Microsoft Security Copilot常见问题解答
Microsoft Security Copilot是一种 AI 网络安全产品,使安全专业人员能够快速响应威胁,以计算机速度处理信号,并在几分钟内评估风险风险。
Security Copilot将 OpenAI 中的高级 GPT4 模型与Microsoft带来的所有内容相结合,包括超大规模基础结构、特定于网络的业务流程、Microsoft Security 的独特专业知识、全球威胁情报和全面的安全产品。
它目前是唯一使用 Microsoft 与 OpenAI 的独特关系构建的安全 AI 解决方案,使客户能够访问最新和最先进的大型语言模型, (LLM) 和Microsoft的超大规模 AI 基础结构。
Microsoft在为客户转换安全性方面处于独特的位置,这不仅因为我们在 AI 方面的投资,还因为我们在投资组合中提供了端到端的安全性、标识、合规性等。 我们经过优化,可以涵盖更多威胁向量,并通过协调的体验提供价值。
Security Copilot可用于调查和修正安全威胁、生成和反向工程脚本、探索风险和态势管理、排查 IT 问题、创建和管理策略、构建生命周期工作流,以及向利益干系人报告。 这些用例适用于安全团队中各种角色的各种任务。 阅读Security Copilot安全和 IT 角色的用例,深入了解这些用例如何使 CSO、威胁情报分析师、IT 管理员等受益。
是。 Security Copilot适用于其他Microsoft安全产品。 这些产品包括但不限于:
- Azure 防火墙
- Microsoft Defender攻击面管理
- Microsoft Defender for Cloud
- Microsoft Defender 威胁智能,
- Microsoft Defender XDR,
- Microsoft Intune,
- Microsoft Purview,
- Microsoft Sentinel
Security Copilot可以访问这些产品中的数据,并提供辅助 Copilot 体验,以提高使用这些解决方案的安全专业人员的有效性和效率。 例如,脚本分析等功能使客户能够在几分钟内分析数百行代码,并通过自然语言对其进行解释。 在速度和专业知识方面,此功能甚至大大超过了高级分析师技能。 Security Copilot可帮助安全专业人员更早地发现风险,以更出色的指导对其进行响应,并在不断变化的威胁形势中始终了解漏洞。
当安全专业人员使用Security Copilot时,Microsoft Defender XDR和Microsoft Sentinel变得更加强大。 Security Copilot提供了一种体验,它丰富和构建了来自Microsoft Defender XDR和Microsoft Sentinel的安全数据、信号和现有事件和见解。 Microsoft Defender XDR中新的嵌入式体验为具有生成 AI 功能的安全团队提供增强,使其效率提升到一个新的水平,适用于以下一组功能强大的用例:
通过辅助事件调查和响应,以 AI 的速度响应威胁。 借助 Defender 中的嵌入式体验,Security Copilot提供活动事件的摘要和事件响应的可操作分步指南,创建完整的响应后活动,只需几秒钟,只需单击按钮即可完成。
将高级任务缩放到所有技能级别。 Security Copilot使所有技能级别的防御者能够轻松地跨多个威胁向量发现威胁和漏洞。 解决方案可跨安全数据实时提供解决方案原因,并提供一种使用自然语言执行高级任务的可访问方式。
实时执行恶意代码分析。 以前,恶意软件分析和反向工程仅限于高级响应者。 借助Security Copilot,客户可以分析复杂的命令行脚本,并将其翻译为易于理解的自然语言,以帮助分析师了解攻击者的行为和动机。
在调查工作流中轻松应用威胁情报。 借助Security Copilot,用户可以获得对新出现的威胁、攻击技术以及组织是否受到特定威胁的结构化和上下文化见解。 Security Copilot有助于防止接触活动组市场活动,并通过更出色的指导对事件做出响应。
否,Security Copilot不会替换Microsoft Defender XDR或Microsoft Sentinel。 Security Copilot协助安全专业人员完成日常工作,提供技能提升体验并提高效率。 它比Microsoft Defender XDR和Microsoft Sentinel增加价值。
