Security Copilot dans Microsoft Defender : l'IA autonome au service du SOC
L'évolution des Security Operations Centers (SOC) modernes exige des capacités de détection et de réponse opérant à la vitesse machine. Microsoft Security Copilot, intégré nativement au portail Microsoft Defender XDR, introduit une nouvelle génération d'agents IA autonomes capables de trier, investiguer et contextualiser les menaces sans intervention humaine systématique. Cet article décortique l'architecture, les prérequis techniques et les cas d'usage opérationnels des quatre agents déployés dans Defender, à destination des ingénieurs sécurité et des administrateurs SOC.
Distinction fondamentale : IA assistive vs IA autonome
L'IA assistive (comme M365 Copilot) génère des insights et des résumés à la demande de l'analyste. L'IA autonome prend des décisions et exécute des actions de manière proactive, sans déclenchement manuel — réduisant le MTTR (Mean Time To Respond) de plusieurs heures à quelques minutes.
Architecture générale : les quatre agents Security Copilot dans Defender
Les agents Security Copilot sont déployés au sein du portail security.microsoft.com via le panneau Security Copilot > Agents. Chaque agent dispose d'une identité managée propre (Agent ID), de plugins spécifiques et de permissions RBAC dédiées. La plateforme supporte également des agents tiers et des agents personnalisés (via API REST, KQL, Logic Apps ou serveurs MCP).
| Agent | Type | Déclenchement | Statut |
|---|---|---|---|
| Phishing Triage Agent | Autonome | User-reported phish (clic droit) | GA |
| Threat Intel Briefing Agent | Autonome | Planifié / à la demande | GA |
| Threat Hunting Agent | Assistif avancé | Requête NLP dans Advanced Hunting | GA |
| Dynamic Threat Detection Agent | Autonome 24/7 | Zéro configuration (background) | Public Preview |
Écosystème d'agents étendu
Au-delà des agents SOC, Microsoft déploie des agents spécialisés dans Microsoft Entra (identity & access), Microsoft Intune (endpoint management) et Microsoft Purview (data governance). Le SIEM Migration Agent est également disponible pour accélérer les migrations depuis des SIEM tiers.
Agent 1 : Phishing Triage Agent
Prérequis et configuration
Le Phishing Triage Agent est l'agent autonome le plus mature de l'écosystème Defender. Son déclenchement repose exclusivement sur le mécanisme de User Reported Phish : lorsqu'un utilisateur fait un clic droit sur un email et sélectionne « Signaler comme hameçonnage », cela déclenche automatiquement l'agent.
Activer les User Reported Settings
Accédez à security.microsoft.com > Paramètres > Email & Collaboration > User Reported Settings. Activez la possibilité pour les utilisateurs de signaler les emails comme phishing. Configurez également l'email de retour de résultat (Phishing/Malware Response Results Email).
Déployer l'agent depuis le panneau Security Copilot
Dans le portail Defender, développez le panneau Security Copilot et cliquez sur Agents. Sélectionnez le Phishing Triage Agent et cliquez sur Go to Agent.
Configurer l'Agent ID dans Microsoft Entra
Copiez l'Object ID de l'agent depuis la page de détails. Accédez au portail Entra ID (entra.microsoft.com > Applications > Agents > All Agents) et collez l'Object ID pour retrouver l'identité managée associée. Cet Agent ID est l'identité sous laquelle s'exécutent toutes les actions de l'agent.
Activer les plugins requis sur la plateforme Security Copilot
Accédez à securitycopilot.microsoft.com et activez les trois plugins obligatoires :
- Microsoft Defender XDR
- Microsoft Threat Intelligence
- Phishing Triage Agent Plugin
Vérifier les permissions RBAC Defender unifiées
Cet agent requiert le Defender Unified RBAC (rôle RBAC unifié). Les permissions minimales requises pour l'agent sont :
Security Data Basics ReadEmail & Collaboration Content ReadSecurity Copilot ReadManage Alerts
Les Security Admins peuvent configurer, réinitialiser ou suspendre l'agent. Tout utilisateur disposant de permissions équivalentes peut consulter les résultats de l'agent.
