很多企業的現況其實很矛盾:
工具都齊了(Defender、Entra ID、各種 Log),但事件來的時候,第一線還是很痛。
原因不難理解——
告警多不代表安全,告警多只代表:「你會更忙」。
真正的問題通常是這三個:
- 看得到告警,但看不懂重點(Log 太長、欄位太多)
- 知道出事,但無法快速決策(不知道原因、也不知道先做什麼)
- 通知很常延遲或被淹沒(Email/Teams 太多訊息,重要的反而沒被看到)
所以我用AI做了一個很直接的整合:
M365 API + AI + LINE Bot
讓告警從「資訊」變成「可以立刻處理的訊息」。
這套整合在做什麼?(一句話)
自動抓取 M365 安全事件 → AI 保留原始 Log 並解釋告警原因 → LINE 即時推播到值班人員。
三個核心功能(你會真的用到的那種)
1) 抓取 M365 Log / Security 事件
透過 Microsoft 365 安全相關事件拉出來(可依你的環境選擇來源),常見包含:
- Defender 的 alert / incident
- Entra ID 的 sign-in / audit logs
- 其他 M365 安全事件(依需求擴充)
目標不是「收更多」,而是「收得對、收得能用」。
2) AI:保留原始 Log,並解釋「這個 Alert 為什麼出現」
這是整套方案最關鍵的價值點:
AI 不會改寫原始資料,原始 Log 會完整保留(可稽核、可追查),同時生成一段「人類能看懂」的解釋:
你可以把它理解成:Log 是證據,AI 是翻譯官 。
3) LINE Bot 通知:讓事件真的找得到人
在台灣企業很常見:Teams/Email 有通知,但第一線就是容易漏。
LINE 的優勢很直接:到達率高、反應快、值班人員一定看得到。
推播內容會做成「一眼就能判斷」的格式,例如:
- 嚴重度(High/Medium/Low)
- 事件類型、
- 受影響帳號/裝置
- 原始警告
- AI 解釋摘要(1~3 句)
你會得到的效益
- MTTR 下降:告警來的那一刻就能決策,不用先讀 5 分鐘 Log
- 人力更好用:新人也能先照建議做第一階段 triage
- 可稽核:原始 Log 完整保留,符合追查/稽核需求
- 通知不漏接:LINE 推播直接到人,不再靠「有人剛好在看」
- 可擴充:後續可加規則、白名單、重複抑制、週報/月報等
如果您要找的就是這個服務,請聯繫我
Email : Howardaistudio@gmail.com
常見問題
Q1:AI 會不會把 Log 內容改掉?
不會。原始 Log 會保留並可回查,AI 的輸出是「解釋與建議」,兩者分開。
Q2:只推播到 LINE 會不會不符合流程?
目前Defender 警告只能透過信件,Teams 也有自己的做法
如果你正在被告警轟炸,這套很適合你
如果你公司也遇到:
- 告警太多、值班太累、處理速度跟不上
- 新人看不懂、資深要一直救火
- 通知常漏接、或收到時已經太晚
- 主管問「這個告警到底重不重要?」你很難一句話回答
#Microsoft365 #Defender #EntraID #Security #AI #LINEBot #SOC #Automation
