一般信息
什么是 Microsoft 安全 Copilot?
智能 Microsoft Security Copilot 副驾驶®是一种基于 AI 的生成助手,用于安全和 IT。 它使用全球威胁情报、行业最佳做法以及来自Microsoft和合作伙伴工具的组织数据提供量身定制的见解和建议。 Teams 还可以使用自治Security Copilot代理自动执行工作流、加速响应、确定风险优先级并减少手动工作负载 , 同时保持牢牢控制。
Security Copilot为客户解锁的用例和功能有哪些?
Security Copilot侧重于使以下用例易于完成。
- 调查和修正安全威胁
- 生成 KQL 查询和分析可疑脚本
- 了解风险和管理组织的安全态势
- 更快地排查 IT 问题
- 定义和管理安全策略
- 配置安全生命周期工作流
- 为利益干系人开发报表
- 使用自治代理自动执行任务
访问Security Copilot采用中心,深入了解Security Copilot如何使 CSO、威胁情报分析师、IT 管理员、数据安全管理员等角色受益。
智能 Microsoft Security Copilot 副驾驶®是否与其他Microsoft产品一起使用?
是。 Security Copilot与其他Microsoft安全产品集成并嵌入其中。 这些产品包括但不限于:
- Azure 防火墙
- Microsoft Defender攻击面管理
- Microsoft Defender for Cloud
- Microsoft Defender 威胁智能
- Microsoft Defender XDR
- Microsoft Intune
- Microsoft Purview
- Microsoft Sentinel
Security Copilot可以访问这些产品中的数据,并提供 genAI 帮助和代理自动化,以提高使用这些解决方案的安全专业人员的有效性和效率。
谁是Security Copilot的预期用户?
SOC 分析师、合规性分析师、IT 管理员、数据安全管理员、标识管理员和 CSO 是Security Copilot的一些预期用户。 访问Security Copilot采用中心,了解关键方案。
支持哪些语言?
Security Copilot支持多种语言。 该模型提供 8 种语言*,用户体验以 25 种语言提供。**
*模型:英语、德语、日语、西班牙语、法语、意大利语、葡萄牙语和中文
**UX:以上语言加上用户体验中的韩语、荷兰语、瑞典语、波兰语、挪威语、土耳其语、丹麦语、芬兰语等。
有关详细信息,请参阅 支持的语言。
Security Copilot和一般 LLM 之间的区别是什么?
通用 LLM 缺乏关键优势,例如:
- 使用结构化日志数据进行实时信号处理,以便在威胁发生时(而不是事后)检测和分析威胁。
- 调查推理,用于跟踪事件的来源和影响。 AI 需要像人类分析师一样跨多个数据点进行透视,并在新信息出现时调整结论。
- 具有证据的精确性,可确保 AI 准确并得到可靠数据的支持。
- 持久数据收集,用于维护连续、全面的视图。
如果没有这些功能和对特定安全环境的深入了解,泛型模型根本无法提供所需的分析深度。
Microsoft具有独特的优势,可以应对在安全性中使用 AI 的挑战 - 我们的解决方案基于可用的最高级模型构建,并基于:
- 超大规模基础结构,提供实时处理大量数据所需的可伸缩性和基础结构。
- 一个特定于安全的业务流程协调程序,可跨工具和团队简化、上下文化和协调响应。
- 通过插件无缝集成、连接现有系统并扩展解决方案可以执行的作。
- 由 84 万亿个每日信号提供常青威胁情报,在整个威胁环境中提供无与伦比的可见性。
- 内置的网络技能培训和提示手册,为团队提供所需的知识和资源。
通过构建所有这些组件,我们提供了一个 AI 安全解决方案,可了解你的安全环境,以自然语言提供见解,并安全地处理敏感数据。
有关客户数据处理常见问题解答,请参阅 数据和符合性。
购买和计费信息
是否有任何购买先决条件?