是的*。 出现提示时,Security Copilot有关 Microsoft Defender 威胁智能 (Defender TI 中所有内容和数据的原因,) 返回有关活动组、工具和漏洞的关键上下文。 客户还具有租户级 Defender TI 高级工作台访问权限,使他们能够访问 Defender TI 的完整智能范围(Intel 配置文件、威胁分析、Internet 数据集等),以更深入地了解Security Copilot中显示的内容。
*此访问不包括 Defender TI API,该 API 仍单独获得许可。
Security Copilot将于 2024 年 4 月 1 日正式推出购买。
SOC 分析师、合规性分析师和 IT 管理员是Security Copilot的预期用户。
Security Copilot支持多种语言。 该模型提供 8 种语言*,用户体验以 25 种语言提供。**
*模型:英语、德语、日语、西班牙语、法语、意大利语、葡萄牙语和中文
**UX:以上语言加上用户体验中的韩语、荷兰语、瑞典语、波兰语、挪威语、土耳其语、丹麦语、芬兰语等。
有关详细信息,请参阅 支持的语言。
是的,EAP 客户将收到 GA 产品中的功能,以及在其 EAP 协议期间发生的任何其他功能更新。
客户在“抢先体验计划”下的访问权限将在购买日期后六个月后结束。 在此期间,适用于客户在抢先体验计划下使用和使用产品的合同条款。 在此时间之后和正式发布后,安全 Copilot 将根据Microsoft的标准合同渠道可供购买和使用。 已制定迁移计划,以支持从 EAP 迁移到 GA 的客户,以确保其所有信息都转移到 GA 产品。
当 EAP 客户决定在 EAP 到期后的 90 天内购买 GA 产品时,客户数据将保持可用状态。
如果 EAP 客户决定在 EAP 到期后的 90 天内不购买 GA 产品,则根据我们的数据保留策略删除其 EAP 客户数据。
否,客户数据不用于训练 Azure OpenAI 服务基础模型,我们的产品条款中记录了此承诺。 有关Security Copilot上下文中的数据共享的详细信息,请参阅隐私和数据安全。
Microsoft遵守适用于其提供产品和服务的所有法律和法规,包括Microsoft DPA) 中定义的安全漏洞通知法和数据保护要求 (。 但是,Microsoft不负责遵守适用于客户或客户行业的任何法律或法规,这些法律或法规通常不适用于信息技术服务提供商。 Microsoft不会确定客户的数据是否包含受任何特定法律或法规约束的信息。 有关详细信息,请参阅 Microsoft产品和服务数据保护附录 (DPA) 。
GCC 在正式版上不可用。 目前,Security Copilot不适用于美国政府云的客户使用,包括但不限于 GCC、GCC High、DoD 和 Microsoft Azure 政府。 虽然Microsoft Sentinel连接器的技术路径有效,但租户无法访问 75% 的产品功能,因为 Defender 接口和数据位于 Microsoft Azure 政府中,Copilot 未集成到其中。
美国和加拿大 HLS 客户有资格购买Security Copilot。 Microsoft Security Copilot现在 (“BAA”) 的业务伙伴协议中列出并涵盖,这对受 HIPAA 法规约束的医疗保健提供商很重要。 有关Microsoft Security Copilot当前涵盖的合规性产品/服务的其他信息,请参阅服务信任门户。
你需要联系支持人员。 有关详细信息,请参阅 联系支持人员。
ChatGPT和Security Copilot都是人工智能 (AI) 技术,旨在帮助用户更快、更高效地完成任务和活动。 虽然它们看起来可能相似,但两者之间存在显著差异。
ChatGPT是一种自然语言处理技术。 ChatGPT使用机器学习、深度学习、自然语言理解和自然语言生成来回答问题或响应对话。 ChatGPT处理从 Internet 训练的数据,使用用户的提示来帮助进行及时的工程和模型调整,并且仅限于三个并发插件。
Security Copilot是一种自然语言,由 AI 提供支持的安全分析工具,旨在帮助组织以计算机速度和规模防御威胁。 Security Copilot基于 OpenAI 技术,从头开始设计和设计为企业网络 AI。 该平台使用客户连接的插件和Microsoft的全球威胁情报作为基础数据。 输入的提示不会通知模型或提示工程,除非客户提交评审。
