Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Qu’est-ce qu’une carte d’application ou de plateforme ?
Les cartes Application et Plateforme de Microsoft sont destinées à vous aider à comprendre le fonctionnement de notre technologie IA, les choix que les propriétaires d’applications peuvent faire qui influencent les performances et le comportement de l’application, et l’importance de prendre en compte l’ensemble de l’application, y compris la technologie, les personnes et l’environnement. Les cartes d’application sont créées pour les applications IA et les cartes de plateforme sont créées pour les services de plateforme IA. Ces ressources peuvent prendre en charge le développement ou le déploiement de vos propres applications et peuvent être partagées avec les utilisateurs ou les parties prenantes concernés.
Dans le cadre de son engagement envers l’IA responsable, Microsoft adhère à six principes fondamentaux : l’équité, la fiabilité et la sécurité, la confidentialité et la sécurité, l’inclusion, la transparence et la responsabilité. Ces principes sont incorporés dans le Standard IA responsable, qui guide les équipes dans la conception, la création et le test d’applications IA. Les cartes d’application et de plateforme jouent un rôle clé dans l’opérationnalisation de ces principes en offrant une transparence sur les fonctionnalités, les utilisations prévues et les limitations. Pour plus d’informations, les lecteurs sont encouragés à explorer le rapport de transparence de l’IA responsable de Microsoft et le Code de conduite des services d’ia d’entreprise Microsoft, qui décrit comment s’engager avec l’IA de manière responsable.
Vue d’ensemble
Microsoft Security Copilot est une solution de sécurité générative basée sur l’IA qui permet d’augmenter l’efficacité et les capacités des défenseurs afin d’améliorer les résultats de sécurité à la vitesse et à l’échelle de la machine. Il offre une expérience de copilote d’assistance en langage naturel qui aide les professionnels de la sécurité et les administrateurs informatiques à gérer un large éventail de scénarios de bout en bout, notamment la réponse aux incidents, la chasse aux menaces, la collecte de renseignements et la gestion de la posture.
Security Copilot est conçu avec l’intégration à l’esprit. Il offre une expérience autonome immersive et s’intègre aux https://securitycopilot.microsoft.com produits de sécurité Microsoft, notamment Microsoft Defender XDR, Microsoft Sentinel, Microsoft Intune, Microsoft Entra et Microsoft Purview, ainsi que les services tiers pris en charge.
Les utilisateurs prévus incluent les analystes SOC, les administrateurs informatiques, les administrateurs de sécurité des données et d’identité, les analystes de conformité et les responsables de la sécurité tels que les responsables de la sécurité des informations (DSI).
Security Copilot a obtenu la certification ISO 42001 qui confirme qu’un tiers indépendant a examiné l’application par Microsoft du framework et des fonctionnalités nécessaires pour gérer efficacement les risques et les opportunités associés au développement, au déploiement et à l’exploitation continus des systèmes Microsoft AI.
Pour plus d’informations, consultez Qu’est-ce que Microsoft Security Copilot ?, expériences Microsoft Security Copilot et Carte d’application pour les agents Security Copilot.
Termes clés
Le tableau suivant fournit un glossaire des termes clés liés à Microsoft Security Copilot.
