enhetsförfrågan

Fokus för säkerhetsadministratör

Security Copilot har fokus på Security Operations Center (SOC) eller säkerhetsadministratör. Så om du är SOC-analytiker eller säkerhetsadministratör kan du använda Security Copilot för att få säkerhetsstatus för enheter som Intune hanterar.

Det finns till exempel en användare eller enhet som visar tecken på skadlig avsikt. Du märker också att vissa händelser inträffar efter den skadliga avsikten, till exempel en okänd enhet som registreras i Intune. Kanske försöker någon använda stulna autentiseringsuppgifter för att registrera sig och få åtkomst. Du måste få mer information.

I Security Copilot kan du använda funktionerna Intune för att få mer information, till exempel:

• Fråga om en specifik enhet, hämta alla egenskaper för enheten, inklusive enhetsnamn, enhets-ID och enhetstillverkare.
• Ta reda på när enheten har registrerats i Intune.
• Hitta den primära användaren av en enhet
• Fastställ typen av enhet, till exempel en bärbar dator eller mobiltelefon.
• Kontrollera efterlevnadsstatusen, särskilt om en enhet är inkompatibel och varför den inte är kompatibel.

I Microsoft Defender kan du använda den här informationen, inklusive enhetstypen, för att fastställa nästa steg. Du kan till exempel vidta olika åtgärder baserat på typen av enhet (bärbar dator jämfört med mobiltelefon eller surfplatta). Security Copilot kan också ge dig en länk till enheten i Microsoft Defender, så att du kan köra alla Defender-åtgärder.

Vad du behöver veta

• När en administratör skickar en uppmaning kan Copilot bara komma åt de data som administratören har behörighet till, vilket inkluderar RBAC-rollerna och Intune omfångstaggar som tilldelats dem.

  Om du vill att dina administratörer ska komma åt alla dina Intune data i Security Copilot använder du följande roll i Microsoft Entra ID:

  • Intune -tjänstadministratör (kallas även Intune-administratör)

  Mer information om roller och autentisering finns i:

  • Roller och autentisering i Microsoft Security Copilot
  • Rollbaserad åtkomstkontroll (RBAC) i Intune
  • Använda RBAC och omfångstaggar för distribuerad IT i Intune

• Du kan komma åt dina Intune data i Security Copilot-portalen och Copilot i Intune administrationscenter. Mer information om Copilot i Intune jämfört med Security Copilot och andra vanliga frågor finns i Microsoft Copilot i vanliga frågor och svar om Intune.

Aktivera Security Copilot-integrering i Intune

Om du vill använda Intune-funktionerna i Security Copilot aktiverar du plugin-programmet Intune.

1. Gå till Security Copilot och logga in med dina autentiseringsuppgifter.

2. I promptfältet väljer du Källor (höger hörn).

   

3. I Hantera källor aktiverar du Microsoft Intune:

   

   Obs!

   Vissa roller kan aktivera eller inaktivera plugin-program. Mer information finns i Hantera plugin-program i Microsoft Security Copilot.

Använda de inbyggda funktionerna

I Security Copilot finns det inbyggda systemfunktioner som är användbara för Intune administratörer. En genomgång av Security Copilot finns i Navigera Microsoft Security Copilot.

I det här avsnittet beskrivs några av de funktioner som är användbara för Intune administratörer.

Systemfunktioner

Funktioner är inbyggda funktioner som kan hämta data från de olika plugin-program som du aktiverar, inklusive Microsoft Intune. När du använder en fråga för att fråga något om dina Intune data, till exempel appar som tilldelats till en användare eller enhetsinformation, använder dina uppmaningar dessa Intune funktioner.

Använd följande steg för att visa listan över Intune inbyggda systemfunktioner för Intune:

1. I Security Copilot portalens promptfält väljer du ikonen > Copilot-prompter Se alla systemfunktioner.

   

2. I avsnittet Microsoft Intune finns en lista över alla inbyggda funktioner för Intune. Du kan välja någon av funktionerna och få mer information om den funktionen.

Sessioner

När du använder prompter i Microsoft Intune administrationscenter eller i Security Copilot-portalen sparas sessionerna. Använd följande steg för att se de sparade sessionerna:

1. I Security Copilot-portalen går du till menyn längst upp till vänster >Mina sessioner.

2. När du väljer en session visas dina tidigare frågor och resultat. Varje session har också ett sessions-ID i URL:en. Du kan dela det här sessions-ID:t med andra för att granska samma promptsession.

