Security

Copilot Studio: 10 мисконфигураций и Defender Hunting

3 мин. чтения

Кратко

Microsoft предупредила о 10 типичных мисконфигурациях в Copilot Studio, которые могут незаметно расширять доступ к данным, ослаблять контроль идентичности и создавать новые векторы атак через low-code ИИ-агентов. Важно, что компания не только перечислила риски, но и привязала их к готовым Defender Advanced Hunting Community Queries и рекомендациям по снижению угроз, что помогает командам безопасности быстрее находить и устранять опасные настройки в Power Platform.

Нужна помощь с Security?Поговорить с экспертом

Введение: почему это важно

Агенты быстро становятся новой плоскостью управления доступом к данным и автоматизацией рабочих процессов — часто их создают и развёртывают в сжатые сроки с помощью low-code инструментов вроде Copilot Studio. Microsoft предупреждает, что небольшие решения в конфигурации (слишком широкое предоставление доступа, небезопасные действия, слабая аутентификация, устаревшее владение) могут создавать пути к идентичности и доступу к данным, которые традиционные средства безопасности могут не отслеживать. Итог: неправильно настроенные агенты могут незаметно расширять поверхность атаки и позволять злоупотребления, основанные на prompt, или утечку данных.

Что нового: 10 распространённых неправильных конфигураций агентов (и как их обнаружить)

Microsoft описывает десять неправильных конфигураций, встречающихся «в реальной среде», и сопоставляет каждую с Defender Advanced Hunting Community Queries (Security portal → Advanced hunting → Queries → Community Queries → папка AI Agent), а также с рекомендуемыми мерами снижения рисков в Copilot Studio/Power Platform.

Ключевые темы включают:

1) Чрезмерно широкое предоставление доступа и слабые границы доступа

  • Риск: Агенты расшарены на всю организацию или на слишком широкие группы.
  • Обнаружение: Запросы вроде AI Agents – Organization or Multitenant Shared.
  • Снижение риска: Используйте Managed Environments и agent sharing limits; проверьте стратегию сред (environment) и область предоставления доступа.

2) Отсутствующая или непоследовательная аутентификация

  • Риск: Агенты, не требующие аутентификации, становятся публичной точкой входа.
  • Обнаружение: AI Agents – No Authentication Required.
  • Снижение риска: Принудительно включайте agent authentication at the environment level (аутентификация включена по умолчанию — не ослабляйте её для тестов без защитных ограничений).

3) Рискованные действия, коннекторы и пути эксфильтрации

  • Риск: Действия HTTP Request с небезопасными настройками (не-HTTPS, нестандартные порты) или email-действия, позволяющие эксфильтрацию данных.
  • Обнаружение: Запросы, покрывающие шаблоны HTTP request и email-на-наружу/ввод, контролируемый AI.
  • Снижение риска: Применяйте Data Policies / Advanced Connector Policies, а также рассмотрите Microsoft Defender Real-time Protection и контроль действий коннекторов.

4) Дрейф управления: неактивные, «осиротевшие» и чрезмерно привилегированные агенты

  • Риск: Неактивные агенты/подключения, аутентификация автора (maker), «осиротевшие» агенты с отключенными владельцами, жёстко прописанные учётные данные.
  • Обнаружение: Запросы для поиска неактивных/неизменяемых агентов, author auth, hardcoded credentials, orphaned owners.
  • Снижение риска: Регулярно пересматривайте инвентаризацию, ограничивайте учётные данные maker, храните секреты в Azure Key Vault через environment variables, изолируйте/выводите из эксплуатации устаревших агентов.

5) Риски новых инструментов и оркестрации

  • Риск: Инструменты MCP и генеративная оркестрация без чётких инструкций (дрейф поведения/злоупотребления через prompt).
  • Обнаружение: MCP configured и orchestration without instructions.
  • Снижение риска: Ограничивайте MCP tooling через политики; опирайтесь на встроенные guardrails (например, Azure Prompt Shield/RAI controls) и публикуйте агента с чёткими инструкциями.