ChatGPT和Security Copilot之间的一个关键区别在于系统的设计目的。 Microsoft Security Copilot设计用于态势管理、事件响应和报告。 该解决方案从从插件聚合的安全信号中提取见解,而ChatGPT的工作方式类似于聊天机器人,旨在与用户进行对话。
Security Copilot可以访问来自威胁情报的最新信息,并从插件中获取见解,以便安全专业人员能够更好地防御威胁。 Microsoft Security Copilot并不总是一切正常,并且与所有 AI 工具一样,响应可能包含错误。 内置的反馈机制为用户提供了帮助改进系统的控制权。
Security Copilot可用于所有渠道:EA、MCA-E、CSP、在线购买和旧版 Web Direct。
Azure 订阅和Microsoft Entra ID (以前称为 Azure Active Directory) 是使用 Security Copilot 的先决条件;没有其他产品先决条件。 有关详细信息,请参阅Security Copilot入门。
购买后,客户可以轻松访问文档、视频和博客。
可以在 Microsoft信任中心了解详细信息。
Microsoft Security Copilot致力于维护安全性、隐私和卓越运营的最高标准,其广泛的行业认证证明了这一点。 其中包括用于信息安全管理的 ISO 27001、用于保护云中个人数据的 ISO 27018、用于云特定安全控制的 ISO 27017 和用于隐私信息管理的 ISO 27701。
此外,Security Copilot在 IT 服务管理中持有 ISO 20000-1、质量管理中的 ISO 9001 和业务连续性管理的 ISO 22301 认证。 它还符合 SOC2 安全性、可用性和机密性要求,强调我们致力于提供安全可靠的服务。 对于医疗保健相关服务,Security Copilot在 HiTrust CSF 框架下获得认证,进一步增强了其安全性和合规性立场,并受 BAA) (HIPAA 业务伙伴协议的涵盖,确保遵守医疗保健法规并保护敏感健康信息。
有关Microsoft Security Copilot当前涵盖的合规性产品/服务的其他信息,请参阅服务信任门户。
是。 Security Copilot是 SaaS 应用程序,需要 AAD 对有权访问的用户进行身份验证。
Security Copilot涵盖警报/事件和存储的数据。 该产品从 Defender for XDR 中的高级搜寻表和 Microsoft Sentinel 中的顶级数据表中检索数据。
否,目前Security Copilot不支持跨Microsoft Entra租户或订阅转移Security Copilot资源。
客户可以使用 ISV 开发的第三方插件,例如公共预览版容量中的 Cyware、Netskope SGNL、Tanium 和 Valence Security。 Microsoft CIRC.lu、CrowdSec、Greynoise 和 URLScan 等开发的第三方插件也可用。 将来将添加更多插件。
备注
需要单独购买与Security Copilot集成的产品。
Security Copilot无法隔离计算机。 它可以向安全管理员提供建议,建议他们应隔离某些计算机,但Security Copilot本身不会采取该操作。 可以使用Security Copilot评估环境中是否存在单个 IOC。 但是,Security Copilot不会自动阻止它们。 自动化可能在以后推出,但目前Security Copilot不会自行采取修正操作。
目前支持 IPV4 的名为“按 IP 地址获取 Web 组件”的功能。
否,Security Copilot目前不支持 IoT/OT。
Security Copilot不提供仪表板,但你可以跨Microsoft Sentinel查询多个事件。 对于基线,它可以提供攻击路径的可视化效果。
否,Security Copilot目前不支持工作流。
Security Copilot使用“代表管理员” (AOBO) 登录用户的权限。 有关详细信息,请参阅了解身份验证。