| Terme | Définition |
|---|---|
| Agent | Un agent Security Copilot traite les signaux de l’environnement client via des sources de données et des plug-ins intégrés, analyse les données et génère des recommandations. Les agents peuvent également effectuer des actions délimitées dans les autorisations configurées lorsque vous y êtes invité, ce qui nécessite l’approbation d’un utilisateur ou d’un administrateur approprié. Les agents peuvent aller de simples expériences d’invite et de réponse à des workflows plus automatisés et semi-autonomes avec supervision humaine. Par exemple, l’agent de triage de hameçonnage et l’agent de correction des vulnérabilités. |
| Identité de l’agent | Informations d’identification qu’un agent utilise pour s’authentifier auprès des services Microsoft et accéder aux données dont il a besoin pour effectuer ses tâches. Pendant l’installation, un administrateur choisit de créer une identité dédiée (à l’aide de Identifiant d’assistant Microsoft Entra) ou de laisser l’agent hériter des informations d’identification de l’utilisateur de configuration. Le choix de l’identité régit les données à laquelle l’agent peut accéder. |
| Source de données | Données structurées ou non structurées accessibles via des plug-ins ou des intégrations aux réponses au sol. |
| Expérience incorporée | Accès aux fonctionnalités de Security Copilot à partir d’un autre produit de sécurité Microsoft, comme Microsoft Defender XDR ou Microsoft Sentinel. Le Security Copilot panneau side-car expose directement l’aide de l’IA dans le contexte de ce produit. |
| Terre | Processus consistant à fournir des sources d’entrée contextuelles au modèle de langage volumineux lié à l’invite d’un utilisateur. En permettant aux Security Copilot d’accéder aux données de l’organisation par le biais de plug-ins et de produits de sécurité Microsoft, Security Copilot peuvent fournir des réponses plus précises et contextuellement plus pertinentes. |
| Modèle de langage large (LLM) | Modèles IA entraînés sur de grandes quantités de données texte pour prédire des mots par séquences. Les llMs sont capables d’effectuer diverses tâches telles que la génération de texte, le résumé, la traduction, la classification, etc. |
| Plugin | Collection d’outils associés qui étend les fonctionnalités de Security Copilot en lui donnant accès à des ressources provenant de services Microsoft et non-Microsoft et de sites web publics via des API. Les plug-ins ajoutent davantage de contexte aux réponses et sorties générées par Security Copilot. |
| Post-traitement | Ensemble d’actions Security Copilot effectue pour affiner et préparer la réponse LLM avant de la renvoyer à l’utilisateur. Ce post-traitement comprend des appels de base supplémentaires via des plug-ins, des vérifications d’IA responsables, des contrôles de sécurité, de conformité et de confidentialité. |
| Invite | Texte en langage naturel qu’un utilisateur envoie à Security Copilot pour exécuter une tâche spécifique ou obtenir des informations. Par exemple, résumez cet incident et proposez des étapes de correction. |
| Promptbook | Série d’invites qui s’exécutent dans l’ordre, en s’appuyant sur les réponses précédentes, pour accomplir des tâches spécifiques liées à la sécurité. Les promptbooks peuvent être utilisés à partir de la bibliothèque ou générés et partagés par les utilisateurs. |
| Test de l’équipe rouge | Techniques utilisées par les experts pour évaluer les limitations et les vulnérabilités d’un système et pour tester l’efficacité des atténuations planifiées. Les tests d’équipe rouge sont utilisés pour identifier les risques potentiels et sont distincts de la mesure systématique des risques. |
| IA responsable | Les pratiques de politique, de recherche et d’ingénierie de Microsoft qui sont ancrées dans ses principes d’IA et mises en œuvre par le biais de la norme d’IA responsable. Pour plus d’informations, consultez les instructions relatives à Fluent RAI. |
| Unité de calcul de sécurité (SCU) | Les SKU sont les unités de capacité de calcul utilisées pour exécuter Security Copilot charges de travail et fournir des performances cohérentes dans l’ensemble de ses expériences. Security Copilot capacité est mesurée en SKU et peut être consommée par le biais de modèles de capacité provisionnés ou de dépassement. Pour plus d’informations, consultez Comprendre les SKU. |
| réponse Security Copilot | Sortie générée par l’IA retournée à une invite utilisateur, y compris des résumés, des recommandations ou des actions pouvant inclure du code et des visuels. |
| Centre des opérations de sécurité (SOC) | Une équipe ou une installation de sécurité dédiée axée sur la surveillance, l’analyse et la réponse continues aux incidents de cybersécurité au sein d’un organization. Les analystes SOC sont parmi les principaux utilisateurs prévus de Security Copilot. |
| Magasin de sécurité | Une expérience semblable à la Place de marché dans laquelle les utilisateurs peuvent découvrir et activer les extensions et les agents créés par les partenaires pour Security Copilot. |
| Session | Contexte d’interaction limité qui inclut des invites, des réponses et des données associées utilisées pour générer des sorties. Le contexte de session est isolé et n’est pas partagé entre les sessions. L’accès aux données de session est régi par les autorisations utilisateur et les rôles d’espace de travail, et les invites et les réponses sont traitées comme des données client qui ne sont pas utilisées pour l’apprentissage des modèles de base. |
| Expérience autonome | L’expérience immersive du portail Security Copilot accessible directement à l’adresse https://securitycopilot.microsoft.com. |
| Tenant | Limite organisationnelle dans Microsoft Entra ID qui isole l’identité, l’accès et les données pour Security Copilot. Tous les espaces de travail, utilisateurs et interactions fonctionnent dans cette limite et sont régis par des autorisations et des contrôles de sécurité au niveau du locataire. |
Fonctionnalités clés
Les principales fonctionnalités du tableau suivant décrivent ce que Microsoft Security Copilot est conçu pour effectuer et comment il s’exécute sur les tâches prises en charge.
