pranjalv01/Incident-Intelligence-Reporting-Agent

# Incident-Intelligence-Reporting-Agent-by-Inspira 构建自定义的 Microsoft Security Copilot agent，以在 Microsoft Sentinel 和 Microsoft Defender XDR 环境中执行自主的事件调查和情报报告。 ## 概述 Incident Intelligence Reporting Agent 是一个确定性的、只读的 Microsoft Security Copilot 自定义 agent，旨在调查事件、关联证据、重建攻击时间线、利用威胁情报丰富指标，并生成分析师级别的报告。 该 agent 会自动分析警报、实体、用户、设备、文件、进程、URL 和云资源，以揭示攻击进程、确定根本原因并提供可操作的建议。 ## 核心功能 - Microsoft Sentinel 事件调查 - Microsoft Defender XDR 事件调查 - 跨实体遥测关联 - 威胁情报丰富 - MITRE ATT&CK 映射 - 攻击时间线重建 - 根本原因分析 - IOC 和恶意软件情报分析 - 管理层和 SOC 报告 - 补救建议 ## 集成的 Microsoft 安全平台 - Microsoft Security Copilot - Microsoft Sentinel - Microsoft Defender XDR - Microsoft Defender for Endpoint - Microsoft Defender for Identity - Microsoft Defender for Office 365 - Microsoft Defender for Cloud Apps - Microsoft Entra ID - Microsoft Defender Threat Intelligence (MDTI) ## 前置条件 ### 必需产品 - Microsoft Security Copilot - Microsoft Sentinel - Microsoft Defender XDR ### 必备技能集 - Generic - Fusion - Sentinel - M365 - Threat Intelligence ### 所需权限 - 对 Microsoft Sentinel 资源的读取权限 - 对 Microsoft Defender XDR 资源的读取权限 - Security Copilot 工作区访问权限 ## 安装说明 ### 步骤 1 登录 Microsoft Security Copilot。 ### 步骤 2 打开 Microsoft Security Store。 ### 步骤 3 搜索： Incident Intelligence Reporting Agent by Inspira ### 步骤 4 选择 **Set up**。 ### 步骤 5 授予所需的权限。 ### 步骤 6 完成配置。 ## 运行 Agent ### 输入 支持的输入： - Microsoft Sentinel Incident ID - Microsoft Defender XDR Incident ID 该 agent 会自动确定源平台，并执行基于证据的调查。 ## 调查工作流 该 agent 执行以下操作： - 事件检索 - 实体关联 - 威胁情报丰富 - 时间线重建 - 攻击链分析 - MITRE ATT&CK 映射 - 根本原因分析 - 建议生成 ## 输出结构 每次执行都会生成： - 执行摘要 - 事件快照 - 实体调查摘要 - 威胁情报洞察 - MITRE ATT&CK 映射 - 攻击时间线 - 根本原因分析 - 关键证据 - 建议 - 执行调查报告 ## 安全和架构护栏 - 强制只读 - 无遏制操作 - 无事件修改 - 无捏造证据 - 仅基于证据的推理 - 自动源检测 - 生产安全的架构 ## 支持的用例 - 事件调查 - 恶意软件调查 - IOC 分析 - 威胁情报分析 - 根本原因确定 - 管理层安全报告 - SOC 分析师支持工作流 ## 预期结果 Incident Intelligence Reporting Agent 使组织能够加速调查、提高分析师生产力，并在 Microsoft 安全环境中生成全面的、基于证据的事件报告。

标签：LLM Agent, 威胁情报, 安全运营, 开发者工具, 微软安全, 扫描框架, 自动化调查