Автоматизация проверки на фишинг с помощью агентов искусственного интеллекта в Microsoft Defender

Автоматизация проверки на фишинг с помощью агентов искусственного интеллекта в Microsoft Defender

10 марта 2026 г.

Введение: борьба с фишингом в эпоху искусственного интеллекта

Фишинг остается одной из наиболее стойких и эффективных киберугроз, постоянно совершенствующихся и расширяющихся. К 2026 году, с появлением инструментов генеративного искусственного интеллекта, злоумышленники получат возможность создавать очень убедительные и персонализированные фишинговые электронные письма в беспрецедентных масштабах, что сделает ручное обнаружение и сортировку группами безопасности и эксплуатации (SOC) практически невыполнимой задачей. Объем фишинговых сообщений от пользователей может быстро ошеломить аналитиков, что приведет к задержкам в ответе и увеличит риск компрометации [1].

Традиционно процесс проверки на фишинг включал несколько ручных шагов: пользователь сообщал о подозрительном электронном письме, аналитик безопасности просматривал заголовок электронного письма, анализировал ссылки и вложения (часто в изолированных средах), проверял репутацию отправителя и, наконец, принимал решение о характере угрозы и действиях по устранению. Этот процесс, хотя и эффективен в небольших масштабах, медленный, подвержен человеческим ошибкам и не масштабируется для огромного объема современных атак [2].

Чтобы решить эту проблему, Microsoft выпустила Агент проверки фишинга, революционный автономный компонент Microsoft Defender для Office 365. Этот агент, оснащенный передовым искусственным интеллектом, предназначен для анализа, расследования и устранения подозрительных фишинговых писем за считанные секунды, что позволяет командам SOC сосредоточиться на более сложных и стратегических угрозах. Агент Phishing Triage представляет собой значительный шаг вперед в автоматизации безопасности, меняя способы реагирования организаций на фишинговые атаки [3].

Целью этой технической и образовательной статьи является подробное рассмотрение агента проверки фишинга, его принципов работы и преимуществ, а также пошаговое руководство по его включению и настройке в среде Microsoft Defender для Office 365. Наше внимание будет сосредоточено на том, как эта технология может повысить уровень безопасности вашей организации против фишинговых угроз в 2026 году и в последующий период.

Проблема проверки на фишинг и решение с помощью ИИ-агента

Эффективность фишинга заключается в его способности использовать человеческую природу и доверие. С помощью ИИ злоумышленники могут:

  • Массовая персонализация. Создавайте персонализированные фишинговые электронные письма, имитирующие законные сообщения от банков, поставщиков или даже коллег, что повышает вероятность успеха.

  • Уклонение от обнаружения: создавайте варианты фишинговых писем, которые обходят традиционные фильтры электронной почты, используя методы обфускации и полиморфизма.

  • Продвинутая социальная инженерия: создавайте более сложные и правдоподобные истории, используя текущие события или тенденции для обмана жертв.

Столкнувшись с этим сценарием, реакция человека становится недостаточной. Именно здесь в игру вступает агент фишинговой сортировки. Он работает на основе принципов искусственного интеллекта и машинного обучения, что позволяет:

  • Глубокий контекстный анализ: агент не только проверяет подозрительные ключевые слова или ссылки, но и использует расширенные языковые модели, чтобы понять контекст, тон и цель электронного письма. Он может выявлять тонкие аномалии, которые остались бы незамеченными фильтрами, основанными на правилах, или людьми-аналитиками, находящимися под давлением.

  • Имитация в песочнице: для ссылок и вложений агент имитирует взаимодействие в изолированной среде (песочнице), наблюдая за поведением ссылки (перенаправление, загрузка вредоносного ПО) или вложения (выполнение вредоносных сценариев), не раскрывая реальную сеть организации. Это позволяет провести точную и безопасную оценку риска [4].

  • Автоматическое исправление: на основе своего анализа агент может предпринять заранее определенные действия по исправлению, такие как перемещение электронного письма в карантин, окончательное удаление его из папки «Входящие» пользователя или даже блокировка отправителя на уровне шлюза.

Инновационные преимущества автономной сортировки

Внедрение агента проверки фишинга обеспечивает революционные преимущества для операций по обеспечению безопасности:

  • Непревзойденная скорость: проверка и устранение фишинговых писем сокращается с часов или минут до нескольких секунд. Это сводит к минимуму окно возможностей для пользователей переходить по вредоносным ссылкам или открывать опасные вложения.sos, сдерживающий распространение атак.

  • Повышенная точность. Благодаря контекстному анализу и моделированию в «песочнице» агент достигает более высокого уровня обнаружения угроз и, что особенно важно, значительного снижения количества ложных срабатываний. Это предотвращает усталость команд SOC от оповещений и гарантирует выделение ресурсов для борьбы с реальными угрозами.