| Fonctionnalité ou fonctionnalité | Description |
|---|---|
| Investigation et réponse aux incidents | Security Copilot aide les professionnels de la sécurité à trier et à examiner les incidents en générant des résumés des alertes de sécurité complexes, en corrélant les signaux entre Microsoft Defender XDR, Microsoft Sentinel et d’autres produits intégrés, et en fournissant des conseils de correction pas à pas. |
| Threat Intelligence | Security Copilot pouvez effectuer des recherches dans Microsoft Defender les articles et profils de renseignement sur les menaces, les rapports d’analyse des menaces et les publications de divulgation des vulnérabilités pour faire apparaître des informations pertinentes alignées sur une invite. |
| Analyse de script et génération de requêtes KQL | Security Copilot pouvez analyser des scripts ou des programmes malveillants suspects et traduire le langage naturel en requêtes KQL, ce qui permet aux membres de l’équipe à tous les niveaux de compétence d’effectuer des tâches avancées de repérage et d’analyse technique. |
| Gestion de la posture de sécurité | Security Copilot permet aux utilisateurs de comprendre les risques hiérarchisés dans leur environnement et d’identifier les opportunités d’amélioration de la posture grâce à l’intégration à Microsoft Defender XDR, Microsoft Entra et Microsoft Intune. |
| Création et gestion des stratégies de sécurité | Les utilisateurs peuvent définir de nouvelles stratégies, les croiser avec les stratégies existantes pour les conflits et résumer les stratégies en langage simple pour gérer le contexte organisationnel complexe. |
| Séquence de requêtes | Les promptbooks sont des séquences d’invites qui s’exécutent afin d’accomplir des tâches de sécurité spécifiques. Les utilisateurs peuvent exécuter des guides à partir d’une bibliothèque partagée ou créer et partager les leurs. |
| Agents | Security Copilot prend en charge les agents qui peuvent automatiser et faciliter les tâches de sécurité et d’opérations informatiques dans le cadre des autorisations accordées par les administrateurs. Les actions de l’agent sont régies par des identités configurées, des contrôles d’accès et des déclencheurs, et sont conçues pour fonctionner avec une supervision humaine dans le cadre des workflows de sécurité. Les agents créés par Microsoft couvrent le portefeuille de produits de sécurité, couvrant les opérations SOC, la chasse aux menaces, le renseignement sur les menaces, la gestion des identités, la gestion des points de terminaison et la sécurité des données. Les administrateurs configurent l’identité, les autorisations et le déclencheur de chaque agent. Pour plus d’informations sur des agents spécifiques et leurs cas d’usage, consultez Utilisations prévues. |
| File upload | Les utilisateurs peuvent charger des fichiers directement dans Security Copilot sessions, ce qui permet à Copilot d’analyser, de résumer ou de référencer le contenu chargé lors de la génération des réponses. |
| Prise en charge multilingue | Security Copilot prend en charge les invites et les réponses dans plusieurs langues. Pour plus d’informations, consultez Langues prises en charge. |
Utilisations prévues
Microsoft Security Copilot est conçu pour être utilisé par les professionnels de la sécurité et les administrateurs informatiques qui ont besoin d’un support assisté par l’IA pour un large éventail de tâches de sécurité et d’opérations informatiques. L’expérience de copilote d’assistance permet aux utilisateurs de travailler plus efficacement en exposant le contexte pertinent, en générant des conseils actionnables et en réduisant le temps consacré à l’analyse manuelle. Voici quelques exemples de cas d’usage prévus :
Investigation et réponse aux incidents : génère des résumés des alertes complexes, met en corrélation les signaux entre les produits de sécurité intégrés tels que les Microsoft Defender XDR et les Microsoft Sentinel, et fournit des conseils de correction pas à pas. Les analystes peuvent poser des questions de suivi pour affiner progressivement leur enquête.
