| 做好准备 | 加入并参与 | 发挥影响力 | 扩展和优化 | |||
|---|---|---|---|---|---|---|
| 负责任的人工智能原则 什么是 Security Copilot? 安全 Copilot 飞行学校:什么是安全 Copilot? | 加入并参与 | Microsoft Learn:探索安全性 Copilot 的用例 成为一名安全 Copilot 忍者 开始使用技术文档 | 发挥影响力 | 安全 Copilot 的 GitHub 存储库 | 扩展和优化 | 插件概述 |
按角色划分的资源
探索以下最常见的角色和场景,以更好地了解 Security Copilot 如何帮助您更高效、更有成效地完成日常任务。
安全运营中心 (SOC) 分析师
SOC分析师经常面临以下挑战:
- 复杂且分散的工具: 典型组织的安全堆栈是一个复杂的拼凑物,集成度不足。这种零碎的方法会造成安全漏洞,并且会浪费时间和预算。
- 海量的数据: 必须管理和保护的身份、设备、云和应用程序数据量不断扩大,这给组织带来了更多威胁。这种数据量难以管理,并且可能隐藏组织内部的漏洞。
- 缺乏安全专业知识: 经验丰富的安全人才很难找到和培训,三分之一的网络安全职位空缺。人员短缺会减慢对安全事件的响应速度,并限制主动态势管理的资源。
安全 Copilot 可帮助安全分析师:
- 捕捉他人错过的线索。它使团队能够推理实时威胁信号及其组织的数据,以消除噪音,在造成危害之前检测出线索,并加强安全态势。Security Copilot 可与其他 Microsoft Security 产品和 Microsoft 威胁情报互操作,以帮助团队发现更深入的洞察。
- 超越对手。它为安全团队提供关键指导和背景信息,使他们能够在几分钟内(而不是几小时或几天)对事件做出响应。分析师和管理员可以用自然语言提问并接收脚本、KQL 或 KeyQL 输出,从而为团队节省时间。
- 增强团队专业知识。它使初级员工能够执行更高级的功能,并将专家员工重新引导到最艰巨的挑战中,从而提高整个团队的熟练程度。它还使新手安全分析师能够使用自然语言到 Kusto 查询语言翻译和恶意脚本分析等技能完成复杂的任务。
关键场景:
- 事件概述: 利用生成式人工智能将复杂的安全警报快速提炼为简洁、可操作的摘要,获取事件背景信息并改善整个组织的沟通,从而缩短响应时间并简化决策过程。
- 引导式回应: 获得可操作的事件响应分步指南,包括分类、调查、遏制和补救的说明。指向建议操作的相关深层链接可加快响应速度。
- 脚本逆向工程: 无需手动对恶意软件进行逆向工程,让每个分析师都能了解攻击者执行的操作。分析复杂的命令行脚本并将其翻译成带有清晰解释的自然语言。
- 影响分析: 利用人工智能驱动的分析来评估安全事件的潜在影响,提供对受影响系统和数据的洞察,以有效地确定响应工作的优先顺序。
SOC分析师的资源:
IT 管理员
IT 管理员经常面临以下挑战:
- 确保各种终端的工作人员生产力: 在多种操作系统和地点的各种设备上保持一致、高质量的用户体验至关重要,但也很有挑战性。它需要能够主动诊断和解决问题,以防止生产力损失并最大限度地减少用户体验影响。
- 保护组织免受日益复杂的网络攻击: 随着网络安全威胁的不断增长,IT 管理员面临着平衡强大的设备策略和预防性安全措施与跟上不断发展的法规的挑战。
- 紧跟快速发展的技术: 由于缺乏熟练的 IT 专业人员,特别是在高级分析、云管理和人工智能驱动的自动化等新兴领域,IT 团队在试图平衡维护现有系统和集成新技术的需求时捉襟见肘。
Security Copilot 通过以下方式帮助 IT 管理员解决端点问题:
- 通过整合来自多个来源的大量数据并应用人工智能驱动的分析来预测问题,从而帮助 IT 在问题升级之前立即采取明智的行动,从而使 IT 能够加速故障排除和解决问题。
- 为关键 IT 任务提供动态、特定于上下文的指导,包括在批准应用程序和更新管理权限之前进行策略配置和应用程序风险分析。通过提供深入的见解和可操作的建议,Security Copilot 可识别和解决盲点、解决冲突并确保一致的合规性,从而减少人工工作并最大限度地减少错误。
- 将人工智能驱动的洞察和自然语言功能无缝集成到 IT 管理员现有的工作流程中,使他们能够使用对话命令获取实时指导和建议。这种集成还使 IT 管理员能够执行高级任务,同时在此过程中不断积累知识并增强技能。
