人工智能辅助内容。该模块部分是在人工智能的帮助下创建的。了解更多
熟悉 Microsoft Copilot for Security。我们将向您介绍一些基本术语、Microsoft Copilot for Security 如何处理提示、有效提示的要素以及如何启用解决方案。
学习目标
学完本模块后,您将能够:
描述 Microsoft Copilot for Security 是什么。描述 Microsoft Copilot for Security 的术语。描述 Microsoft Copilot for Security 如何处理提示请求。描述有效提示的要素描述如何启用 Microsoft Copilot for Security。
先决条件
安全操作和事件响应的工作知识Microsoft 安全产品和服务的实用知识
介绍
在快速发展的数字环境中,组织面临着前所未有的挑战,例如日益复杂的网络威胁和网络安全方面的人才严重短缺。 Microsoft Copilot for Security 是一款基于云、人工智能驱动的安全分析工具,旨在应对这些挑战。它使分析师能够以远远超过人类能力的机器速度处理安全信号并响应威胁,从而彻底改变组织处理网络安全的方式。
完成本模块后,您将能够:
描述 Microsoft Copilot for Security 是什么。描述 Microsoft Copilot for Security 的术语。描述 Microsoft Copilot for Security 如何处理提示请求。描述有效提示的要素。描述如何启用 Microsoft Copilot for Security。
熟悉 Microsoft Copilot for Security
组织面临的主要安全挑战包括:
攻击的数量和复杂性增加。人才短缺推动了对安全工具自动化、集成和整合的需求。安全、隐私、合规性和治理的可见性。
组织需要迅速采取行动来解决他们面临的所有安全挑战,但即使不存在人才短缺,以人类的速度工作也是不够的。组织需要以机器的速度工作。
Microsoft Copilot for Security 是一款基于人工智能、基于云的安全分析工具,使分析师能够快速响应威胁、以机器速度处理信号,并比其他方式更快地评估风险暴露。
用例
Microsoft Copilot for Security 支持许多用例,包括:
安全态势管理。 Copilot 提供有关可能使组织面临已知威胁的任何信息。然后,它为分析师提供有关如何防范这些潜在漏洞的规范性指导。事件响应。副驾驶可以快速发现事件。对于浮出水面的事件,Copilot 可以利用其他数据源的上下文来丰富它,评估其规模和影响,并提供有关来源的信息。然后,Copilot 可以通过指导性建议指导分析师完成响应和补救步骤。 Copilot 通过从 Defender XDR 和 Sentinel 等其他来源提取数据,然后将所有数据关联起来并进行分析,从而提供单一可视性界面。安全报告。 Copilot 可以提供易于共享且易于使用的可定制报告,使分析师能够更多地关注与保护组织安全相关的高价值任务。
这些用例仅代表 Copilot 提供的部分功能,有助于提高分析师的工作效率并提升他们的水平。
独立和嵌入式体验
您可以通过专用网站体验 Copilot,也称为独立体验。用户通过提示栏与 Copilot 交互。在提示栏中,用户以自然语言发出请求并接收文本、图像或文档形式的响应输出。
此外,一些 Microsoft 安全产品将 Copilot 功能直接嵌入到产品的用户界面中。这种体验被称为嵌入式体验。例如,Microsoft Defender XDR 支持 Copilot 功能,包括总结事件、分析脚本、生成 KQL 查询等。
有关独立和嵌入式体验的更多信息将在后续模块中介绍。本模块其余部分显示的图像均基于独立体验。
自然语言处理(NLP)
Copilot 使用 Azure OpenAI 服务构建,旨在与现有安全工具和流程集成,使组织能够更轻松地改善其整体安全状况。 Azure OpenAI 服务提供对 OpenAI 强大的大型语言模型 (LLM) 进行自然语言处理 (NLP) 的 REST API 访问,同时提供 Microsoft Azure 的安全功能。
通过访问强大的 NLP 法学硕士,Copilot 能够阅读、破译和理解人类语言,使用户能够使用自然语言安全地与之交互。尽管法学硕士接受了大量信息的培训,赋予副驾驶广泛的常识和解决问题的能力,但这还不够。安全分析师希望他们的副驾驶接受安全方面的培训,这就是与现有安全工具和流程的集成发挥作用的地方。
与安全特定源集成