Collecte de renseignements sur les menaces : présente des informations pertinentes sur les acteurs des menaces, les programmes malveillants et les vulnérabilités basées sur des invites en langage naturel, consolidant les informations dans des résumés personnalisés.
Analyse des scripts et ingénierie inverse : explique les scripts suspects ou l’activité de ligne de commande en langage brut, identifie les comportements malveillants et met en évidence les indicateurs de compromission.
Génération de requêtes KQL : convertit les invites en langage naturel en requêtes KQL prêtes à l’emploi pour la chasse avancée et l’analyse des journaux.
Gestion de la posture de sécurité : identifie les risques hiérarchisés et recommande des actions pour améliorer la posture de sécurité de l’organisation.
Création et gestion des stratégies de sécurité : aide à rédiger, examiner et résumer les stratégies, ainsi qu’à identifier les lacunes ou les conflits.
Rapports des parties prenantes : génère des rapports adaptés à différents publics, y compris des résumés techniques et des réunions d’information de la direction.
Promptbooks pour les flux de travail de sécurité reproductibles : permet aux utilisateurs d’exécuter ou de créer des flux de travail en plusieurs étapes pour normaliser les tâches de sécurité récurrentes.
Modèles et données d’entraînement
Microsoft Security Copilot utilise Azure modèles LLM OpenAI de Foundry Models vendus par Azure pour alimenter les expériences en langage naturel. Ces modèles ne sont pas entraînés sur Security Copilot données client. Les fonctionnalités du modèle varient en raisonnement, vitesse, limitations et scénarios pris en charge.
Security Copilot intègre également des connaissances et un contexte spécifiques à la sécurité par le biais de plug-ins et de la base, qui fournissent au LLM des données organisationnelles pertinentes, des renseignements sur les menaces et du contenu faisant autorité au moment de l’inférence plutôt que par le biais d’une formation de modèle.
Performances
Security Copilot est conçu pour fonctionner dans des environnements de sécurité d’entreprise où de grands volumes de signaux de sécurité en temps réel sont générés sur les produits Sécurité Microsoft et d’autres sources de données configurées par le organization.
Contrairement aux LLM à usage général, Security Copilot fournit :
- Traitement des signaux en temps réel sur des données de sécurité structurées
- Raisonnement d’investigation qui met en corrélation plusieurs sources de données
- Sorties soutenues par des preuves ancrées dans les données client
- Collecte de données continue pour une visibilité continue
Les utilisateurs interagissent avec Security Copilot à l’aide d’invites en langage naturel. Le système traite ces entrées via des plug-ins actifs, des sources de données et des modules LLM pour générer des réponses.
Les sorties sont principalement textuelles, notamment des explications récapitulatives, des actions recommandées, des instructions pas à pas, des extraits de code (tels que des requêtes KQL) et des rapports mis en forme adaptés aux parties prenantes. À mesure que le système génère une réponse, il affiche des étapes intermédiaires dans un journal de processus, ce qui permet de case activée ses processus et sources. Les utilisateurs peuvent annuler, modifier, réexécuter ou supprimer une invite à tout moment, et les réponses peuvent être épinglées, partagées et exportées pour faciliter la collaboration.