Azure订阅和Microsoft Entra ID (以前称为 Azure Active Directory) 是使用Security Copilot的先决条件;没有其他产品先决条件。 有关详细信息,请参阅Security Copilot入门。
部署Microsoft Entra ID (以前称为 Azure Active Directory) Security Copilot的要求?
是。 Security Copilot是一个 SaaS 应用程序,需要Microsoft Entra ID对有权访问的用户进行身份验证。
Security Copilot如何定价?
Security Copilot的定价基于安全计算单元 (SCU) 。
- 预配的 SCU 支持常规工作负载,并按月计费。
- 超额 SCU 提供灵活的按需容量,并且仅在使用时计费。
使用产品内仪表板监视 SCU 使用情况并根据需要调整容量。
有关详细信息,请参阅 智能 Microsoft Security Copilot 副驾驶® - 定价
Security Copilot是否支持租户或订阅转移?
否,目前Security Copilot不支持跨Microsoft Entra租户或订阅转移Security Copilot资源。
是否可以在租户的Security Copilot工作区之间共享 SCU?
SCU(无论是预配的还是超额的)不能在工作区之间共享。 例如,如果组织已预配工作区 A (1、预配了 3 个超额) 和工作区 B (2 预配了 5 个超额) ,则工作区 A 无法使用工作区 B 的 SCU 来防止限制(如果工作区 B 的 SCU 已用尽其自己的总共 4 个 SCU)。 同样,如果工作区 B 耗尽了自己的 SCU,则工作区 B 无法使用工作区 A 的 SCU 容量。
如何估算Security Copilot的 SCU 预配和预算?
估算 SCU 需求和预算取决于组织如何在Microsoft安全产品中使用生成 AI。 使用 SCU 容量计算器根据跨Microsoft Defender、Microsoft Intune、Microsoft Purview、Microsoft Entra和Security Copilot独立体验的用户和工作负荷数获取起点。 由于每个提示和工作流的复杂性各不相同,因此 SCU 消耗不会固定。 从小规模开始,试验并根据实际使用情况进行优化。 使用产品内仪表板实时跟踪使用情况,这有助于监视 SCU 消耗并根据需要调整容量。
如何实现解释 SCU 容量计算器上的结果?
结果显示每小时最大预期 SCU 数,具体取决于每个体验的每月用户数以及通过逻辑应用和 Promptbook 实现自动化。 除了每小时的最大 SCU 外,计算器还显示预配和超额 SCU 的所有可能组合,以及相应的每月成本范围。 每月最高成本是根据连续的 24/7 容量使用情况计算的。
例如,如果 SCU 容量计算器未满足我的需求, (我有超过 50 个Intune用户) ,该怎么办。
请随时 联系我们 或联系Microsoft客户经理了解详细信息。
工作区中 SCU 的最低预配要求是什么?
若要使用智能 Microsoft Security Copilot 副驾驶®,每个租户必须至少预配一个 SCU。 预配的 SCU 允许访问至少一个工作区。
- 需要预配的 SCU 才能激活容量,并按小时计费。
- 超额 SCU 可以设置为 0 到 999,并且仅在使用时计费。
技术和产品信息
哪些合作伙伴工具与Security Copilot集成?
智能 Microsoft Security Copilot 副驾驶®支持许多插件,包括Microsoft插件和非Microsoft插件。 有关详细信息,请参阅 插件。
注意
需要单独购买与Security Copilot集成的产品。
Security Copilot是否针对 IoT/OT 方案提出建议?
否,Security Copilot目前不支持 IoT/OT。
Security Copilot是否提供仪表板?
Security Copilot提供产品内使用情况仪表板客户可在其中深入了解其 SCU 使用情况。
是否可以Security Copilot执行工作流 - 从会审到使用固定消息,到控制客户应如何标记事件以及是否应关闭事件?