Copilot 将强大的法学硕士与 Microsoft 的特定安全模型相结合。这种特定于安全的模型以 Microsoft 独特的全球威胁情报、超过 65 万亿个每日信号为基础,并使用插件和知识库连接来整合来自越来越多的特定于安全的来源的信息。通过插件,Copilot 可以与 Microsoft 自己的安全产品、非 Microsoft 产品和开源情报源集成。与组织知识库的连接为 Copilot 提供了更多背景信息,从而产生更相关、更具体和针对用户定制的响应。通过先进通用模型和安全特定源的强大组合,Copilot 能够以机器速度学习,帮助分析师识别和响应新出现的威胁。
您向 Copilot 提供的信息只有您的组织才能访问。您的数据就是您的数据,它受到全面的企业合规性和安全控制的保护。您的数据不会用于训练基础 AI 模型。
Microsoft Copilot for Security 是首款使防御者能够以人工智能的速度和规模行动的安全产品。
描述 Microsoft Copilot for Security 术语
在本单元中,我们向您介绍一些基本术语。
术语
以下术语对于理解 Copilot 的工作方式非常重要:
会话 – Copilot 内的特定对话。 Copilot 维护会话中的上下文。提示——会话中的特定陈述或问题。用户在提示栏中输入提示。能力/技能 – Copilot 用于解决部分问题的功能插件/技能集 – 特定资源的技能集合Orchestrator – Copilot 的系统,用于将功能(技能)组合在一起以回答用户的提示
提示栏和会话 Microsoft Copilot for Security 的中心是提示栏。您可以使用提示栏告诉 Copilot 您希望从安全数据中获得哪些见解,这称为提示。换句话说,提示是您在提示栏中提供的基于文本的自然语言输入,指示 Copilot 生成响应。尽管您使用自然语言与 Copilot 交互,但在您提供的提示(具体问题或陈述)中具体化会很有帮助。对于那些刚刚接触安全分析师角色并接触人工智能的人来说,有效的提示可能需要一些练习。为此,Copilot 提供了提示手册,其中提供了一系列预选的提示和提示建议(后续模块中将对此进行详细介绍)。
当您提出请求并 Copilot 做出响应时,您可能会有一些后续请求。整个对话称为会话。 Copilot 维护会话中的上下文。
插件和功能
在上一单元中,我们提到 Copilot 通过插件与各种来源集成,包括 Microsoft 自有的安全产品(例如 Microsoft Sentinel、Microsoft Defender XDR 和 Microsoft Intune)、非 Microsoft 解决方案和开源情报源。该插件针对任何特定数据源启用的集成为 Copilot 提供了一系列功能(技能)。每个能力(技能)就像软件中的一个功能,它被设计为在数据源范围内执行专门的任务。例如,Microsoft Defender XDR 的插件包含一组仅由 Microsoft Defender XDR 使用的单独功能。这些包括:
总结事件的能力。支持事件响应团队通过指导响应(一组基于特定事件的建议操作)解决事件。分析脚本和代码的能力。能够从自然语言输入生成 KQL 查询。生成事件报告的能力。
Microsoft Sentinel 的插件可能具有类似的功能,但仅在 Microsoft Sentinel 的范围内运行。
Copilot 目前支持 Microsoft 服务和非 Microsoft 服务的插件,包括可以启用的网站和自定义插件。
某些插件需要设置和配置,如设置按钮或齿轮图标所示。对于 Microsoft 插件,可能需要在需要指定资源特定信息的地方进行设置。对于非 Microsoft 源,可能需要进行帐户身份验证设置。
协调者
协调器是 Copilot 的系统,用于将功能(技能)组合在一起以回答用户的提示。在描述 Copilot 如何处理提示请求的后续单元中将更详细地说明此功能。
描述 Microsoft Copilot for Security 如何处理提示请求
现在,您已经对插件、功能以及用户如何通过提示与 Microsoft Copilot for Security 进行交互有了基本的了解,值得深入了解一下这些组件如何组合在一起处理提示请求并为安全分析师提供帮助。
工艺流程
当用户提交提示时,Copilot 会处理该提示以生成最佳响应。下图说明了这些流程步骤,以提供对正在发生的情况以及响应如何产生的一般理解。
Copilot 将用户提示和已启用源(插件和知识库)的 Copilot 功能的完整列表捆绑在一起,然后将其发送到 Azure OpenAI,并请求制定满足用户请求的计划 Copilot 将用户提示和已启用源(插件和知识库)的 Copilot 功能的完整列表捆绑在一起,然后将其发送到 Azure OpenAI,并请求制定满足用户请求的计划 Azure OpenAI 运行高级 LLM,将提示与可用功能(技能)相匹配,并创建一个计划(一组步骤)来满足用户的请求。该计划被发送回协调器。
a.