Microsoft Copilot是在 Azure 生产租户中运行的 SaaS (软件即服务) 产品/服务。 用户输入提示,Security Copilot根据来自其他产品(如Microsoft Defender XDR、Microsoft Sentinel和Microsoft Intune)的见解提供响应。 Security Copilot存储用户的过去的提示和响应。 用户可以使用产品内体验来访问提示和响应。 来自客户的数据在逻辑上与其他客户的数据隔离。 此数据不会离开 Azure 生产租户,在客户要求将其删除或从产品下架之前存储。
如 Microsoft产品和服务数据保护附录中所述,传输中的数据和静态数据均经过加密。
默认情况下,没有人类用户有权访问数据库,网络访问权限仅限于部署Microsoft Copilot应用程序的专用网络。 如果人员需要访问以响应事件,则待命工程师需要经过授权Microsoft员工批准的提升访问权限和网络访问权限。
除了常规功能测试外,Microsoft还完成了渗透测试。 Microsoft Security Copilot符合所有Microsoft隐私、安全性和合规性要求。
会话数据存储在运行时, (以) 操作服务,也存储在日志中。 在运行时数据库中,通过产品内 UX 删除会话时,与该会话关联的所有数据都标记为已删除, (TTL) 生存时间设置为 30 天。 TTL 过期后,查询无法访问该数据。 后台进程在该时间之后以物理方式删除数据。 除了“实时”运行时数据库外,还有定期数据库备份。 备份将过期 - 这些备份的短期保留期 (当前设置为) 四天。
通过产品内 UX 删除会话时,包含会话数据的日志不受影响。 这些日志的保留期最长为 90 天。
以下产品条款适用于Security Copilot客户:
产品条款中的联机服务的通用许可条款,其中包括 Microsoft生成 AI 服务 条款和客户版权承诺。
Microsoft产品条款中的隐私 & 安全条款,其中包括数据保护附录。
Security Copilot是产品条款定义的生成 AI 服务。 此外,出于客户版权承诺的目的,Security Copilot是“涵盖的产品”。 目前,在产品条款中,没有特定于产品Security Copilot的术语。
除了产品条款之外,客户的 MBSA/EA 和 MCA 协议(例如)管理双方的关系。 如果客户对其与Microsoft的协议有具体疑问,请与支持交易的 CE、交易经理或本地 CELA 联系。
Microsoft客户版权承诺是一项新承诺,将Microsoft现有的知识产权赔偿支持扩展到某些商业 Copilot 服务。 客户版权承诺适用于Security Copilot。 如果第三方起诉商业客户使用Microsoft的 Copilots 或其生成的输出侵犯版权,Microsoft将为客户辩护,并支付诉讼导致的任何不利判决或和解金额,前提是客户使用了我们产品内置的防护栏和内容筛选器。
Azure OpenAI 滥用监视目前在服务范围内对所有客户禁用。
数据处理的位置:目前,Security Copilot不会做出任何数据处理承诺的合同位置。 根据产品条款并使用Microsoft生成 AI 服务,Security Copilot客户同意可以在其租户的地理区域之外处理其数据。 但是,客户管理员可以选择用于提示评估的位置。 虽然Microsoft建议允许在具有可用 GPU 容量的任何位置进行提示评估以获得最佳结果,但客户可以从四个区域中进行选择,以便仅在这些区域中评估其提示
用于快速评估的当前可用区域:
- 澳大利亚 (澳新)
- 欧洲 (欧盟)
- 英国 (英国)
- 美国 (US) 。
数据存储 (数据驻留) 的位置:目前,Security Copilot不会做出合同数据存储/驻留承诺。 如果客户未选择使用数据共享*,Security Copilot会将静态数据存储在租户的主地理位置中。
例如,对于家在德国的客户租户,Security Copilot将客户数据存储在“欧洲”作为德国的指定地理位置。
*如果客户选择使用数据共享,则客户数据(如提示和响应)会与Microsoft共享,以提高产品性能、提高准确性并解决响应延迟问题。 发生此事件时,客户数据(如提示)可以存储在租户异地之外。
在正式发布时,所有Microsoft安全服务都不符合欧盟数据驻留要求的范围,Security Copilot不会列为 EUDB 服务。
