freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    愚人节,微软 SaaS 版 Copilot for Security正式上线
    2024-03-28 15:40:21
    所属地 上海

    4 月 1 日愚人节,微软正式上线订阅模式(SaaS)的人工智能安全服务——Microsoft Copilot for Security(微软安全副驾驶)。据微软发布的信息,Copilot for Security 经过迭代升级,是迄今为止全球网络安全行业首个独立的生成式 AI 解决方案,可帮助安全和 IT 专业人员增强其技能、进行更多协作、查看更多内容并更快地做出响应。

    Copilot for Security 基于 GPT-4 模型和微软专有安全大模型,可以轻松处理来自用户或脚本的输入(提示),然后依次通过编排层、上下文层和可能的应用程序插件进行处理,最后返回 AI 模型的响应。这个过程涉及文档摘要、可疑交互标记,或生成安全实践改进建议。

    Copilot for Security 采用与微软 Azure 绑定的“按使用付费”许可模式,微软发明了一个新的计费单位,称为安全计算单元(Security Compute Unit),约为每小时 4 美元。1711953348_660a55c4e01de4ac7974e.png!small?1711953349798

    新版本 Copilot for Security 能力分析

    微软官网显示,Copilot for Security 每天处理超过 78 万亿超大规模的安全信号,并结合大语言模型以及安全专用模型,为企业提供深度见解并为用户的后续行动提供指导。用户借助 Copilot for Security  能够以机器一样的速度和规模来响应威胁,并实现安全运营转型。1711953263_660a556fb553914455ccd.png!small?1711953264456

    Copilot for Security 工作流程

    Copilot for Security 发布前期,微软组织了众多资深安全分析师进行了为期数月的安全内测,以衡量使用该工具带来的效率提升,其中主要考察响应速度和响应质量。

    测试环节,一半的参与者使用了标准的 Defender XDR 环境(环境中嵌入了  Copilot for Security 功能),另外的对照组拥有相同的标准 Defender XDR 环境,但未嵌入 Copilot 功能。测试环境主要两个示例场景;第一个是多阶段的键盘勒索软件攻击,涉及横向移动、PowerShell 脚本执行以及使用 Microsoft OneNote 和组策略对象分发有效载荷。第二种是商业电子邮件泄密 (BEC) 金融欺诈攻击,其中涉及用于横向移动、创建收件箱规则、发送可疑 BEC 电子邮件和删除已发送电子邮件的受攻击收件箱。

    经过多轮的实验,最终 Copilot for Security 获得了大多数参与者的认可,其中部分资深安全分析师通过使用 Copilot 将工作效率提高了 25%,并且所有任务的准确率提高了 7%。最值得注意的是,参与内测的资深安全分析师中有 97% 的人群表示,希望在下次执行同一任务时使用 Copilot。1711953236_660a555456d19c5055682.png!small?1711953239278

    内测期间,微软发现,Copilot for Security了对用户最有利的四个领域,分别是事件总结、影响分析、脚本逆向工程分步事件响应。

    事件汇总:Copilot for Security 利用生成式 AI 技术,将复杂的安全警报迅速提炼成简洁、可操作的摘要,以缩短响应时间并简化决策过程。通过这种方式,安全团队可以迅速获取事件背景信息,并将其传达给相关人员,从而改善整个组织的沟通效率。这种高效的摘要提取过程有助于确保关键信息不会被忽视,同时减少了处理安全事件所需的时间和精力。1711939647_660a203fcb17386469c90.png!small?1711939649318

    影响分析:Copilot for Security 利用 AI 驱动的分析来评估安全事件可能带来的潜在影响。通过提供对受影响系统和数据的深入洞察,安全团队可以更准确地确定响应工作的优先级,并采取适当的措施来降低潜在的损害。这种基于数据驱动的影响分析有助于组织更加全面地理解安全事件的威胁程度,并优先处理对业务影响最大的问题。

    脚本的逆向工程:无需手动进行复杂的逆向工程操作,Copilot for Security 是通过 AI 技术使每个安全分析师都能够理解攻击者执行的操作。该功能能够分析复杂的命令行脚本,并将其翻译成易于理解的自然语言,清晰地说明操作的目的和影响。同时, Copilot for Security 还能有效地提取脚本中发现的指示器,并将其链接到环境中的相应实体,帮助安全团队更快地识别并应对潜在的威胁。