Limitations
Il est important de comprendre les limites de Microsoft Security Copilot pour s’assurer qu’elle est utilisée de manière efficace et responsable. Bien que Security Copilot améliore les workflows de sécurité, il n’est pas conçu pour tous les scénarios. Reportez-vous au Code de conduite microsoft Enterprise AI Services ainsi qu’aux considérations suivantes lors du choix d’un cas d’usage :
- Précision et exhaustivité : Security Copilot peuvent produire des réponses inexactes, incomplètes ou obsolètes. La qualité de la sortie dépend des sources de données disponibles, des intégrations activées et du contexte fourni par l’utilisateur. Les utilisateurs doivent appliquer un jugement humain et valider les sorties critiques.
- Biais, stéréotypes et contenu non ancré : malgré les mesures de protection, les sorties peuvent contenir des préjugés, des stéréotypes ou des conclusions non prises en charge en raison de la nature probabiliste des modèles de langage volumineux. Les utilisateurs doivent évaluer de manière critique les réponses, en particulier dans les scénarios sensibles ou à fort impact.
- Étendue spécifique au domaine : Security Copilot est optimisé pour les tâches liées à la sécurité, telles que l’investigation des incidents et l’analyse des menaces. Requêtes en dehors de ce domaine peut entraîner des réponses moins précises ou moins pertinentes.
- Limites d’utilisation et latence : l’utilisation de Security Copilot peut être soumise à des contraintes de capacité et à des considérations relatives aux performances. La génération de réponses, notamment l’exécution d’intégrations et l’application de contrôles de sécurité, peut introduire une latence. Les organisations doivent surveiller leur utilisation (SKU) pour maintenir des performances cohérentes.
- Préversion status : certaines fonctionnalités Security Copilot peuvent être en préversion. Les fonctionnalités en préversion doivent être traitées comme des fonctionnalités de préversion, et les sorties doivent être examinées avant de prendre des mesures.
- Contraintes d’invite et de contexte : Security Copilot fonctionne dans les limites de jeton et de contexte inhérentes aux modèles de langage volumineux. Les invites longues ou les interactions étendues peuvent dépasser ces limites, ce qui entraîne des réponses tronquées ou moins optimales. Le recadrage ou la simplification des invites peut améliorer les résultats.
- Dépendance vis-à-vis des sources de données et de la configuration : les réponses sont ancrées dans les données disponibles, notamment les services Microsoft connectés, les intégrations tierces et les entrées utilisateur. Si les sources de données pertinentes ne sont pas disponibles, activées ou à jour, les résultats peuvent manquer d’exhaustivité ou de précision.
- Génération de script et de code : Security Copilot peuvent générer du code ou inclure du code dans les réponses. Les réponses peuvent sembler valides, mais elles peuvent ne pas être sémantiquement ou syntaxiquement correctes, ou ne pas refléter avec précision l’intention du demandeur. Le code généré ne doit pas être déployé dans des environnements de production sans procédures de validation, de test et de révision appropriées. Les utilisateurs doivent également vérifier que tous les paramètres utilisés par le code généré s’alignent sur la requête d’origine. Par exemple, si un agent opère sur des alertes dans un intervalle de temps spécifique, vérifiez que l’intervalle de temps dans le code généré correspond à l’intervalle de temps spécifié dans l’invite en langage naturel.
- Limites d’accès aux données et d’autorisation : Security Copilot fonctionne dans les autorisations organisationnelles et les contrôles d’accès aux données existants. Les réponses sont limitées aux données à laquelle un utilisateur est autorisé à accéder. Les autorisations mal configurées dans les systèmes sous-jacents peuvent affecter la pertinence ou l’exhaustivité des résultats.
- Environnements cloud pour le secteur public : Security Copilot n’est actuellement pas conçu pour être utilisé dans certains environnements cloud du secteur public.
Évaluations
Les évaluations des performances et de la sécurité évaluent si les applications IA fonctionnent de manière fiable et sécurisée en examinant des facteurs tels que la base, la pertinence et la cohérence, tout en identifiant les risques liés à la génération de contenu nuisible. Les évaluations suivantes ont été effectuées avec des composants de sécurité déjà en place, qui sont également décrits dans Composants de sécurité et atténuations.