Security Copilot将客户数据和个人数据(例如用户提示和Microsoft Entra对象 ID)存储在租户 Geo 中。 如果客户在欧盟预配其租户,但未选择加入数据共享,则所有客户数据和假名化个人数据将静态存储在欧盟内。 客户数据和个人数据提示的处理可以在指定的安全 GPU 地理位置进行。 有关安全 GPU 地理位置选择的详细信息,请参阅Security Copilot入门。 如果客户选择加入数据共享,则可以将提示存储在欧盟数据边界之外。 有关数据共享的详细信息,请参阅 Microsoft Security Copilot 中的隐私和数据安全。
是的,客户提示被视为客户数据。 根据产品条款,客户提示被视为输入。 输入定义为“客户提供、指定、选择或输入的所有客户数据,供生成人工智能技术用来生成或自定义输出”。
是的,输出内容是产品条款下的客户数据。
是的,可在此处找到负责任 AI 透明度文档: 负责任 AI 常见问题解答。
大型语言模型 (LLM) 包括 GPT,它们一次可以处理的信息量有限制。 此限制称为“令牌限制”,每个令牌大致关联到 1.2 个单词。 Security Copilot使用 Azure OpenAI 中的最新 GPT 模型来确保我们可以在单个会话中处理尽可能多的信息。 在某些情况下,大型提示、长会话或详细插件输出可能会溢出令牌空间。 发生此情况时,Security Copilot尝试应用缓解措施以确保输出始终可用,即使该输出中的内容不是最佳的。 这些缓解措施并不总是有效的,可能需要停止处理请求,并指示用户尝试其他提示或插件。
这些要求不适用于Security Copilot客户,因为Security Copilot实施这些缓解措施。
合作伙伴可以围绕Security Copilot方案提供信号或构建补充解决方案。
是的,如果客户选择提供访问权限,为客户提供 SOC 服务的 MSSP 可以访问客户的Security Copilot环境。 (自带 MSSP) 。
备注
仅在功能有限的独立门户中可用。
通过来宾访问 (B2B) 和 GDAP 提供对 (客户) 租户的 MSSP 访问。 目前没有适用于 MSSP 的 CSP 或经销商多租户模型。 每个客户都负责购买自己的 SCU 并设置具有所需访问权限的 MSSP。
Security Copilot不支持跨多个租户进行提示。 相反,MSSP 可以使用租户切换,并使用支持的委派访问选项以一个客户租户为目标。
MSSP 可以使用 MSSP 租户中的租户切换来管理Security Copilot内的多个客户租户。 租户切换允许合作伙伴在租户之间切换,并通过在下拉列表中选择客户租户,一次通过提示/查询保护一个租户。 客户还可以在Security Copilot会话 URL 中添加 TenantID (GUID) 作为查询字符串参数。 可以根据对客户租户的委派访问权限来选择客户租户。 Security Copilot在用户上下文中使用,因此合作伙伴只能访问客户租户中已授予委派帐户访问权限的内容。
我们正在与 Cyware、Netskope、SGNL、Tanium 和 Valence Security 等 ISV 合作,在公共预览版中发布其插件,并继续与合作伙伴生态系统的其余部分构建更多集成。
正式发布时没有插件市场。 ISV 可以将其解决方案发布到 GitHub。 在正式版,所有合作伙伴都必须将其解决方案或托管服务发布到Microsoft商业市场。 可在此处找到有关发布到市场的详细信息:
将解决方案发布到Microsoft商业市场:
MSSP 特定:必须在 Microsoft AI Cloud Partner Program 中具有安全标识。
特定于 SaaS:
属于 EAP 的 MSSP 将继续有权访问Security Copilot,直到 EAP 6 个月协议结束。 如果 MSSP 将同一租户用于内部和客户管理的 SOC 服务,则需要购买容量计划,并确保通过托管 SOC 使用的租户启用支持的委派访问模型。 如果 MSSP 仅将租户用于不用于内部 SOC 托管服务的客户托管 SOC 服务,则 MSSP 需要通过Microsoft手动为Security Copilot预配租户。 因此,无需购买容量计划即可预配Security Copilot。
Microsoft Security Copilot没有任何特定的Microsoft安全产品要求进行预配或使用,因为该解决方案基于聚合来自Microsoft和第三方服务的数据源。 话虽如此,将Microsoft Defender XDR和Microsoft Sentinel启用为支持插件来扩充调查,这具有重要的价值。 Security Copilot仅使用技能和从已启用的插件访问数据。
建议解决方案托管在 Azure 上,但不是必需的。
目前不能。