Agent ID : sécurisation et gouvernance des identités d'agents
L'Agent ID est un concept architectural fondamental introduit avec les agents autonomes Security Copilot. Il s'agit d'une identité managée (Managed Identity) enregistrée dans Microsoft Entra ID, qui représente l'agent en tant que principal de sécurité. Cette approche offre plusieurs avantages critiques :
- Réduction du blast radius : les permissions sont strictement limitées au périmètre fonctionnel de l'agent
- Permissions basées sur la charge de travail (workload-based permissions)
- Application de politiques de Conditional Access sur l'identité de l'agent
- Auditabilité complète des actions via les logs Entra ID
Gouvernance des agents IA : lecture obligatoire
Microsoft recommande fortement de consulter la documentation officielle sur l'Agent ID et les contrôles de sécurité associés, notamment l'application du Conditional Access aux identités d'agents. Une mauvaise configuration des permissions d'un agent autonome peut constituer un vecteur de risque significatif. Référence : Security Copilot Agent Identity documentation
Plugins personnalisés et tiers
La plateforme Security Copilot supporte trois catégories de plugins :
- Plugins first-party Microsoft : Defender XDR, Threat Intelligence, Entra, Intune, Purview
- Plugins tiers : disponibles via le Security Store (
security.microsoft.com > Security Copilot > Browse more agents) - Plugins personnalisés : développables à partir d'une API REST, d'une requête KQL, d'une Logic App ou d'un serveur MCP (Model Context Protocol)
Fonctionnement opérationnel et analyse du workflow
Lorsqu'un utilisateur signale un email, l'agent réalise en moins de 4 minutes les étapes suivantes :
- Auto-assignation de l'alerte et démarrage de l'investigation
- Consultation de la mémoire (feedback historique des analystes)
- Parsing du contenu brut de l'email (headers, métadonnées)
- Analyse des enregistrements d'authentification : SPF, DMARC, DKIM
- Investigation de l'adresse IP source (réputation, géolocalisation)
- Détonation de l'email dans un environnement sandboxé
- Vérification des simulations de phishing (Attack Simulator — les emails de simulation ne déclenchent pas de faux positifs)
- Analyse du sentiment et de l'urgence du message
- Capture d'écran et analyse visuelle du contenu
- Verdict final : True Positive (TP), False Positive (FP), ou escalade vers l'analyste
Point critique : email supprimé = investigation impossible
Si l'utilisateur supprime l'email après l'avoir signalé, ou si Zero-hour Auto Purge (ZAP) a supprimé le message, l'agent ne peut pas effectuer le triage. Cette erreur figure parmi les causes les plus fréquentes d'échecs d'investigation dans le tableau de bord de performance. Assurez-vous que les politiques de rétention sont compatibles avec le délai de traitement de l'agent.
Tableau de bord de performance : métriques clés
Le panneau Performance de l'agent expose les indicateurs suivants :
- Total des soumissions sur 30 et 90 jours
- Incidents adressés vs total (les TPs non résolus automatiquement restent ouverts pour l'analyste)
- Mean Time to Triage (MTTT) : environ 3 minutes 5 secondes en moyenne
- Consommation de Security Compute Units (SCU) : environ 0,12 à 0,15 SCU par exécution
Security Compute Units (SCU)
Les SCU sont la ressource Azure sous-jacente consommée par Security Copilot. Chaque exécution de l'agent Phishing Triage consomme en moyenne 0,12 à 0,15 SCU. Cette métrique est essentielle pour la planification capacitaire et la gestion des coûts. Référence : Security Copilot pricing
Filtrage des incidents triés par l'agent dans Defender
Pour isoler les incidents traités par le Phishing Triage Agent dans la vue incidents :
1Portail : security.microsoft.com > Investigations > Incidents & Alerts > Incidents2Filtrer par : Tags = "Agent"Les incidents triés reçoivent automatiquement deux tags :
agent(tag générique indiquant un traitement autonome)credential phishing(ou classification correspondante)
Apprentissage par feedback et Custom Guidebooks
L'une des fonctionnalités les plus stratégiques est la capacité de l'agent à apprendre du feedback des analystes. Lorsqu'un analyste modifie la classification d'un verdict (TP → FP ou FP → TP), l'agent analyse le commentaire associé et met à jour sa mémoire pour les investigations futures.
Qualité du feedback
L'agent dispose d'une logique de validation des commentaires : un feedback incohérent ou non pertinent sera ignoré. Formez vos analystes à fournir des commentaires précis et contextualisés (ex. : « Email issu de notre campagne de simulation interne via Attack Simulator — source : training@contoso.com »).
Les Custom Guidebooks permettent de personnaliser les étapes de triage recommandées par Security Copilot. Pour les déployer :
Accéder aux paramètres Copilot in Defender
Naviguez vers security.microsoft.com > Paramètres > Copilot in Defender.
