Lire en anglais

Partager via


Obtenir le contexte de l’utilisateur final pour les alertes IA

La protection contre les menaces de Microsoft Defender pour le cloud pour les charges de travail IA vous permet d’améliorer la possibilité d’actions et la valeur de sécurité des alertes IA générées en fournissant le contexte de l’utilisateur final.

Ajoutez des paramètres à vos appels d’API Azure OpenAI pour permettre à votre Azure AI de passer le contexte critique de l’utilisateur final aux alertes IA de Defender pour le cloud. Ce contexte de l’utilisateur final propose une meilleure visibilité sur les utilisateurs finaux et conduit à des enquêtes et des résultats plus efficaces. Par exemple, vous pouvez bloquer un utilisateur spécifique ou mettre en corrélation des incidents et des alertes par l’utilisateur final.

Capture d’écran du portail Defender XDR montrant tous les avantages supplémentaires obtenus en ajoutant le code.

Prérequis

Ajouter des paramètres de sécurité à votre appel Azure OpenAI

Pour recevoir des alertes de sécurité IA avec plus de contexte, vous pouvez ajouter l’un ou l’ensemble des exemples suivants de paramètres SecurityContext à vos appels d’API Azure OpenAI.

Tous les champs relatifs à SecurityContext sont facultatifs. Nous vous recommandons de passer les champs EndUserId et SourceIP au minimum. Les champs EndUserId et SourceIP fournissent aux analystes du centre des opérations de sécurité (SOC) la possibilité d’examiner les incidents de sécurité qui impliquent des ressources IA et des applications d’IA générative. Pour obtenir des exemples, consultez le schéma SecurityContext.

Si un nom de champ est mal orthographié, l’appel d’API Azure OpenAI réussit toujours. Le schéma SecurityContext ne nécessite pas de validation pour passer le champ utilisateur Azure OpenAI. Les développeurs d’applications doivent s’assurer qu’un JSON valide est transmis au champ user dans chaque requête effectuée par l’application auprès d’Azure OpenAI.

Schéma SecurityContext

Le schéma fourni se compose des objets SecurityContext qui contiennent plusieurs paramètres qui décrivent l’application elle-même et l’utilisateur final qui interagit avec l’application. Ces champs aident vos équipes d’opérations de sécurité à examiner et à atténuer les incidents de sécurité en fournissant une approche complète de la protection de vos applications IA.

  • ID de l’utilisateur final

  • Type utilisateur final

  • ID du locataire de l’utilisateur final

  • Adresse IP source

  • En-têtes de la requête source

  • Nom de l’application

Nom du champ Type Description Facultatif Exemple
EndUserId string Agit en tant qu’identificateur unique pour l’utilisateur final dans l’application d’IA générative. Si l’autorisation Microsoft Entra ID est utilisée pour authentifier les utilisateurs finaux dans l’application d’IA générative, il doit s’agir d’un ID d’objet utilisateur Microsoft Entra ID (anciennement connu sous le nom de Azure Active Directory). Oui 1234a123-12a3-1234-1ab2-a1b2c34d56e
EndUserIdType string Spécifie le type d’identificateur de l’utilisateur final. Elle doit être définie sur Microsoft Entra ID lors de l’utilisation de l’ID d’objet utilisateur Microsoft Entra (précédemment appelé Azure Active Directory). Oui, sauf si EndUserId est passé, auquel cas il doit être défini sur une valeur appropriée. Microsoft Entra ID
EndUserTenantId string Cette propriété spécifie l’ID de locataire Microsoft 365 auquel appartient l’utilisateur final. Il est nécessaire lorsque l’application d’IA générative est multilocataire et que les utilisateurs finaux de différents locataires peuvent se connecter. Oui 1234a123-12a3-1234-1ab2-a1b2c34d56e
SourceIP string Capture l’adresse IP du client comme indiqué directement par le serveur. Elle représente l’adresse IP du client la plus immédiate qui a effectué la connexion au serveur. Si le client se connecte via un proxy ou un équilibreur de charge, SourceIP est l’adresse IP de ce proxy ou de cet équilibreur de charge, et non l’adresse IP d’origine du client :
– ASP.NET : HttpContext.Connection.RemoteIpAddress
– Python: request.remote_addr
Oui 12.34.567.891, 1234:1:123a:123:1a2b:ab1:ab1c:ab12
SourceRequestHeaders Dictionnaire<chaîne, chaîne> Capture un sous-ensemble des en-têtes de requête de l’utilisateur final que les proxys ou les équilibreurs de charge ajoutent. Les en-têtes tels que X-Forwarded-For, X-Real-IP ou Forwarded sont utilisés par Microsoft Defender pour le cloud pour obtenir l’adresse IP d’origine du client. Les en-têtes User-Agent fournissent un contexte sur le logiciel client qui lance la requête d’API.

Les noms d’en-tête recommandés sont les suivants : User-Agent, X-Forwarded-For, X-Real-IP, Forwarded, CF-Connecting-IP, True-Client-IP, X-Client-IP, X-Forwarded, Forwarded-For
Oui -
ApplicationName string Le nom de l’application, utilisé à des fins d’identification et d’interface utilisateur. Oui Copilote RH Contoso, bot de conversation des ventes client.

Ajouter SecurityContext à votre application

Nous vous recommandons d’ajouter tous les paramètres fournis dans ce document aux appels d’API de votre application d’IA générative à Azure OpenAI.

  1. Sélectionnez l’un des exemples suivants :

  2. Recherchez et copiez l’exemple de code.

    Capture d’écran montrant un exemple de code d’application.

  3. Ajoutez le code au code de votre application d’IA générative où l’API Azure OpenAI est appelée.

  4. Modifiez les paramètres de code pour répondre à vos besoins.

  5. Enregistrez les modifications.

Après avoir suivi la procédure, vous devez vous assurer qu’un JSON valide est passé au champ user dans chaque requête effectuée par l’application auprès d’Azure OpenAI.

Étape suivante