事件经过
Microsoft 于2026年6月30日在Sentinel中推出了三项AI代理安全功能。首先,ASIM "AI Agent Events"架构正式发布,将来自AI驱动工作流和自主代理的遥测数据标准化为通用形式,使单一分析规则可覆盖所有来源。其次,Agent Identities Asset Connector(公开预览版)添加了四个身份表——代理所有者、身份、蓝图和服务主体——为AI代理实现从所有者到权限到资源的完整可追溯性。第三,Sentinel MCP图形工具(公开预览版)允许分析人员从单个警报开始可视化身份、设备和警报之间的关系。
影响分析
部署AI代理的企业现在拥有用于代理活动的原生SIEM数据平面:标准化遥测、身份上下文和基于图形的调查集成在一个堆栈中。Agent Identities连接器直接解决了"谁拥有这个代理以及它能访问什么?"的问题,该问题曾使大多数SOC对代理工作负载一无所知。
适用范围
运行AI代理或Copilot工作流的Microsoft Sentinel客户应立即启用ASIM AI Agent Events架构和Agent Identities连接器;MCP图形工具处于预览状态但现已可用。