Дата публикации
ai_products

Агенты для Microsoft Sentinel: как Security Copilot берёт на себя работу SOC-аналитика

Что нового

Microsoft развивает Microsoft Sentinel как платформу для "агентских" сценариев — когда не человек вручную кликает по инцидентам, а агент на базе Security Copilot сам ведёт расследование и предлагает решение.

Ключевые новшества в экосистеме Sentinel:

  • Поддержка Security Copilot-агентов поверх Sentinel: можно собирать агентов, которые работают напрямую с данными в Sentinel data lake.
  • Единый нормализованный слой телеметрии: идентичности, конечные точки, облако и сеть приводятся к общей схеме, что позволяет агенту работать с ними как с одной базой.
  • Инцидентно-ориентированная поверхность расследования: всё строится вокруг инцидентов и сущностей (пользователи, устройства, IP, приложения), с которыми агент может работать программно.
  • Глубокая автоматизация: агент умеет запускать KQL‑запросы, вытаскивать связанные сущности, запускать плейбуки автоматизации и формировать обоснованное решение.

Конкретных цифр по скорости, цене или объёму контекста Microsoft в этом анонсе не приводит. Фокус — на том, что теперь можно строить прикладных агентов поверх Sentinel без постоянного переключения аналитика между инструментами.

Как это работает

Архитектура опирается на три опорные части Microsoft Sentinel:

  1. Нормализованный слой данных безопасности
    Sentinel собирает логи и телеметрию из разных источников: Azure, другие облака, конечные точки, сетевое оборудование, IAM‑системы. Эти данные приводятся к общей схеме. Для агента это означает: он видит не "зоопарк" форматов, а единый слой, по которому можно писать запросы и строить связи.

  2. Поверхность расследования: инциденты и сущности
    В Sentinel инцидент связывает воедино события, алерты и сущности: пользователя, устройство, IP‑адрес, ресурс в облаке. Агент получает доступ к этой структуре и может:

    • переходить от инцидента к связанным сущностям;
    • строить граф связей между ними;
    • возвращаться к историческим данным по этим сущностям.

  3. Автоматизация и оркестрация
    Агент использует:

    • KQL (Kusto Query Language) для таргетированных запросов к Sentinel data lake;
    • механизмы обогащения контекстом (например, дополнительные логи, внешние источники, связанные инциденты);
    • встроенные средства автоматизации Sentinel (SOAR) для запуска ответных действий.

Типичный цикл работы агента Security Copilot с Sentinel выглядит так:

  1. Получить инцидент и его сущности.
  2. Запустить серию KQL‑запросов по связанным логам.
  3. Найти дополнительные сущности (учётные записи, устройства, IP, ресурсы в облаке).
  4. Построить картину атаки и оценить её серьёзность.
  5. Обогатить вывод контекстом и доказательствами (какие события, какие связи, какие логи).
  6. Сформировать для аналитика чёткое решение: ложноположительный, подозрительный или подтверждённый инцидент, плюс список рекомендуемых действий.
  7. При необходимости запустить заранее настроенные плейбуки реагирования.

Важно: агент не заменяет Sentinel, а работает поверх него. Вся тяжёлая работа — хранение логов, корреляция, автоматизация — остаётся за Sentinel, а агент становится "режиссёром" расследования.

Что это значит для вас

Для кого это вообще нужно

  • SOC‑команды и MDR‑провайдеры. Если у вас уже есть Microsoft Sentinel, агенты на базе Security Copilot помогут снять часть рутины с аналитиков: меньше ручных KQL‑запросов, меньше переключений между консолями.
  • Интеграторы и разработчики решений безопасности. Появляется возможность упаковать свой опыт расследований в агента: настроить типовые сценарии, плейбуки и логику принятия решений.

Какие задачи решает

  1. Ускорение расследований
    SOC‑аналитики часто тонут в алертах. Sentinel уже умеет группировать их в инциденты, но дальше начинается ручная работа: запросы, проверка сущностей, поиск контекста. Агент берёт это на себя:

    • собирает данные по инциденту из разных источников в Sentinel;
    • запускает нужные KQL‑запросы по заранее заданной логике;
    • приносит аналитику уже структурированное расследование с доказательствами.

  2. Стандартизация ответных действий
    Вместо того чтобы каждый раз вспоминать, какой плейбук запускать и какие шаги делать, агент может:

    • предложить набор действий по типу инцидента;
    • автоматически инициировать часть из них (например, изоляцию устройства или сброс токенов сессий), если вы это разрешили.

  3. Работа с большим зоопарком телеметрии
    Когда у вас десятки источников логов, единый нормализованный слой Sentinel и агент, который умеет по нему ходить, сокращают время на "перевод" между форматами и консолями.

Где это пригодится

  • Нагрузочный SOC, который уже использует Microsoft Sentinel и страдает от объёма алертов.
  • Команды, которые хотят формализовать знания старших аналитиков в виде повторяемых агентских сценариев.
  • Организации, где важно минимизировать время от алерта до решения, но штат SOC ограничен.

Где не стоит ждать чудес

  • Без Sentinel эта история не работает. Агенты описаны именно для Microsoft Sentinel как платформы.
  • Если у вас нет нормальной настройки источников логов и корреляций, агент не "додумает" за вас события, которых нет в данных.
  • Если политика компании запрещает использование облачных сервисов Microsoft или доступ к ним ограничен, развернуть такой сценарий не получится.

Доступность в России

Microsoft Sentinel и связанные с ним облачные сервисы официально относятся к экосистеме Azure. Для российских компаний доступ может быть ограничен корпоративной политикой, санкциями или отсутствием официальных поставок. На практике часто требуется зарубежный юридический контур и работа через VPN или прямое подключение к Azure в другой юрисдикции. Перед планированием внедрения нужно проверить юридические и технические ограничения именно для вашей организации.

Место на рынке

Microsoft строит агентские сценарии вокруг своей SIEM/SOAR‑платформы Sentinel. Это отличает подход от решений, где ИИ‑агент живёт отдельно от системы безопасности и интегрируется через API.

Если смотреть на рынок:

  • Многие вендоры SIEM/SOAR уже добавили ИИ‑подсказки и автоматизацию расследований.
  • Здесь акцент именно на том, что агент Security Copilot работает поверх нормализованного слоя Sentinel и использует его инцидентно‑ориентированную модель и автоматизацию.

Числовых сравнений по скорости расследований, стоимости владения или качеству выводов Microsoft в этом анонсе не приводит. Конкурентные преимущества сейчас выражаются в другом:

  • тесная связка с экосистемой Microsoft (Azure, Defender, Entra и др.);
  • единая точка для данных и автоматизации — Sentinel data lake и его SOAR‑возможности;
  • ориентация на разработчиков и партнёров, которые могут строить свои агентские сценарии поверх уже существующей инфраструктуры Sentinel.

Если у вас уже развёрнут Sentinel, добавление Security Copilot‑агентов логично рассматривать как развитие текущей платформы, а не как замену на сторонний продукт. Если же вы только выбираете SIEM/SOAR, нужно отдельно считать TCO и сравнивать с альтернативами, но конкретных цифр Microsoft здесь не даёт.

Читайте также

#microsoft#azure
🔗 Источник: https://techcommunity.microsoft.com/t5/microsoft-app-assure/exploring-agentic-uses-cases-for-microsoft-sentinel/ba-p/4511754
← Все новости