Security Copilot提供了即用型工作流的 Promptbook,可用作自动执行重复步骤(例如,有关事件响应或调查)的模板。 此外,Security Copilot中还有一些连接器是 API 的包装器,开发人员和用户可通过调用 智能 Microsoft Security Copilot 副驾驶® 平台来执行专用任务。 例如,逻辑应用连接器允许从Azure逻辑应用工作流调用 Copilot。 同样,Copilot Studio连接器使你能够访问Security Copilot来执行“提交Security Copilot提示”或“提取Security Copilot提示状态”等作。
Security Copilot有哪些基于角色的访问控制或委派功能? 用户权限保留Security Copilot如何与其他解决方案中的用户权限配置保持一致?
Copilot 使用代理身份验证通过活动Microsoft插件访问与安全相关的数据。 必须分配特定的Security Copilot角色,以便组或个人访问Security Copilot平台。 有关详细信息,请参阅了解身份验证。
Security Copilot如何处理“令牌限制”?
大型语言模型 (LLM) 包括 GPT,它们一次可以处理的信息量有限制。 此限制称为“令牌限制”,每个令牌大致关联到 1.2 个单词。 Security Copilot使用 Azure OpenAI 中的最新 GPT 模型,以确保我们可以在单个会话中处理尽可能多的信息。 在某些情况下,大型提示、长会话或详细插件输出可能会溢出令牌空间。 发生此情况时,Security Copilot尝试应用缓解措施以确保输出始终可用,即使该输出中的内容不是最佳的。 这些缓解措施并不总是有效的,可能需要停止处理请求,并指示用户尝试其他提示或插件。
什么是Security Copilot代理?
智能 Microsoft Security Copilot 副驾驶®代理通过自主和自适应自动化增强安全性和 IT 运营。 代理与 Microsoft 安全解决方案和第三方合作伙伴生态系统无缝集成,以处理大量安全任务。 这些代理专为安全性而构建,从反馈中吸取教训,适应团队完全掌握的组织工作流,并在Microsoft的零信任框架内安全运行 ,从而加快响应速度、确定风险优先级并提高效率。 通过减少手动工作负载,它们可以提高运营效率,并增强组织的整体安全态势。
访问采用中心,详细了解Security Copilot代理。
有关如何生成自定义代理的信息,请参阅 开发人员内容。
Security Copilot代理使用哪些计算资源?
代理利用 SCU 来像Security Copilot中的其他功能一样运行。 它们与Microsoft安全解决方案和更广泛的受支持合作伙伴生态系统无缝集成。
在哪里可以找到Security Copilot代理?
可以从独立体验和嵌入式体验中轻松发现智能 Microsoft Security Copilot 副驾驶®代理。
对于独立体验,可以从横幅中选择“转到代理”。 还可以从主菜单导航到代理库。 在嵌入式体验中,你将在门户中看到代理并浏览其功能。
访问 采用中心 了解详细信息。
Security Copilot中的连接器是什么?
Security Copilot 中的连接器是 API 的包装器,开发人员和用户可调用 智能 Microsoft Security Copilot 副驾驶® 平台来执行专用任务。 目前支持逻辑应用和Copilot Studio连接器。 有关详细信息,请参阅 连接器。
Copilot Studio连接器如何工作?
Copilot Studio连接器允许在创建自动化工作流时访问Security Copilot。 使用 Security Copilot 连接器,可以:
- 提交Security Copilot提示 - 提交自然语言提示以创建新的Security Copilot调查。 完成后,评估结果将返回到工作流。
- 提取Security Copilot提示状态 - 提交自然语言提示以拉取Security Copilot评估的状态。 完成后,评估结果将返回到工作流。
逻辑应用连接器的工作原理是什么?
智能 Microsoft Security Copilot 副驾驶®逻辑应用连接器允许从Azure逻辑应用工作流调用 Copilot。 连接器公开两个连接器作:
- 提交Security Copilot提示 - 提交自然语言提示以创建新的Security Copilot调查。 完成后,评估结果将返回到工作流。
- 提交Security Copilot提示簿 - 给定提示簿,调用新的Security Copilot promptbook 评估并将输出返回到Azure逻辑应用工作流。
什么是Security Copilot工作区?