   Till exempel är ditt sessions-ID ungefär som https://securitycopilot.microsoft.com/sessions/023d1c61-f3c7-4702-8924-075a1058900d.

Exempel på Intune prompter

Du kan skapa egna frågor i Security Copilot för att få information om dina Intune data. I det här avsnittet visas några idéer och exempel.

Innan du börjar

• Var tydlig och specifik med dina frågor. Du kan få bättre resultat om du inkluderar specifika enhets-ID:n eller namn, appnamn eller principnamn i dina frågor.

  Det kan också underlätta att lägga till Intune i frågan, till exempel:

  • Hur många enheter registrerades den här veckan enligt Intune?
  • Berätta om Intune enheter för (användarnamn).

• Experimentera med olika frågor och variationer för att se vad som fungerar bäst för ditt användningsfall. Chatt-AI-modeller varierar, så iterera och förfina dina frågor baserat på de resultat du får.

  Du kan också spara dina frågor i en promptbook för framtida användning. Mer information finns i:

  • Fråga i Microsoft Security Copilot
  • Använda promptbooks i Microsoft Security Copilot

Allmän information om dina Intune-data

Få allmän information om dina Intune-data, till exempel antalet enheter, distribuerade appar, plattformsversioner för dina enheter med mera.

Exempelfrågor:

• Vilka appar läggs till i Intune?
• Vilka Intune-appar tilldelas mest?
• Hur många enheter har registrerats i Intune under de senaste 24 timmarna?
• Berätta om Intune-enheter för Jens Persson.

Principmål

Få information om principmål, till exempel de grupper som har en viss app tilldelad till sig eller hur många användare som har en viss app tilldelad till sig.

Exempelfrågor:

• Hur många användare har ContosoApp tilldelad till sig?
• Vilka grupper har ContosoApp tilldelats till?
• Hur många appar har tilldelats till enhets-ID:t Ange enhets-ID i Intune?
• Varför tillämpas principen "Tillåt automatisk uppdatering av Microsoft Store-app" på DeviceA?
• Berätta om Intune-enheter för användaren AnvändareA.
• Varför tillämpas PrincipA på EnhetB?

Specifika enheter

Hämta information om en specifik enhet, till exempel dess gruppmedlemskap och de appar som tilldelats till den.

Exempelfrågor:

• Vilka enheter används av UserA@contoso.com?
• Vilka grupper finns DeviceA i?
• Berätta om EnhetA.
• Vem är den primära användaren av EnhetA?
• Är ContosoApp installerat på EnhetA?
• Visa identifierade appar på DeviceA.

Likheter och skillnader

Hämta likheter och skillnader mellan två enheter, till exempel efterlevnadsprinciper, maskinvara och enhetskonfigurationer som tilldelats till båda enheterna.

Exempelfrågor:

• Vad är skillnaden i maskinvarukonfiguration mellan enheterna EnhetA och EnhetB?
• Vilka är likheterna i efterlevnadsprinciperna mellan DeviceA- och DeviceB-enheterna?
• Vad är skillnaden i enhetskonfigurationsprofilen mellan enheterna EnhetA och EnhetB?
• Jämför installerade program på EnhetA och EnhetB.

Ge feedback

Din feedback om Intune-integreringen med Security Copilot hjälper till med utvecklingen. Om du vill ge feedback använder du feedbackknapparna längst ned i varje slutförd prompt i Security Copilot.

När det är möjligt, och när resultatet inte är vad du förväntar dig, skriver du några ord som förklarar vad som kan göras för att förbättra resultatet. Om du har angett Intune-specifika frågor och resultatet inte är Intune-relaterat ska du inkludera den informationen.

Sekretess och datasäkerhet i Security Copilot

Mer information om datasekretess i Security Copilot finns i Sekretess och datasäkerhet i Microsoft Security Copilot.

När du interagerar med Security Copilot för att hämta Intune data hämtar Security Copilot dessa data från Intune. Frågorna, Intune-data som hämtas och utdata som visas i frågeresultatet bearbetas och lagras i Security Copilot-tjänsten.

När du använder Security Copilot för att hämta Intune data har Security Copilot också åtkomst till de data och behörigheter som definierats av RBAC-rollerna och Intune omfångstaggar som tilldelats dig.

Relaterade artiklar

• Vad är Microsoft Security Copilot?
• Sekretess och datasäkerhet i Microsoft Security Copilot
• Använda Microsoft Copilot i Intune