Local AI Agents i Microsoft Defender: synlighet først, blokkering senere

Microsoft Defender begynner å gi sikkerhetsteam bedre synlighet i AI-agenter.

Området jeg så på er:

Microsoft Defender portal > Assets > AI Agents

Det interessante for endpoint-team er Local agents.

En lokal AI-agent er ikke bare enda en SaaS-app. Den kan kjøre på et Windows-endepunkt med brukerens rettigheter. Avhengig av verktøyet kan den lese lokale filer, se i repositories, kalle verktøy, kjøre kommandoer eller koble seg til MCP-servere.

Det endrer risikobildet.

En nettbasert AI-chat er mest et datastyringsproblem. En lokal agent er også et endpoint governance-problem.

Hva jeg korrigerte før publisering

Jeg hadde et tidligere utkast som var for skråsikkert rundt KQL.

Den viktige korrigeringen er dette:

AgentsInfo er en ekte Microsoft Defender XDR Advanced Hunting-tabell, men den er preview og finnes ikke nødvendigvis i alle tenants ennå. Den avhenger også av relevante Microsoft Agent 365 / AI security capabilities og preview-tilgjengelighet.

Derfor ville jeg ikke startet med å bygge en workbook på toppen av tabellen. Jeg ville først validert at tabellen finnes:

AgentsInfo
| take 10

Hvis dette feiler, er ikke tabellen tilgjengelig i tenant ennå.

I tillegg må tekstverdier i KQL ha anførselstegn. Dette er gyldig:

| where LifecycleStatus != "Deleted"

Dette er ikke gyldig:

| where LifecycleStatus != Deleted

Liten detalj, men viktig hvis andre kopierer spørringer fra et blogginnlegg.

Hva Microsoft dokumenterer

Microsoft dokumenterer AI agent inventory som en preview-funksjon. Den kan inneholde skyagenter og lokale agenter oppdaget på endepunkter.

For lokale agenter kan Microsoft Defender for Endpoint oppdage støttede lokale AI-agenter og MCP-serverkonfigurasjoner på onboardede enheter. Runtime protection er en separat preview-kontroll som kan auditere eller blokkere støttede agenthandlinger drevet av prompt injection.

Microsoft dokumenterer også AgentsInfo som dagens Advanced Hunting-tabell for AI agent inventory og posture. Den eldre AIAgentsInfo-tabellen flyttes over til AgentsInfo.

Spørringen jeg ville startet med

Etter at AgentsInfo er validert, ville jeg startet slik:

let Lookback = 30d;
AgentsInfo
| where Timestamp > ago(Lookback)
| summarize arg_max(Timestamp, *) by AgentId
| where isempty(LifecycleStatus) or LifecycleStatus !in~ ("Deleted", "Uninstalled")
| project
    LastSeen = Timestamp,
    AgentId,
    AgentName,
    Platform,
    PublishedStatus,
    LifecycleStatus,
    Availability,
    Owners,
    SharedWith,
    DeclaredTools,
    McpServers,
    Model,
    Endpoints
| order by LastSeen desc

Jeg holder spørringen tett på dokumentert schema. Ingen gjettede kolonner. Ingen antatte device-felter. Ingen workbook-logikk før tabellen faktisk fungerer i tenant.

Hvorfor lokale agenter betyr noe

Risikoen er ikke bare at “AI er installert”.

Risikoen ligger i agentløkken:

Prompt, fil, nettside eller tool output
-> agent reasoning
-> tool call, filtilgang, kommando eller tjenestekall
-> handling utført som brukeren

Det er her prompt injection blir relevant. En lokal agent kan lese innhold som inneholder skjulte instruksjoner. Hvis agenten følger disse instruksjonene og har verktøytilgang, blir endepunktet en del av angrepsflaten.

MCP-servere gjør dette enda viktigere å vurdere. De kan utvide hva agenten får tilgang til.

Min foretrukne utrulling

Jeg ville ikke blokkert alt på dag én.

En tryggere tilnærming:

1. Bekreft at Defender AI agent inventory er tilgjengelig.
2. Bekreft at AgentsInfo fungerer i Advanced Hunting.
3. Gå gjennom oppdagede agenter og MCP-serverkonfigurasjon.
4. Skill forventet IT-, sikkerhets- og utviklerbruk fra uventet endpoint-bruk.
5. Pilotér Defender AI agent runtime protection i Audit-modus.
6. Gå gjennom varsler og påvirkning på arbeidsflyt.
7. Flytt utvalgte grupper til Block først etter validering.
8. Bruk App Control, AppLocker eller WDAC separat hvis selve programvaren ikke skal kunne kjøre.

Runtime protection og applikasjonskontroll er ikke samme kontroll.

Runtime protection kan hjelpe med å auditere eller blokkere støttede utrygge agenthandlinger. App Control, AppLocker eller WDAC styrer om selve agentprogrammet får kjøre.

Ting å passe på

Noen punkter jeg ville vært forsiktig med:

• Dette er preview-funksjonalitet. Forvent endringer.
• AgentsInfo finnes ikke nødvendigvis i alle tenants ennå.
• Inventar beviser ikke datalekkasje. Det viser oppdagelse eller representasjon.
• Bred Block-modus kan ødelegge legitime admin- eller utviklerarbeidsflyter.
• MCP-servertilgang bør vurderes som verktøytilgang, ikke ufarlig metadata.

Min praktiske konklusjon:

Finn -> klassifiser -> audit -> valider -> blokker der det er begrunnet

Defender løser ikke governance for lokale AI-agenter alene. Men det begynner å gi endpoint- og sikkerhetsteam et godt sted å starte.

Microsoft-referanser

• Discover AI agents and assess security posture using Microsoft Defender
• Local AI agent discovery with Microsoft Defender for Endpoint
• AI agent runtime protection with Microsoft Defender for Endpoint
• Set up AI agent runtime protection with Microsoft Defender for Endpoint
• AgentsInfo table in the Microsoft Defender XDR Advanced Hunting schema