在Security Copilot的上下文中,工作区可帮助团队管理资源、优化工作流并保持与组织策略的合规性。 还可以根据团队和组的特定需求对其进行配置,包括指定访问权限、分配容量、配置特定插件、部署代理以及添加提示手册,以便根据每个团队或组的独特要求定制体验。
工作区提供了一种灵活的环境细分方式,使访问和容量与组织需求、法律结构或合规性要求保持一致变得更加容易。 有关详细信息,请参阅 工作区概述。
合作伙伴信息
合作伙伴有哪些用例?
合作伙伴可以围绕Security Copilot方案提供信号或构建补充解决方案。
如果客户 (MSSP) 与托管安全服务提供商合作,则 MSSP 是否可以代表客户使用和管理Security Copilot?
是的,如果客户选择提供访问权限,为客户提供 SOC 服务的 MSSP 可以访问客户的Security Copilot环境。 可用选项包括:
- Azure灯塔
- B2B 协作/来宾帐户
- GDAP) (精细委派管理员特权
目前没有适用于 MSSP 的 CSP 或经销商多租户模型。 每个客户负责购买自己的 SCU,并在客户租户中访问时设置具有所需访问权限的 MSSP。 如果向客户的Microsoft Sentinel工作区提供了Azure Lighthouse 委派访问权限,则合作伙伴可以使用其合作伙伴容量计划 SCU 针对客户的Microsoft Sentinel工作区数据执行提示。
如果 MSSP 使用 Azure Lighthouse 跨客户的租户进行提示,MSSP 会使用自己的 SCU 还是客户的 SCU?
Azure Lighthouse 允许合作伙伴获取客户的Microsoft Sentinel工作区和其他受支持的Azure资源的Security Copilot权限。 ) 使用的容量计划 (SCU 是合作伙伴租户的容量计划。
MSSP 是否可以使用单个Security Copilot实例来管理多个租户?
Azure Lighthouse 支持从合作伙伴租户调用基于Sentinel的技能针对单个客户的Microsoft Sentinel工作区,同时合作伙伴已通过 Azure Lighthouse 获得委派访问权限。 合作伙伴租户将利用其 SCU 针对客户的租户执行Security Copilot调用的Microsoft Sentinel技能,而无需为Security Copilot预配客户租户或拥有自己的 SCU。
目前是否有第三方集成可用?
智能 Microsoft Security Copilot 副驾驶®支持许多插件,包括Microsoft插件和非Microsoft插件。 有关详细信息,请参阅 非Microsoft插件概述。 此外,Security Copilot中提供了来自合作伙伴的代理。 有关详细信息,请参阅 合作伙伴代理。
注意
需要单独购买与Security Copilot集成的产品。
是否有插件或服务的市场?
没有插件市场。 ISV 可以将其解决方案发布到 GitHub。 所有合作伙伴都必须将其解决方案或托管服务发布到Microsoft商业市场。 有关发布到市场的详细信息,请参阅:
将解决方案发布到Microsoft商业市场:
MSSP 特定: 必须在 Microsoft AI 云合作伙伴计划中具有安全指定。
特定于 SaaS:
如果 MSSP 不使用Microsoft Defender XDR或Microsoft Sentinel,该怎么办?
智能 Microsoft Security Copilot 副驾驶®没有任何特定的Microsoft安全产品要求进行预配或使用,因为该解决方案基于聚合来自Microsoft和第三方服务的数据源。 话虽如此,将Microsoft Defender XDR和Microsoft Sentinel启用为支持插件来扩充调查,这具有重要的价值。 Security Copilot仅使用技能和从已启用的插件访问数据。
MSSP SOC 解决方案是否需要托管Azure?
建议解决方案托管在 Azure 但不是必需的。
是否有可与合作伙伴共享的产品路线图?
目前不能。