  • Массовая масштабируемость: агент может обрабатывать фишинговые электронные письма в объемах, которые были бы невозможны для человеческих команд, обеспечивая единообразную защиту во всей организации, независимо от размера или интенсивности атаки.

  • Оптимизация ресурсов SOC. Автоматизируя сортировку угроз низкого и среднего риска, агент сортировки фишинга позволяет аналитикам безопасности сосредоточиться на более сложных расследованиях, упреждающем поиске угроз и разработке стратегий безопасности, повышая общий уровень зрелости SOC.

  • Последовательное реагирование. Автоматизация гарантирует, что каждый инцидент фишинга обрабатывается последовательно, в соответствии с заранее заданными политиками безопасности, исключая изменчивость, которая может возникнуть из-за вмешательства человека.

Предварительные условия для реализации

Чтобы использовать возможности агента проверки фишинга, вашей организации потребуются следующие элементы:

  • Лицензирование Microsoft Defender для Office 365: Агент проверки фишинга — это расширенная функция, доступная в Microsoft Defender для лицензий Office 365 Plan 2 или пакетов Microsoft 365 E5/A5/G5, включающих этот план.

  • Административный доступ: учетные записи с разрешениями глобального администратора, администратора безопасности или администратора соответствия требованиям на портале Microsoft Defender (security.microsoft.com).

  • Базовая конфигурация Защитника для Office 365. Ожидается, что основные политики защиты от фишинга, спама и вредоносного ПО уже настроены и работают.

  • Политика отчетности о сообщениях пользователей: чтобы агент мог действовать, у пользователей должен быть простой механизм сообщения о фишинговых электронных письмах (например, надстройка «Сообщение с отчетом» в Outlook).

Пошаговое руководство: активация и настройка агента проверки фишинга

Активация и настройка агента проверки фишинга — это простой процесс, предназначенный для полной интеграции со средой Microsoft Defender для Office 365.

Шаг 1. Включение агента проверки фишинга на портале Microsoft Defender

Этот начальный шаг включает в себя включение функции на панели безопасности, позволяющей агенту начать работу.

  1. Доступ к порталу Microsoft Defender: откройте браузер и перейдите по адресу security.microsoft.com. Войдите в систему с учетной записью, имеющей необходимые административные разрешения.

  2. Перейдите к разделу «Политики угроз». На левой панели навигации разверните Электронная почта и совместная работа и выберите Политики и правила. Затем нажмите Политики угроз.

  3. Найдите агента сортировки фишинга. В разделе «Политики угроз» вы найдете раздел, посвященный ресурсам ИИ. Выберите Агент проверки фишинга (предварительная версия/GA). Обозначение «Предварительная версия/GA» указывает на то, что функция может находиться в общедоступной предварительной версии или уже стала общедоступной, в зависимости от вашего региона и графика выпуска Microsoft.

  4. Активировать агента: переведите переключатель состояния в положение Вкл.. Это включит агента. Далее вам нужно будет определить сферу применения. Для полного охвата выберите Вся организация. Вы также можете выбрать определенные группы пользователей или домены для поэтапного внедрения.

  5. Сохранить изменения. Обязательно сохраните все настройки политик, которые будут применяться.

Шаг 2. Определение автоматических действий по исправлению

После активации крайне важно настроить способ реагирования агента проверки фишинга на различные уровни угроз. Это позволяет вам настроить, насколько агрессивно агент должен действовать при исправлении.

  1. Доступ к автоматическим действиям агента. На том же экране конфигурации агента проверки фишинга перейдите к разделу Автоматические действия.

  2. Настроить угрозы с высокой степенью достоверности. Для сообщений электронной почты, классифицированных как фишинговые с высокой степенью достоверности (т. е. агент полностью уверен в вредоносном характере), выберите действие Удалить навсегда**. Это действие удаляет электронное письмо из папки «Входящие» пользователя и любой папки, предотвращая дальнейшее взаимодействие.будущее.

  3. Настроить угрозы средней степени достоверности. Для электронных писем со средней степенью достоверности (при наличии убедительных, но не убедительных доказательств фишинга) выберите Переместить в карантин и уведомить администратора**. Такой подход позволяет аналитику просмотреть помещенное в карантин электронное письмо перед его безвозвратным удалением, что снижает риск ложных срабатываний, но при этом сдерживает угрозу.

  4. Другие варианты исправления. Изучите другие варианты, такие как Переместить в нежелательную почту для угроз с низким уровнем доверия или Блокировать отправителя для повторных фишинговых отправителей. Гибкость этих настроек позволяет детально контролировать реакцию агента.

  5. Сохранить изменения: подтвердите настройки исправления.

