pranjalv01/Advanced-Threat-Hunting-Agent-by-Inspira
GitHub: pranjalv01/Advanced-Threat-Hunting-Agent-by-Inspira
一款微软 Security Copilot 自定义 Agent,可在 Sentinel 和 Defender XDR 中自主执行威胁狩猎并生成分析师级别的证据驱动调查报告。
Stars: 0 | Forks: 0
# Inspira 高级威胁狩猎 Agent
构建一个自定义的 Microsoft Security Copilot agent,以在 Microsoft Sentinel 和 Microsoft Defender XDR 环境中执行自主威胁狩猎和证据驱动的调查。
# 描述
高级威胁狩猎 Agent 是一个确定性、只读的 Microsoft Security Copilot 自定义 agent,旨在主动识别可疑活动,并调查 Microsoft Sentinel 和 Microsoft Defender XDR 中的复杂威胁。
该 agent 会自动获取事件上下文,关联实体和指标,分析用户、设备、进程、文件、URL,并通过威胁情报丰富调查发现,以揭示攻击模式并重建攻击链。
该 agent 的行为类似于经验丰富的 L3/L4 威胁狩猎人员,通过应用基于证据的推理、MITRE ATT&CK 映射、时间线重建和威胁情报丰富,生成专业分析师级别的调查报告。
# 业务需求
- 用于 SOC 操作的标准化威胁狩猎工作流。
- 更快地识别恶意活动和隐藏威胁。
- 提高分析师的效率并保持调查的一致性。
- 减少高级调查过程中的手动工作。
- 证据驱动的分析和报告。
- 只读且生产安全的架构。
# 前置条件
- 活跃的 Microsoft Security Copilot 环境。
- 访问 Microsoft Security Store / Security Copilot 自定义 agent 的权限。
- Microsoft Sentinel 工作区。
- Microsoft Defender XDR 访问权限。
## 所需的 Security Copilot 技能集
- Generic
- Fusion
- Sentinel
- M365
- Threat Intelligence
## 权限
- Microsoft Sentinel 资源的读取权限。
- Microsoft Defender XDR 资源的读取权限。
- 适当的 Security Copilot 工作区访问权限。
# 设置指南
## 步骤 1:访问 Microsoft Security Copilot
- 登录到 Microsoft Security Copilot。
- 打开 Security Store。
- 搜索 Inspira 的高级威胁狩猎 Agent。
- 选择由 Inspira Enterprise 发布的自定义 agent。
## 步骤 2:安装 Agent
- 选择 Set up。
- 查看所需的权限。
- 开始安装过程。
## 步骤 3:授予所需权限
确保具备以下访问权限:
- Microsoft Sentinel
- Microsoft Defender XDR
- 所需的 Security Copilot 技能集
## 步骤 4:验证所需的技能集
确保启用了以下技能集:
- Generic
- Fusion
- Sentinel
- M365
- Threat Intelligence
## 步骤 5:完成配置
- 完成设置过程。
- 验证 agent 是否可见且已启用。
# 运行 Agent
## 选项 1:手动运行
提供以下其中一项:
- Microsoft Sentinel Incident ID
- Microsoft Defender XDR Incident ID
该 agent 会自动:
- 检测源平台。
- 检索事件上下文。
- 关联实体和指标。
- 执行威胁狩猎分析。
- 通过威胁情报丰富调查发现。
- 生成分析师级别的调查报告。
## 选项 2:基于触发的执行
该 agent 可以集成到:
- Logic Apps
- SOC 自动化工作流
- 事件驱动的 Security Copilot 流程
# 输入要求
接受的输入
- Microsoft Sentinel Incident ID
- Microsoft Defender XDR Incident ID
# 威胁狩猎工作流
该 agent 执行:
- 实体关联
- 用户和设备调查
- 进程和文件分析
- 指标和 IOC 分析
- 威胁情报丰富
- 攻击链重建
- MITRE ATT&CK 映射
- 时间线分析
- 建议生成
# 输出结构
每次成功执行都会生成:
- 执行摘要
- 狩猎发现
- 实体分析
- 威胁情报洞察
- MITRE ATT&CK 映射
- 攻击时间线
- 关键证据
- 建议操作
- 最终威胁狩猎评估
# 安全与架构护栏
- 强制只读。
- 无遏制操作。
- 无事件修改。
- 无捏造证据。
- 仅限基于证据的推理。
- 自动检测来源。
- 生产安全架构。
# 支持的用例
- 威胁狩猎调查
- 高级事件调查
- IOC 分析
- 恶意软件调查
- 横向移动分析
- 持久化分析
- 内部威胁调查
- 威胁情报丰富
标签:Defender XDR, Microsoft Security Copilot, 安全智能体, 安全运营, 扫描框架, 自动化调查