Données d’évaluation pour la qualité et la sécurité
Nos données d’évaluation sont personnalisées pour évaluer les performances des applications IA dans des domaines clés de la sécurité et de la qualité, en simulant des scénarios réels et des risques. Nous commençons par identifier les aspects pertinents de l’évaluation des préoccupations en nous appuyant sur la recherche multidisciplinaire et les commentaires d’experts. Ces préoccupations se traduisent par des objectifs d’évaluation ciblés et guident la formulation des métriques d’évaluation.
Pour la sécurité, nous créons des invites contradictoires pour obtenir des réponses indésirables ou de cas de périphérie, qui sont ensuite notées à l’aide d’annotateurs assistés par IA formés pour évaluer l’alignement avec les normes de sécurité de Microsoft. Pour la qualité, nous créons des invites basées sur des rubriques pertinentes pour les scénarios, y compris l’évaluation des applications et des agents de génération augmentée de récupération (RAG).
Les jeux de données sont organisés à partir de diverses sources, notamment des jeux de données synthétiques et publics pour simuler des scénarios utilisateur réels. À l’aide des jeux de données organisés, les deux évaluations font l’objet d’un affinement itératif et d’un alignement humain pour améliorer l’efficacité et la fiabilité des métriques. Cette méthodologie constitue la base d’évaluations reproductibles et rigoureuses qui reflètent la façon dont les clients utilisent les évaluations pour créer une IA meilleure et plus sûre.
Évaluations personnalisées
Des évaluations personnalisées ont été effectuées pour valider les performances du modèle dans des scénarios de base, de robustesse contradictoire et de contenu nuisible à l’aide de tests de régression, de jeux de données d’invite organisés et d’exemples alignés sur la production. L’évaluation a comparé les sorties entre les modèles GPT, en utilisant des outils internes pour évaluer la base et Azure filtrage de contenu OpenAI pour valider les protections contre le jailbreak, l’injection d’invite et les violations de propriété intellectuelle. Les résultats montrent des performances cohérentes ou améliorées, notamment des taux de protection élevés dans les scénarios contradictoires et une meilleure précision de la mise à l’terre.
La gestion du contenu dangereux reste cohérente entre les modèles et fonctionne en mode annotation pour prendre en charge les cas d’usage axés sur la sécurité, avec des tests supplémentaires à grande échelle confirmant des taux de protection élevés entre les catégories. Des tests de régression sont effectués pour vérifier que le contenu, qui n’est pas dangereux, n’est pas considéré comme dangereux.
Les commentaires des utilisateurs sont essentiels pour améliorer Security Copilot. Les utilisateurs peuvent fournir des commentaires à l’aide des options Suivantes : Nécessite une amélioration, Inapproprié ou Apparence appropriée . Ces commentaires sont directement transmis à Microsoft et sont utilisés pour améliorer les performances de la plateforme par le biais d’un perfectionnement itératif continu.
Composants de sécurité et atténuations
À mesure que nous avons identifié les risques potentiels et les mauvaises utilisations par le biais de processus tels que les tests d’équipe rouge et les avons mesurés, nous avons développé des mesures d’atténuation pour réduire le risque de préjudice. Dans la liste suivante, nous décrivons certaines de ces atténuations. Nous continuerons à évaluer l’expérience Microsoft Security Copilot pour améliorer les performances et les atténuations des produits.
Filtrage et garde-fous de contenu dangereux : Security Copilot intègre des garde-fous (filtres de contenu) et des modèles de détection des abus développés par Microsoft dans le cadre de la fondation Azure service OpenAI. Ces modèles de classification neuronale détectent et filtrent le contenu nuisible entre les catégories, notamment la haine, le sexe, la violence et l’automutilation à plusieurs niveaux de gravité. Les modèles de classification facultatifs détectent également les risques de jailbreak, le texte ou le code connu et les attaques par injection d’invite indirecte. Ces contrôles en couches aident à empêcher l’IA de produire des réponses qui enfreignent les normes de sécurité de Microsoft.
Conception du système de sécurité : Microsoft a développé un système de sécurité pour Security Copilot conçu pour atténuer les défaillances et empêcher toute mauvaise utilisation, y compris l’annotation de contenu nuisible, la surveillance opérationnelle et d’autres mesures de protection. Les Azure exigences d’atténuation de l’IA responsable du service OpenAI ne s’appliquent pas directement aux clients Security Copilot, car Security Copilot implémente ces atténuations au nom du client.