Uploader votre SOP personnalisée
Cliquez sur Upload Custom Guidebook et importez votre document SOP (Standard Operating Procedure). Security Copilot analyse automatiquement le contenu et extrait les étapes structurées (triage, containment, investigation, remediation, prevention).
Vérifier l'extraction des étapes
Après upload, le portail affiche le nombre d'étapes identifiées, l'auteur et la date d'ajout. Les étapes apparaissent ensuite dans le panneau guidé des incidents concernés, clairement labellisées Custom Guidebook.
Analyst Notes : automatisation de la documentation d'incident
La fonctionnalité Analyst Notes (notes d'analyste) permet à Security Copilot de rédiger automatiquement un rapport d'investigation structuré pendant qu'un analyste travaille sur un incident parallèle. Le rapport généré contient :
- Résumé exécutif de l'incident
- Description des alertes détectées
- Étapes d'investigation effectuées (built-in + custom guidebook)
- Conclusion et recommandations
Cela facilite le handoff entre analystes (changement de shift) et la documentation post-incident, sans surcharge de travail rédactionnel.
Roadmap : extension aux alertes basées sur l'identité
Annoncée lors de Microsoft Ignite, la prochaine évolution du Phishing Triage Agent inclura la prise en charge des alertes basées sur l'identité :
- Détections de dérive binaire dans Microsoft Defender for Cloud (alertes Kubernetes)
- Risk detections Microsoft Entra ID (utilisateurs synchronisés depuis le cloud)
- Alertes d'identité hybride
Agent 2 : Threat Intelligence Briefing Agent
Le Threat Intel Briefing Agent génère automatiquement un rapport de threat intelligence personnalisé pour votre tenant, accessible directement depuis security.microsoft.com > Threat Intelligence > Threat Analytics.
Ce que produit cet agent
Contrairement aux rapports génériques de threat intelligence, cet agent corrèle les données mondiales de Microsoft Threat Intelligence avec :
- Le secteur d'activité configuré lors du déploiement de l'agent
- Les CVEs actifs impactant des équipements de votre tenant
- Les données EASM (External Attack Surface Management)
- Les indicateurs de compromission (IoCs) pertinents pour votre environnement
Le rapport produit contient un résumé exécutif adapté aux CISO et aux équipes de direction, mais aussi des liens directs vers le portail Advanced Hunting avec des requêtes KQL pré-générées pour investiguer les appareils impactés.
Prérequis : rapport d'exposition
Si le message « Exposure report not available » apparaît dans le rapport, des permissions supplémentaires ou des configurations EASM sont manquantes. Cliquez sur le lien contextuel dans le portail pour accéder au guide de résolution spécifique à votre configuration.
Lien entre Threat Intel et Threat Hunting
Le rapport du Threat Intel Briefing Agent constitue un pont naturel vers l'investigation active : chaque CVE mentionné dans le rapport peut être directement cliqué pour afficher le détail, puis renvoyé vers Advanced Hunting avec une requête KQL ciblant les appareils vulnérables de votre tenant.
Agent 3 : Threat Hunting Agent
Le Threat Hunting Agent est accessible depuis security.microsoft.com > Investigations > Hunting > Advanced Hunting. Il se présente sous la forme d'un panneau Copilot intégré à l'interface Advanced Hunting existante.
Génération de KQL en langage naturel
L'agent traduit des requêtes en langage naturel en requêtes KQL (Kusto Query Language) optimisées. Exemple d'interaction :
1Requête NLP : "Liste tous les appareils Windows 7 ou Windows 10 actifs dans l'environnement"L'agent génère automatiquement la requête KQL correspondante, l'exécute et présente les résultats avec des visualisations. Il propose ensuite des étapes d'investigation suivantes contextualisées.
1// Exemple de requête générée par le Threat Hunting Agent2DeviceInfo3| where OSPlatform has_any ("Windows 7", "Windows 10")4| where Timestamp > ago(7d)5| summarize LastSeen = max(Timestamp), Count = count() by DeviceName, OSPlatform, OSVersion6| order by LastSeen descIdéal pour les analystes juniors
Le Threat Hunting Agent est particulièrement précieux pour les analystes débutants en KQL. Il ne se contente pas de générer la requête — il explique le raisonnement, interprète les résultats et suggère les prochaines questions d'investigation, agissant comme un mentor technique en temps réel.
