在 Copilot for Security 中访问 Microsoft Intune 数据
Copilot for Security 是一个基于云的 AI 平台,可提供自然语言 Copilot 体验。 它可以帮助支持不同方案中的安全专业人员,例如事件响应、威胁搜寻和情报收集。 有关它可以执行的操作的详细信息,请转到 什么是 Microsoft Copilot for Security?。
Copilot for Security 与 Microsoft Intune 数据集成。
如果在与 Copilot for Security 相同的租户中使用 Microsoft Intune ,则可以使用 Copilot for Security 获取有关 Intune 数据的见解。
Copilot for Security 中内置了 Intune 功能,可以使用提示获取详细信息,包括:
- 有关 Intune 中托管的设备、应用、合规性 & 配置策略和策略分配的信息
- 托管设备属性和硬件详细信息
- 特定设备出现问题,并比较工作 & 非工作设备
本文介绍如何在 Copilot for Security 中访问 Microsoft Intune 数据,并包含示例提示。
安全管理员重点
Copilot for Security 有一个安全操作中心, (SOC) 或安全管理员重点。 因此,如果你是 SOC 分析师或安全管理员,则可以使用 Copilot for Security 获取 Intune 管理的设备的安全状况。
例如,有一个用户或设备显示恶意迹象。 此外,你注意到某些事件是在恶意意图之后发生的,例如在 Intune 中注册的未知设备。 也许有人试图使用被盗的凭据来注册和获取访问权限。 需要获取详细信息。
在 Copilot for Security 中,可以使用 Intune 功能获取详细信息,例如:
- 询问特定设备,获取有关该设备的所有属性,包括设备名称、设备 ID 和设备制造商。
- 确定设备何时在 Intune 中注册。
- 查找设备的主要用户
- 确定设备类型,例如笔记本电脑或移动电话。
- 检查符合性状态,尤其是设备不符合时,以及它不符合的原因。
在 Microsoft Defender 中,可以使用此信息(包括设备类型)来确定后续步骤。 例如,你可能会根据笔记本电脑 (手机与平板电脑) 的设备类型采取不同的操作。 Copilot for Security 还可以提供指向 Microsoft Defender 中的设备的链接,以便你可以运行任何 Defender 操作。
须知内容
当管理员提交提示时,Copilot 只能访问管理员有权访问的数据,其中包括分配给他们的 RBAC 角色 和 Intune 范围标记 。
如果希望管理员访问 Copilot for Security 中的所有 Intune 数据,请在 Microsoft Entra ID 中使用以下角色:
- Intune 服务管理员(也称为 Intune 管理员)
有关角色和身份验证的详细信息,请转到:
可以在 Copilot for Security 门户 和 Intune 管理中心访问 Intune 数据。 有关 Intune 中的 Copilot 与 Copilot for Security 和其他常见问题的详细信息,请转到 Intune 中的 Microsoft Copilot 常见问题解答。
打开 Copilot for Security 并启用 Intune
若要使用 Copilot for Security 中的 Intune 功能,请启用 Intune 插件。
转到 Microsoft 安全 Copilot,然后使用凭据登录。
在提示栏中,选择“ 源 ” (右上角) 。
在 “管理源”中,打开 Microsoft Intune:
注意
某些角色可以启用或禁用插件。 有关详细信息,请转到在 Microsoft 安全 Copilot 中管理插件。
使用内置功能
在 Copilot for Security 中,有一些内置系统功能有助于 Intune 管理员。 有关 Copilot for Security 的演练,请转到 导航Microsoft Copilot for Security。
本部分介绍一些对 Intune 管理员有用的功能。
系统功能
功能是内置功能,可以从启用的不同插件(包括 Microsoft Intune)获取数据。 当你使用提示询问有关 Intune 数据的内容(例如分配给用户或设备详细信息的应用)时,提示会使用这些 Intune 功能。
若要查看 Intune 的 Intune 内置系统功能列表,请使用以下步骤:
在 Copilot for Security 门户 提示栏中,选择“Copilot 提示”图标 >“查看所有系统功能。
在“Microsoft Intune”部分中,列出了 Intune 的所有内置功能。 可以选择任何功能,并获取有关该功能的详细信息。
会话
在 Microsoft Intune 管理中心 或 Copilot for Security 门户中使用提示时,会话将保存。 若要查看已保存的会话,请使用以下步骤:
在 Copilot for Security 门户中,转到菜单 >“我的会话”。
选择会话时,将显示先前的提示和结果。 每个会话的 URL 中还有一个会话 ID。 可以与他人共享此会话 ID,以查看相同的提示会话。
例如,会话 ID 类似于
https://securitycopilot.microsoft.com/sessions/023d1c61-f3c7-4702-8924-075a1058900d。
Intune 的示例提示
可以在 Copilot for Security 中创建自己的提示,以获取有关 Intune 数据的信息。 本部分列出了一些想法和示例。
开始之前
提示要清晰和具体。 如果在提示中包含特定的设备 ID 或名称、应用名称或策略名称,可能会获得更好的结果。
它还可能有助于将 Intune 添加到提示,例如:
- 根据 Intune,本周注册了多少台设备?