Boucle de commentaires utilisateur : la plateforme fournit des mécanismes de commentaires intégrés : Nécessite une amélioration, Inapproprié et Apparences appropriées options qui permettent aux utilisateurs de signaler des sorties problématiques et utiles directement à Microsoft. Ces commentaires entraînent des cycles d’amélioration continue, permettant des correctifs rapides et des ajustements de modèle lorsque des erreurs ou des désalignements sont détectés.
Chiffrement des données et protection de l’accès : les données client gérées par Security Copilot sont chiffrées en transit et au repos, comme décrit dans l’Addendum sur la protection des données des produits et services Microsoft. Par défaut, aucun utilisateur humain n’a accès à la base de données et l’accès réseau est limité au réseau privé sur lequel l’application Security Copilot est déployée ; si un accès humain est nécessaire (pour la réponse aux incidents), l’accès élevé et l’accès réseau doivent être approuvés par les employés microsoft autorisés. Consultez Conformité.
Approche de déploiement par phases : Security Copilot publie des fonctionnalités par le biais d’un programme d’accès anticipé sur invitation uniquement, ce qui permet à Microsoft de recueillir des commentaires et d’affiner les fonctionnalités avant une disponibilité plus large.
Notre approche de la cartographie, de la mesure et de la gestion des risques continuera d’évoluer à mesure que nous en apprenons davantage, et nous apportons déjà des améliorations en fonction des commentaires reçus des clients.
Bonnes pratiques pour le déploiement et l’adoption de Microsoft Security Copilot
L’IA responsable est un engagement partagé entre Microsoft et ses clients. Bien que Microsoft crée des systèmes d’IA avec la sécurité, l’équité et la transparence à la base, les clients jouent un rôle essentiel dans le déploiement et l’utilisation de ces technologies de manière responsable dans leur propre contexte.
Security Copilot agents sont conçus pour augmenter l’expertise humaine, et non pour les remplacer. Les clients restent responsables de l’examen des sorties, de la validation des décisions et de la conformité aux lois, réglementations et stratégies organisationnelles applicables.
Les déploiements et les utilisateurs finaux doivent :
Soyez prudent et évaluez les résultats lors de l’utilisation de Security Copilot pour prendre des décisions corrélatives ou dans des domaines sensibles : Les décisions consécutives sont celles qui peuvent avoir un impact juridique ou significatif sur l’accès d’une personne à l’emploi, aux services juridiques, aux soins de santé, ou qui pourraient entraîner un préjudice physique, psychologique ou financier. Les domaines sensibles tels que les services financiers, les soins de santé et le droit nécessitent une attention particulière en raison du risque d’impact disproportionné sur différents groupes de personnes. Lors de l’utilisation de l’IA pour prendre des décisions dans ces domaines, les clients doivent s’assurer que les parties prenantes concernées peuvent comprendre comment les décisions sont prises, faire appel des décisions et mettre à jour toutes les données d’entrée pertinentes.
Évaluer les considérations juridiques et réglementaires : les clients doivent évaluer les obligations juridiques et réglementaires spécifiques potentielles lors de l’utilisation de services et de solutions IA, qui peuvent ne pas être appropriés pour une utilisation dans tous les secteurs ou scénarios. En outre, les services ou solutions d’IA ne sont pas conçus pour et ne peuvent pas être utilisés de manière interdite dans les conditions de service applicables et les codes de conduite pertinents.
Activer et gérer les plug-ins pertinents : la qualité et la précision des réponses Security Copilot dépendent considérablement des plug-ins activés. Les administrateurs doivent s’assurer que les plug-ins Microsoft et tiers appropriés sont configurés et gérés afin que les utilisateurs reçoivent des réponses contextuellement pertinentes.