关键场景:
- 协助故障排除: 使用 Copilot 为您收集和分析数据,快速准确地调查设备和应用程序问题。
- 识别政策冲突: 降低因策略冲突或配置错误而导致的运营中断和漏洞风险。
- 起草 KQL 查询以获取设备洞察: 使用 Copilot 构建 KQL 查询并运行查询以从单个和多个设备获取设备详细信息。
IT 管理员资源:
身份管理员
身份管理员经常面临以下挑战:
- 巨大的身份威胁需要复杂且耗时的调查和专业知识: 他们必须实时排除故障并调整政策,同时保持安全性和业务连续性之间的平衡。
- 不一致的 IAM 策略会增加风险、削弱安全性并导致效率低下: 身份识别实践的变化(例如未经授权或未记录的政策调整)使数据关联变得复杂,增加了出错风险,并导致严重差距。这些不一致降低了运营效率,并增加了与身份相关的风险。
- 操作过载限制了 IAM 的重点: 身份管理员管理着数十亿个身份,每个身份都有独特的策略和访问权限,同时还要防御人工智能驱动的攻击。这限制了他们专注于主动安全改进和 IAM 优化的能力。
- 网络安全人才短缺加剧风险并给 IAM 能力带来压力: 缺乏熟练的网络安全专业人员意味着身份管理员在管理复杂的 IAM 系统时捉襟见肘。当熟练的管理员无法使用时,常规任务可能会被延迟,从而导致潜在的配置错误、流程效率低下和更高的安全风险。这会影响安全性和运营连续性。
Security Copilot 通过以下方式帮助身份管理员:
- 简化重复的 IAM 任务,帮助实现身份管理和策略实施的自动化。自动化日常活动可以腾出时间专注于高影响任务,提高整体生产力并减少人为错误。
- 帮助实现人工智能驱动的威胁检测、洞察和缓解。它为管理员带来了高级身份情境化和实时洞察。自然语言摘要提供了最关键的背景信息,从而实现了数据驱动的决策。
- 提供自然语言洞察和上下文建议。这使管理员能够做出数据驱动的精确决策。它有助于弥补技能差距并支持协作,并使经验不足的团队成员更易于管理复杂的 IAM 任务。这使身份团队能够更有效地处理复杂的身份挑战,从而腾出资源专注于战略性、高影响的问题。
关键场景:
- 使用 Entra 中的 Copilot,通过 AI 驱动的风险检测和缓解来保护身份并确保访问安全: Entra 中的 Copilot 使身份管理员能够通过自动化工作中最耗时的环节来显著减少调查和解决时间。它可以自动收集数据、关联数据和情境化数据,无需管理员手动筛选身份验证日志、审查复杂政策或进行耗时的调查。相反,Copilot 提供自然语言摘要,清楚地解释用户风险的增加,提供针对每个事件的可操作见解,并提供带有相关文档快速链接的定制建议。
- 使用 Entra 中的 Copilot 来解决关键访问尝试期间的访问失败问题: 身份管理员不再需要花费数小时查看日志和收集数据(例如,筛选身份验证、应用程序和网络日志)、确定根本原因(例如由于未注册的设备导致的 MFA 失败)以及实施修复(例如重新注册设备或调整策略)。借助 Security Copilot,管理员可以直接在 Entra 管理中心快速开始对登录事件进行故障排除,并提供最相关信息的简洁摘要。Copilot 可帮助管理员快速识别登录失败、中断、MFA 提示和其他问题的根本原因,提供可操作的提示以有效地调查和解决问题。
- 协助利用安全 Copilot 中的 Microsoft Entra 技能进行事件调查和故障排除: Copilot 搭配 Entra 可通过简化调查流程来提高身份事件的解决率。它可以快速总结和关联关键信息(如用户角色、登录日志和风险因素),以便以自然语言为分析师提供清晰的情况概述。这有助于分析师了解潜在危害的范围和具体情况,从而促进更快的决策和响应。
IT 管理员资源:
数据安全管理员
数据安全管理员经常面临以下挑战:
- 数据量和警报数量巨大。警报数量大、复杂度高会导致警报疲劳,从而可能错过关键威胁。
- 事件响应时间和协调。协调及时有效的数据安全事件响应需要多个团队成员和部门的协作。沟通和决策延迟可能导致解决时间更长,损害更大。
- 缺乏专业知识。众所周知,网络安全专业人员短缺,这给现有团队带来压力,迫使他们用有限的资源管理越来越多的威胁。由于组织往往没有足够的资源来扩充和培训团队,情况变得更糟。
- 跨数据和用户的可见性风险。各种数据环境(包括本地系统、云和混合基础设施)的复杂性,加上动态用户访问模式,使得安全管理员难以保持全面的风险可见性。