    引导式响应:Copilot for Security 提供了事件响应的可操作分步指南,包括会审、调查、遏制和修正的指示,通过与建议操作相关的深层链接,安全团队可以更快地做出响应,并有效地减少潜在的风险。这种引导式的响应过程有助于确保团队在处理安全事件时能够采取一致的、高效的行动,从而最大程度地降低潜在的损害。

    此外,相较于前身 Copilot  Security,全新一版的 Copilot for Security 在界面设计上更注重用户友好性和多样性,为用户提供了多种语言版本,并且支持 8 种语言的提示和响应。值得注意的是,微软方面表示该服务目前仅支持简体中文,但后续他们将持续改进 Copilot,以便能够提供更多有用的功能,并计划在未来扩展至其他地区。

    Copilot for Security 整合众多安全能力

    在新发布的版本中,微软着重加强了 Copilot for Security 的整合能力,这一举动将助力用户的 IT 及安全团队轻松且快速地获得更高的效率和和更准确的结果。据悉,Copilot for Security 可以嵌入微软安全产品如Sentinel、Defender XDR、Purview、Priva 和Entra 等。1711953655_660a56f7b0746d73691d8.png!small

    在正式发布的版本中,Copilot for Security 增强了以下功能:

    自定义提示手册:允许用户能够根据自身需要,为常见的安全工作流、任务和方案创建和保存自然语言提示,使得用户可以根据具体情况,定制化Copilot的提示,提高工作效率和准确性;

    知识库集成(公共预览版):知识库集成功能的公共预览版正式上线,使 Copilot for Security 能够与业务上下文进行集成,用户可以搜索和查询专有内容。这意味着用户可以更全面地了解安全事件的背景和相关信息,有助于更好地制定安全策略和应对措施;

    使用情况报告:提供了有关 Copilot for Security  使用情况的见解,帮助用户发现优化机会,通过分析使用数据,用户可以发现哪些功能得到了广泛应用,哪些可能需要进一步培训或支持,从而提高整体安全水平;

    扩展的语言本地化:Copilot for Security 目前包括 8 种语言的提示和响应(包含简体中文),产品界面现在提供 25 种语言版本,以提供改进的用户体验;

    从 Defender EASM连接到自定义外部攻击面;Copilot for Security 能够识别和分析有关组织外部攻击面风险的最新信息;

    Microsoft Entra 审核日志和诊断日志,为安全调查或 IT 问题分析(涉及与特定用户或事件相关的审核日志)提供其他建议,并以自然语言进行总结。

    Copilot for Security 使用建议

    目前,用户可以可以通过微软的网站体验 Copilot for Security(也称为独立体验),主要可以通过输入自然语言发出请求指令与 Copilot for Security 进行交互,后续会接收到文本、图像或文档等形式的回应。1711955472_660a5e10ab6fbaa1f073c.png!small?1711955473434

    用户提交申请后, Copilot for Security 就会调用集成工具立刻处理请求,最短时间内生成最佳回复。简要流程如下图所示:

    1711955768_660a5f381359604004272.png!small?1711955768818

    第一步:Copilot for Security 将用户的请求和已启用插件和知识库的完整列表进行结合,之后将其发送到 Azure OpenAl,并请求制定满足用户指令的“回复计划";

    第二步:Azure OpenAl 通过运行高级 LLM,将用户指令与可用功能自适应匹配,创建一个”回复计划“,判断是否能够满足用户的指令,并将结果返回协调器;(值得一提的是,如果 Copilot for Security 自身功无法回答用户请求指令,会通过高级 LLM 进行响应)

    第三步:Copilot for Security 的协调器通过运行所选集成插件,调用适当的应用程序编程接口(API) 来收集信息,采取行动来执行”回复计划“,并将所有信息进行整合返回给 Azure OpenAl。随后返回给用户。(注:这一过程,微软方面会进行安全审核(仇恨言论、敏感言论等))。

    参考文章:

    https://www.toutiao.com/article/7346172286417977919/?app=news_article&timestamp=1711932028&use_new_style=1&req_id=202404010840272B8FE0F1C75C18082F21&group_id=7346172286417977919&wxshare_count=1&tt_from=weixin&utm_source=weixin&utm_medium=toutiao_android&utm_campaign=client_share&share_token=e9db790b-7029-4fa0-9e43-93c2c1830b4f&source=m_redirect&wid=1711936245217

    https://blog.csdn.net/2301_76946366/article/details/137131422

    https://www.microsoft.com/zh-tw/security/business/ai-machine-learning/microsoft-copilot-security#tabs-oc19f7_tab0

    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者
    文章目录