pranjalv01/AI-Incident-Investigation-Agent-by-Inspira

# Inspira 的 AI 事件调查 Agent AI 事件调查 Agent 是一个确定性、只读的 Microsoft Security Copilot 自定义 Agent，旨在为 Microsoft Sentinel 和 Microsoft Defender XDR 事件执行分析师级别的事件调查。该 Agent 会自动检索事件元数据、警报、实体、评论、证据和相关上下文，跨身份、用户、主机、进程、文件、IP 地址和 URL 执行深度调查，并生成针对 SOC 运营优化的结构化调查报告。 该 Agent 通过应用基于证据的推理、攻击重构、MITRE ATT&CK 映射、威胁情报丰富、影响范围分析和置信度评分，表现得像一名经验丰富的 L3/L4 SOC 分析师。它在维持严格的只读安全模型的同时，提供可解释且可重复的调查输出。 该 Agent 旨在加速调查流程、提高分析师一致性、减少人工工作量，并支持 Security Copilot、事件响应和 SOC 自动化工作流。 # 业务需求 • 标准化的 SOC 运营调查工作流：该 Agent 为 Microsoft Sentinel 和 Microsoft Defender XDR 事件提供一致且可重复的调查流程，减少分析师之间的个体差异，并提高 L1、L2 和 L3 SOC 团队的运营一致性。 • 更快的事件调查：通过自动收集证据、关联遥测数据、重构攻击过程以及识别受影响的实体，该 Agent 显著缩短了平均调查时间 (MTTI)。 • 提高调查质量：该 Agent 利用 MITRE ATT&CK 映射、威胁情报丰富、置信度评分和攻击时间线重构来执行基于证据的分析，从而提供分析师级别的调查结果。 • 面向高管和分析的报告：该 Agent 生成适合 SOC 分析师、事件响应人员和管理层利益相关者的报告，从而改善沟通与决策。 • 只读且生产安全的架构：该 Agent 在严格的只读模式下运行，从不修改事件、任务、评论、规则或 playbook，使其在生产环境中安全可靠。 • 利用 AI 实现 SOC 现代化：该解决方案使组织能够利用 AI 驱动的工作流来增强 SOC 运营，而不会中断现有的调查流程。 # 前置条件 • 活跃的 Microsoft Security Copilot 环境 • 访问 Microsoft Security Store / Security Copilot 自定义 Agent 的权限 • 活跃的 Microsoft Sentinel 工作区 • Microsoft Defender XDR 访问权限 • Microsoft Entra ID 访问权限 • Microsoft Defender Threat Intelligence 访问权限（推荐） • 启用所需的 Security Copilot skillset： a. Generic b. Fusion c. Sentinel d. M365 e. Defender Threat Intelligence f. Entra ID • 对 Microsoft Sentinel 事件及相关遥测数据的读取权限 • 对 Microsoft Defender XDR 事件和证据的读取权限 • 适当的 Security Copilot 工作区权限 # 设置指南 以下步骤描述了如何部署和配置 AI 事件调查 Agent。 第 1 步：访问 Microsoft Security Copilot • 登录到 Microsoft Security Copilot。 • 导航到 Microsoft Security Store。 • 搜索 AI Incident Investigation Agent。 • 选择由 Inspira Enterprise 发布的自定义 Agent。 第 2 步：安装 Agent • 选择 Set up。 • 查看支持的平台和权限。 • 开始安装过程。 第 3 步：授予所需权限 • 批准安装过程中请求的所有权限。 • 确保具备以下各项的访问权限： a. Microsoft Sentinel b. Microsoft Defender XDR c. Microsoft Entra ID d. Defender Threat Intelligence e. 所需的 Security Copilot skillset f. 验证用户或服务主体具有读取权限。 第 4 步：使用授权用户登录 该用户账户应具有以下访问权限： • Microsoft Sentinel • Microsoft Defender XDR • Security Copilot 工作区资源 • 必需的 plugin 和 skillset 第 5 步：验证所需的 Skillset 确保启用了以下 skillset： • Generic • Fusion • Sentinel • M365 • Defender Threat Intelligence • Entra ID 第 6 步：完成配置 • 完成设置过程。 • 验证 AI 事件调查 Agent 是否出现在工作区中。 • 确认该 Agent 已启用。 # 运行 Agent 选项 1：手动执行 • 打开 AI 事件调查 Agent。 • 选择 Run one time without a trigger。 • 提供： IncidentId = Microsoft Sentinel 或 Microsoft Defender XDR 事件 ID • 选择 Submit。 该 Agent 会自动： • 检测源系统。 • 检索事件元数据和证据。 • 执行实体调查。 • 关联遥测数据。 • 重构攻击过程。 • 将技术映射到 MITRE ATT&CK。 • 计算置信度评分。 • 生成调查报告。 选项 2：基于 Trigger 的执行 • 选择 Run automatically on trigger。 • 配置 trigger 机制。 • 保存配置。 # 支持的集成包括： • Logic Apps • 事件任务工作流 • SOC 自动化流水线 • 事件驱动的 Security Copilot 工作流 # 输入要求 IncidentId（必需） 接受的值： • Microsoft Sentinel 事件 ID • Microsoft Defender XDR 事件 ID a. Agent 在执行前验证 IncidentId。 b. 用户无需指定源平台。 # Agent 的工作原理 AI 事件调查 Agent 执行自动源检测。 • 首先，它会检查 Microsoft Sentinel。 • 如果事件存在于 Sentinel 中，则 Sentinel 成为主要源。 • 如果未找到，则查询 Microsoft Defender XDR。 • 如果两者都包含该事件，则首选 Microsoft Sentinel。 • 如果两个源均不包含该事件，则返回标准化的未找到响应。 # 调查工作流 该 Agent 执行： • 事件检索 • 警报关联 • 实体提取 • 用户调查 • 设备调查 • 进程分析 • 文件分析 • IP 和 URL 分析 • IOC 提取 • 威胁情报丰富 • MITRE ATT&CK 映射 • 攻击时间线重构 • 影响范围分析 • 根本原因确定 • 置信度评分 • 建议生成 # 输出结构 每次成功执行都会生成一份结构化的调查报告，包含： 1. 执行摘要 2. MITRE ATT&CK 覆盖范围 3. 关键证据 4. 攻击时间线 5. 最终裁定 # 安全和架构护栏 • 只读强制执行：该 Agent 从不创建、修改或删除事件、任务、评论、分析规则或 playbook。 • 无遏制操作：该 Agent 不会隔离设备、禁用用户、撤销会话或阻断指示器。 • 无捏造：该 Agent 绝不捏造警报、实体、证据、时间线或裁定。 • 基于证据的推理：所有结论必须有遥测数据支持。 • 透明的分析：置信度评分和发现结果可追溯到证据。 • 安全的生产架构：该 Agent 适用于企业生产环境。 # 支持的用例 • Microsoft Sentinel 事件调查 • Microsoft Defender XDR 事件调查 • 实体键盘攻击调查 • 凭据窃取分析 • 恶意软件调查 • 横向移动调查 • 数据泄露事件 • 勒索软件调查 • 内部威胁调查 • 协助 L1、L2 和 L3 工作流的 SOC 分析师 • 威胁狩猎和事件响应 • Logic App 自动化 • Security Copilot 工作流 • MSSP SOC 运营

标签：AI智能体, Cloudflare, MITRE ATT&CK, 威胁情报, 安全调查与分析, 安全运营, 开发者工具, 微软Sentinel, 扫描框架, 自动化应急响应