通过

Microsoft Intune 中的Security Copilot

智能 Microsoft Security Copilot 副驾驶®是一个基于云的 AI 平台,可提供自然语言 Copilot 体验。 它可以帮助支持不同方案中的安全专业人员,例如事件响应、威胁搜寻和情报收集。 有关它可以执行的操作的详细信息,请转到什么是 Microsoft 安全 Copilot?

安全 Copilot 与 Microsoft Intune 集成

如果在与 Security Copilot 相同的租户中使用 Microsoft Intune,则可以使用 Security Copilot 来获取有关 Intune 数据的见解。

Security Copilot中内置了 Intune 功能,可以使用提示获取详细信息,包括:

  • 有关 Intune 中托管的设备、应用、合规性 & 配置策略和策略分配的信息
  • 托管设备属性和硬件详细信息
  • 特定设备出现问题,并比较工作 & 非工作设备
  • 有关许可、连接质量、配置和性能的云电脑见解

本文介绍如何在 Security Copilot 中访问 Microsoft Intune 数据,并包含示例提示。

开始之前

如果你不熟悉Security Copilot,应该通过阅读以下文章来熟悉它:

关键功能

可通过多种方式在 Intune 中使用 Copilot:

安全管理员重点

Security Copilot具有安全运营中心 (SOC) 或安全管理员重点。 因此,如果你是 SOC 分析师或安全管理员,则可以使用 Security Copilot 获取 Intune 管理的设备的安全状况。

例如,有一个用户或设备显示恶意迹象。 你注意到某些事件是在恶意意图之后发生的,例如在 Intune 中注册的未知设备。 也许有人试图使用被盗的凭据来注册和获取访问权限。 需要获取详细信息。

在 Security Copilot中,可以使用 Intune 功能获取详细信息,例如:

  • 询问特定设备,获取有关该设备的所有属性,包括设备名称、设备 ID 和设备制造商。
  • 确定设备何时在 Intune 中注册。
  • 查找设备的主要用户。
  • 确定设备类型,例如笔记本电脑或移动电话。
  • 检查符合性状态,尤其是设备不符合时,以及它不符合的原因。

在Microsoft Defender中,可以使用此信息(包括设备类型)来确定后续步骤。 例如,你可能会根据笔记本电脑 (手机与平板电脑) 的设备类型采取不同的作。 Security Copilot还可以提供指向 Microsoft Defender 中的设备的链接,以便你可以运行任何 Defender作。

须知内容

在 Intune 中启用Security Copilot集成

若要在 Security Copilot 中使用 Intune 功能,请启用 Intune 插件。

  1. 转到Security Copilot并使用凭据登录。

  2. 在提示栏中,选择“ ” (右上角) 。

    显示智能 Microsoft Security Copilot 副驾驶®中可用、启用和禁用的插件源的屏幕截图。

  3. “管理源”中,打开 Microsoft Intune:

    显示Security Copilot中启用了 Microsoft Intune 插件源的屏幕截图。

    注意

    某些角色可以启用或禁用插件。 有关详细信息,请转到“在 Microsoft 安全 Copilot 中管理插件”。

使用内置功能

在 Security Copilot 中,有一些内置系统功能对 Intune 管理员很有帮助。 有关Security Copilot的演练,请转到导航智能 Microsoft Security Copilot 副驾驶®

本部分介绍一些对 Intune 管理员有用的功能。

系统功能

功能是内置功能,可以从启用的不同插件(包括 Microsoft Intune)获取数据。 当你使用提示询问有关 Intune 数据的内容(例如分配给用户或设备详细信息的应用)时,提示会使用这些 Intune 功能。

若要查看 Intune 的 Intune 内置系统功能列表,请使用以下步骤:

  1. Security Copilot门户提示栏中,选择“Copilot 提示”图标>“查看所有系统功能

    显示如何在Security Copilot中选择提示图标和系统功能的屏幕截图。

  2. 在“Microsoft Intune”部分中,列出了 Intune 的所有内置功能。 可以选择任何功能,并获取有关该功能的详细信息。

会话

Microsoft Intune 管理中心或 Security Copilot 门户中使用提示时,会话将保存。 若要查看已保存的会话,请使用以下步骤:

  1. Security Copilot门户中,转到左上角>的“我的会话”菜单

  2. 选择会话时,将显示先前的提示和结果。 每个会话的 URL 中还有一个会话 ID。 可以与他人共享此会话 ID,以查看相同的提示会话。

    例如,会话 ID 类似于 https://securitycopilot.microsoft.com/sessions/023d1c61-f3c7-4702-8924-075a1058900d

示例 Intune 提示

可以在 Security Copilot 中创建自己的提示,以获取有关 Intune 数据的信息。 本部分列出了一些想法和示例。

开始之前

  • 提示要清晰和具体。 如果在提示中包含特定的设备 ID 或名称、应用名称或策略名称,可能会获得更好的结果。

    它还可能有助于将 Intune 添加到提示,例如:

    • 根据 Intune,本周注册了多少台设备?
    • 告诉我有关 (用户名) 的 Intune 设备。

  • 尝试使用不同提示和变体,以查看最适合你的用例的提示和变体。 聊天 AI 模型各不相同,因此根据收到的结果循环访问和优化提示。

    还可以将提示保存在提示簿中供将来使用。 有关详细信息,请转到:

有关 Intune 数据的常规信息

获取有关 Intune 数据的常规信息,例如设备数量、部署的应用、设备的平台版本等。

示例提示:

  • 将哪些应用添加到 Intune?
  • 哪些 Intune 应用分配最多?
  • 过去 24 小时内在 Intune 中注册了多少台设备?
  • 介绍 Jon Smith 的 Intune 设备。

策略目标

获取有关策略目标的详细信息,例如已分配特定应用的组或已分配特定应用的用户数。

示例提示:

  • ContosoApp 已分配给多少用户?
  • ContosoApp 已分配给哪些组?
  • 有多少应用已分配给设备 ID 在 Intune 中输入设备 ID?
  • 为什么“允许Microsoft应用商店应用自动更新”策略应用于 DeviceA?
  • 介绍用户 UserA 的 Intune 设备。
  • 为什么在 DeviceB 上应用 PolicyA?

特定设备

获取有关特定设备的信息,例如其组成员身份和已分配给该设备的应用。

示例提示:

  • 使用哪些设备 UserA@contoso.com?
  • DeviceA 在哪些组中?
  • 告诉我有关 DeviceA 的信息。
  • 谁是 DeviceA 的主要用户?
  • ContosoApp 是否安装在 DeviceA 上?
  • 显示 DeviceA 上发现的应用。

相似性和差异

获取两个设备之间的相似性和差异,例如已分配给这两台设备的合规性策略、硬件和设备配置。

示例提示:

  • DeviceA 和 DeviceB 设备之间的硬件配置有何区别?
  • DeviceA 和 DeviceB 设备之间的合规性策略有哪些相似之处?
  • DeviceA 和 DeviceB 设备之间的设备配置文件有何区别?
  • 比较 DeviceA 和 DeviceB 上安装的应用程序。

提供反馈

有关 Intune 与 安全 Copilot 集成的反馈有助于开发。 若要提供反馈,请在 Security Copilot中使用每个已完成提示符底部的反馈按钮。

显示如何在Security Copilot中提交有关提示结果的反馈的屏幕截图。

如果可能,当结果不是预期时,请写几句话来解释可以做些什么来改善结果。 如果已输入特定于 Intune 的提示,并且结果与 Intune 无关,请包含该信息。

安全 Copilot 中的隐私和数据安全

有关安全 Copilot 中的数据隐私的详细信息,请转到 Microsoft 安全 Copilot 中的隐私和数据安全

与 Security Copilot 交互以获取 Intune 数据时,Security Copilot从 Intune 拉取该数据。 系统会处理提示、检索到的 Intune 数据以及提示结果中显示的输出,并将其存储在安全 Copilot 服务中。

使用 Security Copilot 获取 Intune 数据时,Security Copilot还有权访问分配给你的 RBAC 角色Intune 作用域标记定义的数据和权限。