- 告诉我有关 (用户名) 的 Intune 设备。
尝试使用不同提示和变体,以查看最适合你的用例的提示和变体。 聊天 AI 模型各不相同,因此根据收到的结果循环访问和优化提示。
还可以将提示保存在提示簿中供将来使用。 有关详细信息,请转到:
有关 Intune 数据的常规信息
获取有关 Intune 数据的常规信息,例如设备数量、部署的应用、设备的平台版本等。
示例提示:
- 将哪些应用添加到 Intune?
- 哪些 Intune 应用分配最多?
- 过去 24 小时内在 Intune 中注册了多少台设备?
- 介绍 Jon Smith 的 Intune 设备。
策略目标
获取有关策略目标的详细信息,例如已分配特定应用的组或已分配特定应用的用户数。
示例提示:
- ContosoApp 已分配给多少用户?
- ContosoApp 已分配给哪些组?
- 有多少应用已分配给设备 ID 在 Intune 中输入设备 ID?
- 为什么“允许Microsoft应用商店应用自动更新”策略应用于 DeviceA?
- 介绍用户 UserA 的 Intune 设备。
- 为什么在 DeviceB 上应用 PolicyA?
特定设备
获取有关特定设备的信息,例如其组成员身份和已分配给该设备的应用。
示例提示:
- 使用哪些设备 UserA@contoso.com?
- DeviceA 在哪些组中?
- 告诉我有关 DeviceA 的信息。
- 谁是 DeviceA 的主要用户?
- ContosoApp 是否安装在 DeviceA 上?
- 显示 DeviceA 上发现的应用。
相似性和差异
获取两个设备之间的相似性和差异,例如已分配给这两台设备的合规性策略、硬件和设备配置。
示例提示:
- DeviceA 和 DeviceB 设备之间的硬件配置有何区别?
- DeviceA 和 DeviceB 设备之间的合规性策略有哪些相似之处?
- DeviceA 和 DeviceB 设备之间的设备配置文件有何区别?
- 比较 DeviceA 和 DeviceB 上安装的应用程序。
提供反馈
有关 Intune 与 Copilot for Security 集成的反馈有助于开发。 若要提供反馈,请在 Copilot for Security 中,使用每个已完成提示符底部的反馈按钮。
如果可能,当结果不是预期时,请写几句话来解释可以做些什么来改善结果。 如果已输入特定于 Intune 的提示,并且结果与 Intune 无关,请包含该信息。
数据处理和隐私
有关 Copilot for Security 中的数据隐私的详细信息,请转到 Microsoft Copilot for Security 中的隐私和数据安全。
当你与安全警察交互以获取 Intune 数据时,安全警察会从 Intune 拉取该数据。 系统会处理提示、检索到的 Intune 数据以及提示结果中显示的输出,并将其存储在安全 Copilot 服务中。
使用 Copilot for Security 获取 Intune 数据时,Copilot for Security 还有权访问分配给你的 RBAC 角色 和 Intune 范围标记 定义的数据和权限。