Шаг 3: Мониторинг и анализ результатов

Чтобы оценить эффективность агента проверки фишинга и убедиться, что он работает должным образом, Microsoft Defender для Office 365 предлагает специальные панели мониторинга и отчеты.

  1. Доступ к электронной почте и отчетам о совместной работе. В боковом меню портала Microsoft Defender выберите Отчеты > Электронная почта и совместная работа.

  2. Просмотр отчета «Эффективность AI-агента». Найдите отчет «Эффективность AI-агента» (или похожее название, которое может незначительно отличаться). Этот отчет предназначен для отображения таких ключевых показателей, как:

  3. Количество предотвращенных атак: сколько фишинговых писем было обнаружено и исправлено агентом без вмешательства человека.

  4. Среднее время ответа: скорость, с которой действовал агент, по сравнению с ручной сортировкой.

  5. Ложные срабатывания/отрицательные результаты: анализ точности агента, позволяющий точно настроить политику исправления.

  6. Тенденции атак: информация о наиболее распространенных типах фишинга и тактиках, используемых злоумышленниками.

  7. Используйте Обозреватель угроз. Для более детального расследования Обозреватель угроз в Защитнике для Office 365 позволяет искать конкретные электронные письма, просматривать вердикт злоумышленника и понимать путь угрозы.

  8. Настройка настраиваемых оповещений. В Microsoft Sentinel (если он интегрирован) вы можете настроить настраиваемые оповещения, чтобы уведомлять вас о большом количестве обнаружений фишинга агентами или о сложных попытках фишинга, требующих человеческого внимания.

Дополнительные соображения и лучшие практики

  • Обучение пользователей. Хотя агент автоматизирует проверку, постоянное обучение пользователей навыкам выявления и сообщения о подозрительных электронных письмах по-прежнему имеет важное значение. Агент действует на основе отчетов пользователей, а сильная культура безопасности является первой линией защиты.

  • Периодический обзор политики: Ландшафт угроз постоянно меняется. Регулярно проверяйте конфигурации агента Phishing Triage и политики исправления, чтобы гарантировать, что они остаются эффективными против новейших тактик злоумышленников.

  • Интеграция SOC. Обеспечьте интеграцию результатов и оповещений агента сортировки фишинга с вашей системой SIEM/SOAR (например, Microsoft Sentinel) для унифицированного представления безопасности и организации более широкого реагирования на инциденты.

  • Режим начального аудита. Для организаций, которым нужен более осторожный подход, рассмотрите возможность первоначальной настройки агента в режиме аудита или с более мягкими действиями по исправлению (например, перемещение в нежелательную зону), чтобы отслеживать его производительность перед выполнением более агрессивных действий.

  • Постоянная обратная связь. Используйте отчеты и показатели для предоставления обратной связи моделям ИИ, помогая со временем повышать их точность и эффективность.

Заключение

Агент проверки фишинга в Microsoft Defender для Office 365 представляет собой важнейшее достижение в борьбе с фишингом в 2026 году. Автоматизируя сортировку, расследование и исправление фишинговых писем, он не только значительно ускоряет время ответа, но также повышает точность обнаружения и освобождает команды безопасности, чтобы сосредоточиться на более стратегических задачах. Эффективное внедрение этого агента является критически важным шагом для любой организации, стремящейся повысить свою киберустойчивость и защитить своих пользователей от все более изощренных угроз эпохи искусственного интеллекта. Приняв эту технологию, компании могут превратить свою защиту от фишинга из ручной реактивной борьбы вактивная и интеллектуальная работа.

Ссылки

[1] Техническое сообщество Microsoft. «Ignite 2025: что нового в Microsoft Defender?» Доступно по адресу: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/ignite-2025-whats-new-in-microsoft-defender/4469996. [2] Техническое сообщество Microsoft. «RSA 2026: что нового в Microsoft Defender?» Доступно по адресу: [https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/rsa-2026-what%E2%80%99s-new-in-microsoft-defender/4503046] (https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/rsa-2026-what%E2%80%99s-new-in-microsoft-defender/4503046) [3] Линкедин. «RSA 2026: Что нового в Microsoft Defender? | Сами Ламппу». Доступно по адресу: [https://www.linkedin.com/posts/sami-lamppu_rsa-2026-whats-new-in-microsoft-defender-activity-7442586162021433344-5Fez] (https://www.linkedin.com/posts/sami-lamppu_rsa-2026-whats-new-in-microsoft-defender-activity-7442586162021433344-5Fez) [4] Техническое сообщество Microsoft. «Новости месяца – апрель 2026 г.». Доступно по адресу: https://techcommunity.microsoft.com/blog/microsoftthreatprotectionblog/monthly-news---april-2026/4508050.