Microsoft Copilot for Security, который интерпретирует данные всех продуктов безопасности Microsoft и предоставляет автоматические пояснения и предлагаемые решения, будет доступен с 1 апреля, через год после первого анонса и через пять месяцев после пробного периода.
Copilot for Security встроен во весь портфель продуктов безопасности Microsoft и работает, например, в Defender, аналогично блоку помощника, в котором генерируются аналитические данные и рекомендации по устранению проблем. Microsoft Copilot for Security не только предоставляет ценную информацию о портфеле безопасности поставщика, но и предоставляет информацию от других поставщиков программного обеспечения.
Основываясь на результатах раннего доступа, Microsoft обнаружила четыре области, которые приносят наибольшую пользу пользователям: обобщение инцидентов, анализ последствий, реверс-инжиниринг сценариев и пошаговое реагирование на инциденты. Copilot for Security предоставляет сводные данные об инцидентах с помощью генеративного искусственного интеллекта, чтобы превратить сложные оповещения в четкие сводки, имеющие практические последствия. Он также использует аналитику на основе искусственного интеллекта для оценки потенциального воздействия инцидентов безопасности, предлагая понимание затронутых систем и данных для определения приоритетности мер реагирования.
Microsoft Copilot for Security анализирует сложные сценарии командной строки и переводит их на естественный язык с четкими пояснениями действий. Он извлекает и связывает индикаторы, найденные в скрипте, с соответствующими объектами в пользовательской среде.
Copilot for Security предоставляет действенные пошаговые инструкции по реагированию на инциденты, включая указания по сортировке, расследованию, локализации и исправлению. Соответствующие глубокие ссылки на рекомендуемые действия позволяют быстрее реагировать.
Одним из основных преимуществ этих функций является то, что они помогают младшим специалистам писать запросы на естественном языке и получать понятные ответы. Это может оказаться полезным, учитывая «большую и хроническую нехватку талантов», как назвал это вице-президент Microsoft по маркетингу безопасности Эндрю Конвей. Согласно собственным данным Microsoft, полученным при использовании раннего доступа, опытные аналитики безопасности работали на 22% быстрее с Copilot и на 7% точнее при выполнении всех задач при использовании Copilot. Почти все, 97%, заявили, что хотят использовать Copilot при следующем выполнении той же задачи.
Помимо общедоступности во всем мире и ранее упомянутого доступа к Microsoft Copilot for Security через других поставщиков, некоторые из новых возможностей включают создание пользовательских книг и возможность написания плагинов. «Одна из особенностей Copilot for Security заключается в том, что мы работаем не только с продуктами Microsoft и данными Microsoft, по сути, мы работаем напрямую с независимыми поставщиками программного обеспечения, а также и с клиентами над написанием плагинов. В любом источнике данных, любом продукте, к которому вы можете подключиться, вы можете использовать Copilot для анализа», — говорит Конвей.
Copilot for Security предлагает два варианта взаимодействия: один — как автономный интерфейс, который работает со всеми продуктами Microsoft Security, а другой — с интерфейсом, встроенным прямо в портал Defender. После запуска клиенты смогут использовать аналитику угроз Microsoft Defender во встроенном интерфейсе Защитника для обнаружения угроз и методов атак, а также для получения рекомендаций, специфичных для профиля риска конкретной среды, используя естественный язык.
Microsoft Entra (ранее Azure Active Directory) добавила в Copilot навыки идентификации, включая сведения о пользователях, сведения о группах, журналы входа, журналы аудита и журналы диагностики. В Microsoft Purview Copilot поможет командам SOC выявлять рискованные действия пользователей и конфиденциальные данные, которые могут оказаться под угрозой при расследовании инцидентов безопасности. Copilot предоставит сводку предупреждений в Microsoft Purview Data Loss Prevention и Insider Risk Management. Он также предоставляет контекстные сводки сообщений в Microsoft Purview Communication Compliance и документы в наборах для проверки в Microsoft Purview eDiscovery.
Copilot for Security будет доступен по модели оплаты по мере использования с гибкими ценами, основанными на потреблении, очень похожими на модель Azure. Клиенты измеряют необходимую мощность в том, что Microsoft называет «вычислительными единицами», а поставщик рекомендует начинать с трех вычислительных единиц. Если у вас заканчивается емкость, продукт уведомит об этом, и можно будет добавить еще. Если использование сокращается, пользователи могут деинициализировать ненужные вычислительные блоки.