Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Udrullede AI-agenter arbejder selvstændigt, aktiverer værktøjer, får adgang til data og udfører handlinger på tværs af systemer som svar på input på et naturligt sprog. Det gør kontinuerlig registrering, kørselsbeskyttelse og undersøgelse kritisk. Microsoft Defender registrerer mistænkelig og ondsindet agent-adfærd, blokerer farlige handlinger i realtid, giver beskeder i realtid og gør det muligt for sikkerhedsteams at undersøge hændelser og spore den fulde rodårsag og eksplosionsradius.
I denne artikel forklares det, hvordan Microsoft Defender registrerer, blokerer og gør det muligt for sikkerhedsteams at undersøge trusler mod AI-agenter, der administreres via Microsoft Agent 365, herunder de udvidede registrerings- og beskyttelsesfunktioner, der er tilgængelige for understøttede agentplatforme.
Bemærk!
Nogle funktioner, der er beskrevet i denne artikel, kræver i øjeblikket onboarding via Microsoft Defender for Cloud Apps. Dette er en midlertidig konfiguration, der vil være en del af Agent 365 produktoplevelsen. Fra og med den 1. juli 2026 har din organisation brug for et Agent 365 abonnement for fortsat at kunne bruge agentbeskyttelses- og synlighedsfunktioner.
Bloker usikre handlinger for AI-agenter i realtid
Microsoft Defender sikrer rtp-beskyttelse i realtid for at forhindre AI-agenter i at udføre usikre handlinger under kørsel. Defender kan integreres direkte med Work IQ MCP for at evaluere understøttede agentinitierede værktøjsaktiveringer, før de udføres. Hvis Defender bestemmer, at en handling er risikabel, blokerer den handlingen, før agenten udfører den, hvilket forhindrer skadelig adfærd.
Bemærk!
Realtidsbeskyttelse er kun tilgængelig for AI-agenter, der bruger værktøjer, der i øjeblikket understøttes i Work IQ MCP. Agenter, der er afhængige af værktøjer, der ikke understøttes, eller som ikke kan integreres med Work IQ MCP, er uden for denne funktions område.
Beskyttelse i realtid fokuserer på trusler med høj sikkerhed, herunder:
- Forsøger at udtrække eller exfiltrere systeminstruktioner eller interne værktøjsoplysninger
- Direkte forsøg på at lække følsomme data
- Misbrug af værktøjer, der kun er interne
- Distributionsoplysninger til destinationer, der ikke er tillid til, eller skadelige
- Brug af sløret eller skjult indhold til at manipulere agentfunktionsmåden
- Lækage af legitimationsoplysninger via legitime kanaler, f.eks. mail eller eksterne API'er
Bemærk!
For agenter, der er bygget med Microsoft Copilot Studio, giver Microsoft Defender også beskyttelse i realtid ved at evaluere modelprompter og -svar. Denne funktion afhænger ikke af arbejds-IQ.
Når Microsoft Defender blokerer en handling, genereres der en detaljeret besked, der forklarer, hvad der blev blokeret, hvorfor handlingen blev betragtet som risikobetonet, og hvilken agent, bruger og hvilket værktøj der var involveret. Dette sikrer, at sikkerhedsteams kan undersøge blokerede handlinger ved hjælp af velkendte Defender-arbejdsprocesser.
Aktivér beskyttelse i realtid
Sådan aktiverer du beskyttelse i realtid for dine AI-agenter:
Vælg Systemindstillinger>>Sikkerhed for AI-agenter. Dette åbner siden Med indstillinger for sikkerhed for AI-agenter.
Sørg for, at Sikkerhed for AI-agenter slås til.
Sørg for, at Agent 365 er forbundet under AI-beskyttelse i realtid & undersøgelse.
Hvis du vil aktivere de udvidede funktioner til beskyttelse i realtid for Microsoft Copilot Studio agenter, skal du sørge for, at der er forbindelse til Copilot Studio under AI-beskyttelse i realtid & undersøgelse.
Du kan få flere oplysninger under Copilot Studio integration i Microsoft Defender for Cloud Apps.
Registrer trusler fra AI-agenter i realtid
Microsoft Defender overvåger konstant AI-agentaktivitet og registrerer mistænkelig og skadelig adfærd på tværs af alle Agent 365-administrerede agenter. Defender analyserer agenttelemetri, værktøjsforbrug og udførelsesmønstre for at identificere trusler som vedvarende forsøg på jailbreak, mistænkelig brugeraktivitet, der involverer et jailbreak-forsøg, og mistænkelige forsøg på udførelse af agent.
Microsoft Defender registrerer som beskeder i næsten realtid på Defender-portalen og gør det muligt for sikkerhedsteams at undersøge dem ved hjælp af velkendte arbejdsprocesser for sikkerhedshandlinger, herunder sporing af beskeder, hændelseskorrelation og Avanceret jagt.
Du kan få flere oplysninger under Hændelser og beskeder på Microsoft Defender-portalen.
Registreringer i nærheden af realtid er afhængige af Agent 365 observability-data, hvilket også giver værdifuld kontekst til undersøgelse af hændelser og trusselsjagt. Microsoft Defender analyserer disse data for at identificere mistænkelig agentfunktionsmåde og generere beskeder.
Bemærk!