Workflow d'investigation interactive
L'agent supporte des sessions d'investigation conversationnelles multi-tours :
- Question initiale → génération KQL + exécution + résultats
- Raffinement → « Maintenant, liste les alertes de sécurité récentes pour ces appareils spécifiques »
- Contextualisation → l'agent génère une nouvelle requête KQL tenant compte des résultats précédents
- Recommandations → liste d'actions de remédiation ou d'investigation complémentaires
Agent 4 : Dynamic Threat Detection Agent
Le Dynamic Threat Detection Agent est l'agent le plus innovant du quartet. Il fonctionne en mode 24/7 en arrière-plan, sans configuration requise, et est actuellement en Public Preview.
Fonctionnement : détection des angles morts
Cet agent analyse en continu l'ensemble des signaux disponibles dans votre environnement Defender XDR :
- Données SIEM/SOAR : Microsoft Sentinel (anciennement Azure Sentinel)
- Signaux XDR first-party : Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps
- Signaux XDR tiers : AWS, GCP et autres intégrations connectées
Son objectif est d'identifier des patterns malveillants qui n'auraient pas déclenché de règles de détection classiques — comblant ainsi les angles morts des règles analytiques statiques.
Exemples de détections identifiées
- Campagnes de phishing interne inhabituelles
- Recherches e-discovery anormales
- Modifications suspectes d'applications OAuth
- Authentifications via des proxies anonymes (réseau Tor, VPN douteux)
- Accès à des données sensibles par des comptes compromis
Accès aux alertes dans le portail Defender
Les incidents détectés par cet agent sont accessibles via :
1security.microsoft.com > Investigations > Incidents & Alerts > Incidents2Filtre rapide : "Incidents involving AI detections"Chaque alerte générée inclut :
- Description de l'anomalie détectée
- Mapping MITRE ATT&CK (tactiques et techniques associées)
- Preuves et indicateurs ayant motivé la détection
- Actions recommandées
Zero-touch deployment
Le Dynamic Threat Detection Agent ne nécessite aucune configuration initiale. Il est activé automatiquement pour tous les tenants éligibles à Security Copilot. Des contrôles de configuration supplémentaires seront disponibles lors du passage en General Availability (GA).
Démonstration publique et ressources officielles
Microsoft met à disposition une démonstration publique du Phishing Triage Agent accessible sans authentification :
- Demo Phishing Triage Agent : aka.ms/ptademo
- Documentation Security Copilot : learn.microsoft.com/security-copilot
- Security Copilot Platform : securitycopilot.microsoft.com
- Portail Defender : security.microsoft.com
- Tarification Security Copilot (SCU) : Azure Pricing - Copilot for Security
Construire votre propre agent Security Copilot
Si les agents natifs ne couvrent pas un cas d'usage spécifique à votre organisation, la plateforme Security Copilot permet de développer des agents personnalisés. Deux approches sont disponibles :
| Approche | Outil | Profil requis | Cas d'usage |
|---|---|---|---|
| Low-code | Microsoft Copilot Studio | Analyste sécurité / Power User | Automatisation de workflows SOC, intégration de bases de connaissance internes |
| Pro-code | VS Code + Security Copilot SDK | Ingénieur cloud / Développeur | Agents complexes, intégrations API custom, plugins MCP |
Synthèse : l'évolution vers l'IA agentique dans les SOC
Les quatre agents Security Copilot dans Microsoft Defender représentent une évolution architecturale majeure pour les SOC modernes, structurée autour de quatre piliers opérationnels :
- Anticiper et prévenir : Threat Intel Briefing Agent (rapports personnalisés, CVEs actifs, EASM)
- Détecter et perturber : Dynamic Threat Detection Agent (détection continue 24/7, angles morts)
- Trier et investiguer : Phishing Triage Agent + Threat Hunting Agent (MTTT < 4 min, KQL assisté)
- Documenter et optimiser : Analyst Notes + Custom Guidebooks (handoff structuré, SOPs intégrées)
Prochaines étapes recommandées
- Activer les User Reported Settings dans Defender pour permettre le déploiement du Phishing Triage Agent
- Configurer un Agent ID dédié dans Entra ID avec des permissions minimales (least privilege)
- Déployer le Threat Intel Briefing Agent en configurant votre secteur d'activité
- Explorer les Custom Guidebooks pour intégrer vos SOPs existantes dans le workflow Copilot
- Consulter la session Microsoft Ignite sur le Predictive Shielding pour anticiper les évolutions de la plateforme