如果没有能力匹配,则使用常识LLM生成对用户提示的响应,并且过程跳转到步骤7。
b
常识 LLM 擅长常识和问题解决,但并不唯一关注安全性,因此提供的响应更有可能不准确。因此,启用插件并连接到知识库以将一系列资源特定功能引入 Copilot 是有益的。
4.Copilot 的协调器通过运行所选插件/功能的代码并调用适当的应用程序编程接口 (API) 来收集信息并采取行动来执行计划。
5.第一方和第三方集成合作伙伴应用程序收集信息并根据 API 调用执行操作,并将响应发送回 Copilot。
6.协调器接收来自 API 调用的响应,但尚未准备好发送给用户。副驾驶重复该过程以确保最佳响应。在将最终响应发送给用户之前,编排器会将该响应与原始提示捆绑在一起,并将其发送回 Azure OpenAI。
7.Azure OpenAI 利用其高级 LLM 的强大功能,使用对人类有意义的语言来撰写响应。
8.该响应会发送回 Copilot,供 Microsoft 负责的 AI 模型进行审查,该模型会查找任何恶意、仇恨言论等内容。
a.如果一切看起来都不错,那么响应就会发送给用户
b.如果检测到恶意或不当内容,则会生成错误消息,而不是将信息发送给用户。
9.用户收到副驾驶的响应。
进程日志
在此过程中,Copilot 会生成用户可见的进程日志。用户可以看到使用什么能力(技能)来生成响应。这很重要,因为它使用户能够确定响应是否是从可信来源生成的。在下面的屏幕截图中,进程日志显示 Copilot 选择了 Microsoft Sentinel 插件并列出了所选功能(技能)。流程日志还显示,最终输出经过了安全检查,这是微软对负责任的人工智能承诺的一部分。
描述有效提示的要素
在上一单元中,我们将提示定义为您在提示栏中提供的基于文本的自然语言输入,指示 Microsoft Copilot for Security 生成响应。 Copilot 提供提示手册和提示建议,这非常有用,特别是当您刚刚开始事件调查时。然而,在某些时候,您会想要并且需要输入自己的提示。在这些情况下,Copilot 返回的响应的质量在很大程度上取决于所使用的提示的质量。一般来说,精心设计的提示和清晰具体的输入会导致 Copilot 做出更有用的响应。
有效提示的要素
有效的提示为 Copilot 提供足够且有用的参数来生成有价值的响应。安全分析师或研究人员在编写提示时应包含以下元素。
目标 - 您需要的特定的、与安全相关的信息上下文 - 为什么您需要此信息或如何使用它期望 - 您希望响应量身定制的格式或目标受众来源 - Copilot 应使用的已知信息、数据源或插件
每个好的提示都应该有一个目标。无论是以说明还是问题的形式出现,都应该表明您希望从当前的课程中获得什么。
对于 Copilot,上下文可以指时间范围,或者您将使用报告的响应。期望可以包括您是否希望响应采用表格格式、操作步骤列表、摘要甚至图表。如果需要,来源可能有助于指定您所引用的 Microsoft 插件。某些插件需要更多上下文才能有效工作或支持插件以确保在初始响应失败时得到响应。
其他提示提示
提出自己的提示时要记住一些事情:
尽可能具体、清晰、简洁地说明您想要实现的目标。您始终可以从第一个提示开始,但随着您对 Copilot 更加熟悉,请在有效提示的元素后面包含更多详细信息。 基本提示:珍珠雨夹雪演员 更好的提示:您能否向我提供有关 Pearl Sleet 活动的信息,包括已知的妥协指标列表以及工具、策略和程序 (TTP)?
迭代。通常需要后续提示来进一步阐明您需要什么,或者尝试其他版本的提示以更接近您正在寻找的内容。与所有基于 LLM 的系统一样,Copilot 可以以略有不同的方式响应相同的提示。
提供必要的上下文来缩小 Copilot 查找数据的范围。
基本提示:总结事件15134。更好的提示:将 Microsoft Defender XDR 中的事件 15134 总结为一个段落,我可以将其提交给我的经理并创建所涉及实体的列表。 给出积极的指示,而不是“不该做什么”。 Copilot 面向行动,因此告诉它您希望它在异常情况下做什么会更有效率。 基本提示:给我网络中非托管设备的列表。 更好的提示:给我一份网络中高风险非托管设备的列表。如果它们被命名为“test”,请将它们从列表中删除。 直接称呼副驾驶为“你”,如“你应该......”或“你必须......”,因为这比将其称为模特或助手更有效。
虽然这些指南可以帮助您开始创建提示,但请务必注意,您不仅限于按照前面示例的结构形成提示。 Copilot 的伟大之处在于,它旨在回答用您自己的话(即使用自然语言)提出的问题或指令。
您可以灵活地根据您的具体需求调整这些指南。
参考链接
您阅读本篇文章共花了:
发表评论