For agenter, der er bygget med Microsoft Copilot Studio og Microsoft Foundry, understøtter Microsoft Defender også registreringer baseret på evaluering af modelprompter og -svar.
Aktivér opdagelser i næsten realtid og avanceret trusselsjagt
Sådan aktiverer du vigtige beskeder og trusselsjagt i realtid:
- Aktivér Microsoft 365-appconnectoren for at indsamle Agent 365 observability-data til AI-agenthandlinger. Du kan få flere oplysninger under Opret forbindelse mellem Microsoft 365 og Microsoft Defender for Cloud Apps.
- Sørg for, at din AI-agent udsender observability-data til Microsoft 365.
- Agenter, der er bygget med Microsoft Copilot Studio som standard sende observability-data til Microsoft 365.
- For AI-agenter, der er bygget på andre platforme, skal du aktivere observabilitet ved hjælp af Microsoft Agent 365 SDK, som beskrevet i dokumentationen til Agent 365 udviklingslivscyklus.
Aktivér udvidede registreringer næsten i realtid for Microsoft Copilot Studio og Microsoft Foundry-agenter
Når du aktiverer de relevante funktioner, har agenter, der er bygget med Microsoft Copilot Studio og Microsoft Foundry, et udvidet sæt registreringsbeskeder i næsten realtid ud over den baseline, der er tilgængelig for alle Microsoft Agent 365-administrerede agenter.
Sådan aktiverer du disse udvidede funktioner:
- For Microsoft Foundry-agenter skal du se Aktivér trusselsbeskyttelse for Microsoft Foundry AI-arbejdsbelastninger.
- Du kan se Microsoft Copilot Studio agenterunder Copilot Studio integration i Microsoft Defender for Cloud Apps.
Undersøg trusler fra AI-agenter, og jagt efter risici ved hjælp af Avanceret jagt
Microsoft Defender korrelerer AI-agentbeskeder i hændelser og viser den relaterede kontekst, så sikkerhedsteams hurtigt kan vurdere virkningen og prioritere svar. Avanceret jagt gør det derefter muligt for analytikere at forespørge Agent 365 observability-data ved hjælp af Kusto Query Language (KQL) til at undersøge hændelser og jage efter risici på tværs af deres miljø.
Undersøg hændelser og beskeder
Microsoft Defender korrelerer AI-agentbeskeder, herunder registreringer i nærheden af realtid og beskeder, der genereres, når realtidsbeskyttelse blokerer en handling, i hændelser.
Sikkerhedsanalytikere kan bruge hændelsesgrafen og undersøgelsesoplevelsen til at forstå den fulde kontekst af et potentielt angreb, herunder relationer mellem involverede enheder og eksplosionsradiussen for AI-agenttrusler. Du kan få flere oplysninger under Hændelser og beskeder på Microsoft Defender-portalen.
Korreler beskeder og Agent 365 observabilitetsdata og jagt efter risici ved hjælp af Avanceret jagt
Avanceret jagt i Microsoft Defender gør det muligt for sikkerhedsteams at forespørge Agent 365 observabilitetsdata sammen med andre sikkerhedsdata ved hjælp af KQL (Kusto Query Language). Dette understøtter proaktiv trusselsjagt, undersøgelse af hændelser og analyse af rodårsager på tværs af agenter, programmer, identiteter og enheder.
Brug f.eks. Avanceret jagt til at:
- Sporing af specifikke agentværktøjsaktiveringer, og korreler dem med relaterede beskeder eller bloker hændelser
- Undersøg hovedårsagen til og omfanget af en registreret trussel fra en AI-agent
- Identificer unormale udførelsesmønstre eller risikofyldte agentfunktioner på tværs af miljøer
- Opret brugerdefinerede registreringsregler baseret på agentaktivitetssignaler
Undersøgelse af avancerede jagttabeller til AI-agent
Følgende tabeller med avanceret jagt giver indsigt i konfiguration, beskeder og aktivitet af AI-agenten. Du kan forespørge disse tabeller individuelt eller korrelere dem for at undersøge hændelser og søge efter agentrelaterede risici.
| Tabelnavn | Beskrivelse | Almindelige use cases |
|---|---|---|
| AlertInfo | Indeholder metadata for beskeder, der genereres af Microsoft Defender, herunder beskeder, der er relateret til registreringer i næsten realtid og blokeringshændelser i realtid. | Undersøg AI-agentbeskeder, forstå beskedkontekst, og pivoter i relaterede hændelser og enheder. |
| CloudAppEvents | Indeholder Agent 365 observabilitetsdata for AI-agentaktivitet, herunder agenthandlinger, værktøjsaktiveringer og hændelser for dataadgang. | Gå på jagt efter mistænkelig agentadfærd, sporingsagenthandlinger, og udfør rodårsagsanalyser ved hjælp af Agent 365 observability-data. |
| Oplysninger om AIAgents | Indeholder oplysninger om lager og konfiguration for AI-agenter, herunder agentidentitet, platform, ejerskab og metadata. | Gennemse agentholdning, identificer risikable eller forkert konfigurerede agenter og korreler agentidentitet med beskeder og aktivitet. |
| AlertEvidence | Indeholder objekter og artefakter, der er knyttet til beskeder, f.eks. agenter, brugere, værktøjer, URL-adresser eller ressourcer. | Forstå omfanget af en besked, og identificer relaterede enheder, der er involveret i en AI-agenthændelse. |