Les utilisateurs finaux doivent :
Écrire des invites efficaces : l’écriture d’invites claires et spécifiques est essentielle pour obtenir de meilleurs résultats avec Security Copilot. Incluez le contexte pertinent, tel que les ID d’incident, les noms des ressources ou les intervalles de temps. Itérer et régénérer les invites en fonction des besoins, et toujours examiner et vérifier les réponses générées par l’IA. Pour plus d’informations, consultez Demander des conseils pour Security Copilot.
Exercer la supervision humaine le cas échéant : la supervision humaine est une protection importante lors de l’interaction avec les systèmes d’IA. Bien que nous améliorions continuellement Security Copilot, les systèmes IA peuvent faire des erreurs. La sortie générée peut être inexacte, incomplète, biaisée ou non entièrement alignée sur vos objectifs prévus en raison de l’ambiguïté des entrées ou des limitations des modèles sous-jacents. Les utilisateurs doivent examiner les réponses générées par Security Copilot et vérifier qu’elles correspondent à leurs attentes et exigences avant de prendre des mesures.
Soyez conscient du risque de dépendance excessive : une dépendance excessive à l’égard de l’IA se produit lorsque les utilisateurs acceptent des sorties IA incorrectes ou incomplètes, principalement parce que les erreurs dans les sorties d’IA peuvent être difficiles à détecter. Pour les professionnels de la sécurité, une dépendance excessive peut entraîner des menaces manquées, des conclusions d’incident incorrectes ou des modifications de stratégie basées sur des recommandations erronées. Security Copilot inclut la divulgation de l’IA et cite les documents sources pour aider à atténuer ce risque, mais les utilisateurs doivent toujours vérifier l’exactitude des réponses. Les utilisateurs peuvent passer en revue le mappage des nœuds de l’agent qui fournit une vue d’ensemble des étapes effectuées pendant le flux de travail d’un agent.
Soyez prudent lors du déploiement ou de la conception d’une IA agentique dans des domaines sensibles : les utilisateurs doivent implémenter la supervision humaine appropriée lors de la configuration et du déploiement de systèmes d’IA agentiques dans des domaines où les actions de l’agent sont irréversibles ou très conséquentes. Des précautions supplémentaires doivent être prises lors de la création d’une IA agentique autonome, comme décrit dans le Code de conduite microsoft Enterprise AI Services.
Les déployeurs doivent :
Configurez soigneusement les autorisations RBAC et agent : les administrateurs sont responsables de la configuration des contrôles d’accès en fonction du rôle pour les utilisateurs et les agents. Les autorisations doivent suivre le principe du privilège minimum. Les agents doivent uniquement avoir accès aux données et aux actions nécessaires pour leur tâche désignée.
Surveiller l’utilisation et l’activité de révision : les administrateurs (propriétaires) peuvent utiliser le tableau de bord de surveillance de l’utilisation Security Copilot pour passer en revue les données au niveau de la session, telles que l’utilisation au fil du temps, les initiateurs de session et les plug-ins utilisés pendant les sessions. Cette visibilité permet aux organisations de comprendre comment Security Copilot est utilisé dans les invites, les promptbooks et les agents. Pour plus d’informations, consultez Gérer l’utilisation.
Gérer les paramètres de partage de données : les propriétaires peuvent configurer les préférences de partage des données client à tout moment et doivent examiner et mettre à jour ces paramètres conformément aux exigences de confidentialité et de conformité de leurs organization. Pour plus d’informations, consultez Confidentialité et sécurité des données dans Microsoft Security Copilot.
Informez les utilisateurs sur les fonctionnalités et les limitations : l’utilisation efficace et responsable des Security Copilot nécessite que les utilisateurs comprennent ce que le système peut et ne peut pas faire. Les déployeurs doivent fournir une formation et des conseils pour aider les utilisateurs à interagir efficacement avec Security Copilot, y compris l’importance de vérifier les sorties générées par l’IA avant de prendre des mesures.
En savoir plus sur Security Copilot
Pour obtenir des conseils supplémentaires sur l’utilisation responsable des Microsoft Security Copilot, consultez la documentation suivante :
- Qu’est-ce que Sécurité Microsoft Copilot ?
- Confidentialité et sécurité des données dans Sécurité Microsoft Copilot