Microsoft Intune 中的Security Copilot

Microsoft Security Copilot是一个基于云的 AI 平台,可提供自然语言 Copilot 体验。 它可以帮助支持不同方案中的安全专业人员,例如事件响应、威胁搜寻和情报收集。 有关它可以执行的操作的详细信息,请转到什么是 Microsoft 安全 Copilot?

在开始之前了解

如果你不熟悉Security Copilot,应该通过阅读以下文章来熟悉它:

Microsoft Intune 中的Security Copilot集成

如果在与 Security Copilot 相同的租户中使用Microsoft Intune,则可以使用Security Copilot来获取有关Intune数据的见解。

Security Copilot中内置了Intune功能,可以使用提示获取详细信息,包括:

  • 有关设备、应用、合规性 & 配置策略的信息,以及Intune中托管的策略分配
  • 托管设备属性和硬件详细信息
  • 特定设备出现问题,并比较工作 & 非工作设备

本文介绍如何在 Security Copilot 中访问Microsoft Intune数据,并包含示例提示。

关键功能

Intune中有三个区域可以使用 Copilot:

安全管理员重点

Security Copilot具有安全运营中心 (SOC) 或安全管理员重点。 因此,如果你是 SOC 分析师或安全管理员,则可以使用Security Copilot来获取Intune管理的设备的安全状况。

例如,有一个用户或设备显示恶意迹象。 此外,你注意到某些事件是在恶意意图之后发生的,例如在Intune中注册的未知设备。 也许有人试图使用被盗的凭据来注册和获取访问权限。 需要获取详细信息。

在 Security Copilot 中,可以使用Intune功能获取详细信息,例如:

  • 询问特定设备,获取有关该设备的所有属性,包括设备名称、设备 ID 和设备制造商。
  • 确定设备何时在 Intune 中注册。
  • 查找设备的主要用户
  • 确定设备类型,例如笔记本电脑或移动电话。
  • 检查符合性状态,尤其是设备不符合时,以及它不符合的原因。

在Microsoft Defender中,可以使用此信息(包括设备类型)来确定后续步骤。 例如,你可能会根据笔记本电脑 (手机与平板电脑) 的设备类型采取不同的操作。 Security Copilot还可以提供指向 Microsoft Defender 中的设备的链接,以便你可以运行任何 Defender 操作。

须知内容

在 Intune 中启用Security Copilot集成

若要在 Security Copilot 中使用Intune功能,请启用 Intune 插件。

  1. 转到Security Copilot并使用凭据登录。

  2. 在提示栏中,选择“ ” (右上角) 。

    显示Microsoft Security Copilot中可用、启用和禁用的插件源的屏幕截图。

  3. “管理源”中,打开Microsoft Intune:

    显示Security Copilot中启用了Microsoft Intune插件源的屏幕截图。

    注意

    某些角色可以启用或禁用插件。 有关详细信息,请转到“在 Microsoft 安全 Copilot 中管理插件”。

使用内置功能

在 Security Copilot 中,有一些内置系统功能可帮助Intune管理员。 有关Security Copilot的演练,请转到导航Microsoft Security Copilot

本部分介绍一些对Intune管理员有用的功能。

系统功能

功能是内置功能,可以从启用的不同插件(包括Microsoft Intune)获取数据。 当你使用提示询问有关Intune数据(例如分配给用户或设备详细信息的应用)时,提示会使用这些Intune功能。

若要查看Intune Intune内置系统功能的列表,请使用以下步骤:

  1. Security Copilot门户提示栏中,选择“Copilot 提示”图标>“查看所有系统功能

    显示如何在Security Copilot中选择提示图标和系统功能的屏幕截图。

  2. 在“Microsoft Intune”部分中,列出了Intune的所有内置功能。 可以选择任何功能,并获取有关该功能的详细信息。

会话

Microsoft Intune管理中心或Security Copilot门户中使用提示时,将保存会话。 若要查看已保存的会话,请使用以下步骤:

  1. Security Copilot门户中,转到左上角>的“我的会话”菜单

  2. 选择会话时,将显示先前的提示和结果。 每个会话的 URL 中还有一个会话 ID。 可以与他人共享此会话 ID,以查看相同的提示会话。

    例如,会话 ID 类似于 https://securitycopilot.microsoft.com/sessions/023d1c61-f3c7-4702-8924-075a1058900d

示例Intune提示

可以在 Security Copilot 中创建自己的提示,以获取有关Intune数据的信息。 本部分列出了一些想法和示例。

开始之前

  • 提示要清晰和具体。 如果在提示中包含特定的设备 ID 或名称、应用名称或策略名称,可能会获得更好的结果。

    它还可能有助于将 Intune 添加到提示,例如:

    • 根据Intune,本周注册了多少台设备?
    • 告诉我有关 (用户名) Intune设备的信息。
  • 尝试使用不同提示和变体,以查看最适合你的用例的提示和变体。 聊天 AI 模型各不相同,因此根据收到的结果循环访问和优化提示。

    还可以将提示保存在提示簿中供将来使用。 有关详细信息,请转到:

有关 Intune 数据的常规信息

获取有关 Intune 数据的常规信息,例如设备数量、部署的应用、设备的平台版本等。

示例提示:

  • 将哪些应用添加到 Intune?
  • 哪些 Intune 应用分配最多?
  • 过去 24 小时内在 Intune 中注册了多少台设备?
  • 介绍 Jon Smith 的 Intune 设备。

策略目标

获取有关策略目标的详细信息,例如已分配特定应用的组或已分配特定应用的用户数。

示例提示:

  • ContosoApp 已分配给多少用户?
  • ContosoApp 已分配给哪些组?
  • 有多少应用已分配给设备 ID 在 Intune 中输入设备 ID?
  • 为什么“允许Microsoft应用商店应用自动更新”策略应用于 DeviceA?
  • 介绍用户 UserA 的 Intune 设备。
  • 为什么在 DeviceB 上应用 PolicyA?

特定设备

获取有关特定设备的信息,例如其组成员身份和已分配给该设备的应用。

示例提示:

  • 使用哪些设备 UserA@contoso.com?
  • DeviceA 在哪些组中?
  • 告诉我有关 DeviceA 的信息。
  • 谁是 DeviceA 的主要用户?
  • ContosoApp 是否安装在 DeviceA 上?
  • 显示 DeviceA 上发现的应用。

相似性和差异

获取两个设备之间的相似性和差异,例如已分配给这两台设备的合规性策略、硬件和设备配置。

示例提示:

  • DeviceA 和 DeviceB 设备之间的硬件配置有何区别?
  • DeviceA 和 DeviceB 设备之间的合规性策略有哪些相似之处?
  • DeviceA 和 DeviceB 设备之间的设备配置文件有何区别?
  • 比较 DeviceA 和 DeviceB 上安装的应用程序。

提供反馈

有关 Intune 与 安全 Copilot 集成的反馈有助于开发。 若要提供反馈,请在 Security Copilot中使用每个已完成提示符底部的反馈按钮。

显示如何在Security Copilot中提交有关提示结果的反馈的屏幕截图。

如果可能,当结果不是预期时,请写几句话来解释可以做些什么来改善结果。 如果已输入特定于 Intune 的提示,并且结果与 Intune 无关,请包含该信息。

安全 Copilot 中的隐私和数据安全

有关安全 Copilot 中的数据隐私的详细信息,请转到 Microsoft 安全 Copilot 中的隐私和数据安全

与Security Copilot交互以获取Intune数据时,Security Copilot会从Intune拉取该数据。 系统会处理提示、检索到的 Intune 数据以及提示结果中显示的输出,并将其存储在安全 Copilot 服务中。

使用 Security Copilot 获取Intune数据时,Security Copilot还有权访问 RBAC 角色定义的数据和权限,并Intune分配给你的作用域标记