智能代理时代的安全平台:Microsoft Sentinel技术解析

微软推出具备代理能力的新一代安全平台Microsoft Sentinel,通过数据湖、图数据库和MCP服务器实现安全信号采集、跨域关联和AI代理协同,帮助防御者在多云多平台环境中实现自动化安全运维与智能威胁响应。

Microsoft Sentinel:智能代理时代的安全平台

我们正经历着组织工作和防御方式的转折点。在各行业中,“前沿企业”正在涌现——这些企业通过人类与AI代理实时协作来解决问题、创新并构建弹性组织。

对安全团队而言,这种转变带来了新的机遇和挑战。现代网络威胁的复杂性和速度要求解决方案超越传统工具。为满足这些需求,微软正在推出新的代理安全能力,赋能防御者在这个新AI时代安全大胆地创新。

端到端AI保护平台

防御者需要端到端保护AI,为此他们需要一个集数据、上下文、自动化和智能代理于一体的平台,使其能够以AI速度进行防御和适应。这个平台就是Microsoft Sentinel。

使用Microsoft Sentinel保护多云多平台环境

Sentinel最初作为云原生安全信息和事件管理(SIEM)系统,在7月份扩展到统一安全数据湖。如今,它通过Sentinel数据湖的正式发布、Sentinel图和Sentinel模型上下文协议(MCP)服务器的公开预览,正在扩展为代理平台。通过基于图的上下文、语义访问和代理编排,Sentinel为防御者提供了单一平台来摄取信号、跨域关联,并赋能构建在Security Copilot、使用GitHub Copilot的VS Code或其他开发平台中的AI代理。

技术架构创新

Sentinel摄取结构化或半结构化信号,通过向量化安全数据和基于图的关系构建对数字资产的丰富上下文理解。通过将这些洞察与Microsoft Defender和Microsoft Purview集成,Sentinel为安全团队已经使用的工具提供图驱动的上下文,帮助防御者追踪攻击路径、理解影响并确定响应优先级——所有这些都在熟悉的工作流程中完成。

“通过Microsoft Security和Sentinel数据湖,我们统一了孤岛、扩展了运营、自动化了流程并扩大了覆盖范围——通过统一、敏捷的安全态势改变了我们检测模式和为未来做准备的方式。” ——Bernard Knaapen,ABN AMRO首席产品负责人,监控和事件响应

AI代理赋能

Sentinel还组织并丰富您的安全数据,使其准备好供AI代理更快检测问题、更清晰调查并在需要时自动响应。Sentinel基于图的方法通过内置MCP服务器为Security Copilot代理提供支持,使其能够精确快速地推理您的环境,该服务器使用开放标准便于代理访问和操作。对于高级团队,Sentinel MCP服务器支持预定义和自定义代理的可扩展性,允许在统一数据上进行AI驱动的推理。这将安全从反应式转变为预测式,帮助团队预测威胁并大规模自动化响应。

此图说明了微软安全生态系统在多云和多平台环境中的架构和集成。

开放扩展生态

Sentinel是开放且可扩展的,因此合作伙伴可以构建自己的代理和解决方案。通过新的Microsoft Security Store,查找和部署这些代理变得简单。我们已经在与Accenture、ServiceNow和Zscaler合作,共同加强安全生态系统。

Sentinel是行业领先的SIEM,是AI时代防御者需要的可扩展骨干。Sentinel和Security Copilot共同为安全团队提供了保持领先于网络威胁所需的可见性、自动化和规模。

Security Copilot:无需代码构建自定义代理

Security Copilot旨在帮助安全团队应对最严峻的挑战——无尽的警报、孤立的工具以及以少做多的持续压力。但现在您可以使用无代码代理构建器在自然语言中描述需求,在几分钟内创建、优化和发布适合您工作流程的代理。

您还可以在支持Sentinel MCP服务器的编码平台(如使用GitHub Copilot的VS Code)中构建代理。构建后,您可以在熟悉的发展平台内完善代理并将其部署到Security Copilot工作区。

Security Copilot代理设计用于集成到日常工具和工作流程中——无论是嵌入您已经使用的Microsoft安全产品、合作伙伴构建的还是为您的环境自定义构建的。自2025年3月推出Security Copilot代理以来,我们已经为网络钓鱼分类和条件访问优化等场景提供了十几个代理。我们继续添加嵌入式代理,如Microsoft Entra中的访问审查代理。微软和合作伙伴创建的Security Copilot代理现在可以在安全商店中发现、购买和部署。

基于Sentinel的图上下文,Security Copilot代理现在可以更有效地在您的环境中进行推理——关联警报、用关系丰富上下文、按影响确定优先级并自动化常见操作。这实现了更少的误报、更快的分类和更低的平均解决时间(MTTR)。工作从手动分类转变为代理主导的工作流程:代理编排和自动化常规任务,而分析师审查和批准结果——将时间集中在战略决策和主动威胁狩猎上。

全面保护和治理AI

随着组织采用AI,微软继续投资于帮助安全团队保护和治理整个企业中的AI平台、应用程序和代理的工具。

在过去的几个月中,我们扩展了我们的AI安全能力,包括Entra Agent ID以帮助发现和管理您的代理资产、防止自定义构建的AI应用程序和代理中数据过度共享的控制、AI模型提供商和MCP服务器的风险发现工具,以及针对提示注入攻击的高级检测。

在Microsoft Build 2025上,我们宣布了Azure AI Foundry的新增强功能,为AI代理在整个生命周期中提供更多保护。这些功能即将推出,包括:

  • 代理任务遵循控制,以帮助保持代理与任务实时对齐
  • 个人可识别信息(PII)防护栏
  • 提示防护中的聚焦能力,以增强对跨提示注入攻击的保护

这些创新共同帮助您在Microsoft 365 Copilot、Copilot Studio和Azure AI Foundry中保护和治理您的AI应用程序和代理——帮助您基于团队已经使用的可信工具构建,并为您的Microsoft AI平台提供更多原生内置保护。

即将举行的安全活动

在9月30日、10月1日或按需参加的Microsoft Secure上深入了解这些创新。然后,加入我们于11月17-21日在加利福尼亚州旧金山或在线举行的Microsoft Ignite——获取更多创新、动手实验室和专家联系。

安全是团队运动

我们正在进入一个新时代:安全是自适应的、智能的,并以思维速度行动。今天宣布的进展是新一代防御的构建块。

我坚信安全是团队运动。这个团队包括我们所有人——共同创新、共同学习、共同防御。

我们不仅想象未来,我们正在保护它。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次