Microsoft Defender钓鱼邮件分诊代理公开预览发布
在Microsoft Secure 2025大会上,我们推出了一系列Microsoft Defender创新功能,旨在重新定义AI在安全运营中的作用。这些公告的核心是推出了11个Security Copilot代理,每个代理都专门设计用于减少手动工作量,并通过自主、自适应的自动化加速响应。这些代理集成到现有的Microsoft安全基础设施中,持续学习并适应您的独特环境,同时让您的团队保持控制,实现主动的端到端保护。
其中之一是Microsoft Defender中的钓鱼邮件分诊代理,现已提供公开预览。它解决了SOC中最重复的任务之一:处理用户提交的钓鱼邮件报告。安全团队现在可以依赖一个代理,而不是手动筛选无数提交内容,该代理每天在检测后通常15分钟内处理数千个警报。早期采用者已经看到威胁响应加速和显著的时间节省。
钓鱼邮件:SOC分析师的主要威胁和负担
钓鱼邮件仍然是威胁行为者最普遍的入口点之一,超过90%的漏洞始于基于电子邮件的欺骗。在短短12个月内,Microsoft Defender for Office 365检测到超过7.75亿封携带恶意软件的电子邮件,突显了威胁的无情和大规模性质。虽然当今的安全工具在阻止大多数这些尝试方面非常有效,但攻击者并没有停滞不前。他们不断适应——调整内容、伪造身份、改变策略并利用新渠道绕过防御。越来越多地,他们还使用生成式AI制作看起来更合法和个性化的钓鱼消息,使检测更加困难。因此,少量但危险的钓鱼邮件仍然能够溜进用户的收件箱。
当用户报告这些可疑消息时,它们会进入SOC队列进行进一步审查,给安全团队带来重大的操作负担。大多数提交是误报,但分析师仍然必须手动审查每一个,以捕捉隐藏在噪音中的罕见威胁。这延迟了响应,分散了注意力,并增加了危险遗漏的风险。
代理背后:更智能的钓鱼邮件分诊
设计为自主操作
钓鱼邮件分诊代理标志着自主安全运营的重要一步。由大语言模型(LLMs)驱动,它执行复杂的评估——包括电子邮件内容的语义评估、URL和文件检查以及意图检测——以确定提交是真正的钓鱼威胁还是误报。与基于静态规则或预编码逻辑的传统系统不同,该代理动态解释每封电子邮件的上下文和工件,以达成独立结论。它是幕后工作的自主防御,穿透噪音并提升真正重要的内容。
从反馈中学习
同样具有变革性的是代理的学习能力。钓鱼邮件分诊代理不是依赖固定结论,而是持续演进。分析师可以重新分类事件并提供自然语言反馈,解释为什么特定结论正确或不正确。代理整合这些输入,优化其推理并适应组织的特定需求、模式和细微差别。随着每一次互动,它变得更加准确并更好地适应其环境,创建一个推动持续改进的反馈循环。
设计透明
钓鱼邮件分诊代理最定义的特征之一是其如何清晰地传达其决策。对于每一个结论,代理提供一个自然语言解释,概述为什么消息被分类为钓鱼或不是。理由是清晰和可访问的,允许分析师快速理解导致结果的原因。
对于那些寻求更深入理解的人,代理还生成其决策逻辑的可视化地图:逐步分解其如何评估提交。每个阶段在结构化图中呈现为可扩展的卡片,详细说明分析的信号、收集的证据和应用的逻辑。团队可以深入任何步骤以查看代理在上下文中的推理,使整个过程从头到尾可追踪和可审查。这种透明度不仅有帮助,而且对于建立对自主安全系统的信任至关重要。
代理如何工作
快速设置和无缝集成
开始使用很简单。入门体验提供了代理功能的清晰概述以及它如何在您的环境中运行。它可以配置专用身份和基于角色的访问控制,遵循最小权限原则,确保其在指定范围内严格操作。
管理员保留完全控制。他们可以查看、管理和限制代理的操作,使其行为与组织的安全政策和标准保持一致。
后台自主操作
一旦部署,代理在后台运行,每当用户报告可疑电子邮件时自动触发。随着新提交的到来,它分析每一个并分配分类。在大多数组织中,超过90%的报告电子邮件结果是误报。代理自动解决这些,标记它们以便分析师不必手动筛选每一个。这使团队能够专注于真正需要他们注意的少数事件。
当代理启用时,Microsoft Defender for Office 365的内置自动调查和响应(AIR)功能使用代理的输出。AIR然后基于该分析构建,检测类似威胁并为SOC分析师呈现修复操作以供审查和批准。
典型事件审查内部
对于每个事件,代理提供其结论的自然语言摘要。当它将提交分类为恶意或良性时,它清楚地解释为什么——引用发件人声誉、消息内容、附件行为等因素。
活动选项卡显示一个流程图,显示代理如何达成其决策,包括所有中间步骤和结果。这个幕后过程涵盖从文本和URL分析到附件的沙箱评估的一切。所有这一切都是自主发生的,无需人工干预或脚本。
反馈循环
如果分析师不同意代理的结论,他们可以简单地重新分类提交并以自然语言留下反馈。不需要特殊语法或培训。代理从这些输入中学习,并使用它来优化未来的决策,持续提高其准确性和对齐性。随着时间的推移,代理成为团队的真正延伸。它不仅减少手动努力,而且适应组织的独特环境和其防御的不断演变的威胁格局。
可视化性能
代理的性能在专用仪表板中跟踪,为分析师提供其影响的实时可见性。它显示处理的事件数量、平均分诊时间(MTTT)以及随时间变化的误报与真阳性分解。这种始终在线的视图帮助安全团队量化效率增益、监控准确性并建立对代理持续性能的信心。
默认负责任AI
钓鱼邮件分诊代理,像所有Microsoft Security Copilot代理一样,遵循微软的负责任AI原则。这包括内置的护栏,用于公平性、透明度、安全性、隐私和问责制。
管理员基于最小权限访问配置代理的身份和权限,保持对其可以访问的数据、其消耗的容量以及其被授权采取的操作的严格控制。在零信任框架内操作,代理的每一个操作在执行前都根据组织策略进行评估。这种方法确保AI驱动的功能增强SOC而不损害企业信任、合规性或控制。
超级充电的SOC效率
钓鱼邮件分诊代理是新一代代理中的第一个,旨在将自主智能带入安全运营。通过消除重复、反应性任务并持续从反馈中学习,它允许团队专注于最重要的——调查真实威胁并加强其整体安全态势。这标志着SOC进入更高效、自适应时代的飞跃。
符合先决条件的组织现在可以通过加入钓鱼邮件分诊代理公开预览开始,该预览通过Microsoft Defender门户中的试用直接提供。要了解更多,请访问产品页面了解其工作原理的详细信息,以及采用中心获取关于Security Copilot代理的更广泛指导。
希望提高响应时间并更有效地支持您的团队?立即注册访问“生成式AI能为您的SOC做什么”或阅读更多关于Microsoft AI驱动的统一安全运营。