安全 Copilot 通过以下方式帮助数据安全管理员:
-
- 发现隐藏的数据风险。它分析不同解决方案中的大量数据,以实现综合调查。使用数据安全态势管理 (DSPM) 发现和管理整个数据安全环境中的风险,并在单个仪表板下探索信息保护、数据丢失防护 (DLP) 和内部风险管理 (IRM) 的见解。DSPM 提供由 Security Copilot 支持的建议,涵盖您组织的数据分类、策略、要优先处理的警报、要分析的用户,并通过开放式提示问题带您进一步调查。
- 加速数据安全调查。Security Copilot 通过在 IRM 和 DLP 中单击提供上下文摘要,使团队能够更快地了解案件并识别风险,所有这些都在现有的调查工作流程中完成。在 IRM 中,它可以根据相关策略评估的内容提供简洁的可见性,并通过上下文证据简化探索。在 DLP 中,它加快了策略调整时间,并支持团队提高数据安全覆盖率并发现其他风险。
- 增强数据安全专业知识。它可以提供行动指导,以提高您的团队的技能,实现更自信的表现,并授权各级分析师进行高级调查。对于经验丰富的管理员,DSPM 集中了调查中的见解并显示了主要数据安全风险,以及有关如何解决、数据环境的敏感程度以及数据如何随用户移动的建议。对于新管理员,DSPM 提供汇总见解并帮助他们快速开始了解组织的状况。
关键场景:
- 发现、管理并应对隐藏的风险。借助 DSPM 作为数据安全分析的启动板,管理员将能够在单一界面下更全面地了解其信息保护、DLP 和 IRM 的数据状况。DSPM 应该是每天开始时要去的地方,以便了解重点和从何处开始。
- 更深入、更高效地分析事件。在评估警报时,数据安全管理员可以利用 Security Copilot 从事件中获取更多背景信息,将复杂的安全警报提炼为简明、可操作的摘要,从而加快调查速度,从而缩短响应时间并简化决策。此外,团队可以使用 Copilot 驱动的分析来增强 IRM 中的警报和用户调查,双击查看用户的风险状况和活动,而不仅仅是警报摘要。用户将能够扩展 DLP 中可用的提示,而不仅仅是警报摘要,例如数据/用户特定的调查以及活动资源管理器中的提示和过滤器。
- 发现保护漏洞并简化控制。数据安全管理员可以根据每个组织的数据环境需求和漏洞,通过 Copilot 支持的 DLP 策略漏洞分析,简化策略调整和策略规划,提高覆盖率和控制力。
- 加快数据安全调查。高级数据安全调查自然语言搜索不需要查询语言知识,摘要功能可加速事件探索和理解,并通过 DSPM 中的深度内容分析进行询问。
- 探索 AI 驱动的指导,为团队赋能。通过知识中心获取可操作的指导,了解您的数据状况并更好地探索 Purview 解决方案,并提供指向推荐操作和后续步骤的相关深层链接,以优化调查和工作量。
数据安全管理员的资源:
适用于中小型企业的安全 Copilot
Security Copilot 为小型企业提供了强大的工具,可增强其安全态势并更有效地应对威胁。通过利用人工智能,它可以提高安全团队的效率和能力,使他们能够迅速检测和缓解网络威胁。与您已部署的 Microsoft 安全产品的集成可确保跨多个平台和设备的全面覆盖,而分步指导则可为初级和高级员工提供支持。Security Copilot 通过最大限度地减少对大量安全人员的需求并有效管理大量数据来帮助降低运营成本,并为小型企业提供了一种经济高效、主动的方法来维护强大的安全性。
观看下面的视频来开始吧。
安全 Copilot 体验
Security Copilot 无缝集成并原生嵌入 Microsoft Security 解决方案,以保护您的整个组织。它利用来自每个安全工具的信号并提供自然语言指导,以提高团队效率并管理日常安全和 IT 工作流程。Security Copilot 并不是这些工具的替代品;相反,Security Copilot 的生成式 AI 使安全和 IT 专业人员能够更快地访问、总结和根据其工具中的见解采取行动。
加入安全 Copilot 客户连接计划 (CCP)
立即加入,参加免费技术培训网络研讨会并参与私人预览。直接听取我们的产品工程师的意见,并抢先了解 Security Copilot 产品路线图。会员资格免费,福利多多! 需要有效的 Microsoft NDA 才能选择加入。当系统提示您要加入哪个社区时,请选择 Security Copilot。