Влияние на ИТ-администраторов и команды безопасности

  • Ожидайте, что агенты будут создавать нетрадиционные пути доступа (коннекторы, MCP tools, email actions), которые могут обходить устоявшийся мониторинг.
  • Высокая скорость low-code повышает вероятность масштабных ошибок конфигурации, особенно в нескольких средах Power Platform.
  • Проблемы управления (владение, неактивность, учётные данные maker) могут формировать устойчивый, трудно заметный риск.

Рекомендуемые следующие шаги

  1. Запустите AI Agent Community Queries в Defender Advanced Hunting и зафиксируйте базовый уровень результатов по каждой среде.
  2. Принудительно включите аутентификацию на уровне environment и пересмотрите любые исключения.
  3. Внедрите/проверьте Managed Environments, sharing limits и Data/Connector policies.
  4. Проверьте author authentication, hardcoded secrets и orphaned/dormant agents; устраните проблемы и выводите из эксплуатации там, где это уместно.
  5. Задокументируйте безопасные рекомендации по разработке для makers (лучшие практики HTTP, работа с секретами, качество инструкций) и добавьте их во внутренний onboarding.

Нужна помощь с Security?

Наши эксперты помогут вам внедрить и оптимизировать решения Microsoft.

Поговорить с экспертом

Будьте в курсе технологий Microsoft

Читать оригинальную статью от Microsoft Defender Security Research Team
Copilot StudioMicrosoft DefenderAdvanced HuntingPower Platform governanceAI security

Похожие статьи

Security

Компрометация цепочки поставок Trivy: рекомендации Defender

Microsoft опубликовала рекомендации по обнаружению, расследованию и смягчению последствий компрометации цепочки поставок Trivy в марте 2026 года, затронувшей бинарный файл Trivy и связанные GitHub Actions. Инцидент важен тем, что доверенный инструмент безопасности CI/CD был использован для кражи учетных данных из пайплайнов сборки, облачных сред и систем разработчиков, при этом внешне работая как обычно.

Security

Управление AI Agent: выравнивание намерений для безопасности

Microsoft описывает модель управления для AI agents, которая выравнивает намерения пользователя, разработчика, роли и организации. Эта структура помогает компаниям сохранять полезность, безопасность и соответствие требованиям, задавая поведенческие границы и понятный порядок приоритета при возникновении конфликтов.

Security

Predictive shielding в Microsoft Defender против GPO-шифровальщика

Microsoft описала реальный случай ransomware, в котором predictive shielding в Defender обнаружил вредоносное злоупотребление Group Policy Objects (GPO) до начала шифрования. За счёт усиления защиты распространения GPO и блокировки скомпрометированных учётных записей Defender остановил около 97% попыток шифрования и не позволил зашифровать ни одно устройство через путь доставки GPO.

Security

Защита agentic AI: новые решения Microsoft на RSAC

На RSAC 2026 Microsoft представила комплексный набор решений для защиты agentic AI, включая Agent 365, который станет общедоступным 1 мая и позволит централизованно управлять, защищать и контролировать AI-агентов в связке с Defender, Entra и Purview. Это важно, потому что по мере массового внедрения AI-агентов компаниям нужны новые инструменты для выявления теневого использования AI, снижения риска утечек данных и управления доступом в масштабе всей организации.

Security

Microsoft open source CTI-REALM для AI detection engineering

Microsoft открыла CTI-REALM — бенчмарк, который проверяет, могут ли AI-агенты реально выполнять задачи detection engineering: анализировать CTI-отчёты, сопоставлять техники MITRE ATT&CK и создавать/валидировать правила обнаружения. Это важно для SOC и security-команд, потому что инструмент смещает оценку ИИ от теоретических ответов к практическим операционным результатам в Linux, AKS и Azure-средах.

Security

Zero Trust for AI от Microsoft: воркшоп и архитектура

Microsoft представила подход Zero Trust for AI и обновила Zero Trust Workshop, добавив отдельный AI-столп для оценки и проектирования защиты моделей, агентов, данных и автоматизированных решений. Это важно для компаний, внедряющих AI: новые рекомендации помогают системно учитывать риски вроде prompt injection и data poisoning, а также согласовать меры безопасности между IT, ИБ и бизнесом.