Microsoft Copilot for Security 常见问题解答

一般信息

什么是 Microsoft 安全 Copilot?

Microsoft Copilot for Security 是一种 AI 网络安全产品,使安全专业人员能够快速响应威胁,以计算机速度处理信号,并在几分钟内评估风险暴露。 

Microsoft Copilot for Security 与其他 AI 安全产品有何不同?

Copilot for Security 将 OpenAI 中的高级 GPT4 模型与 Microsoft 提供的一切相结合,包括超大规模基础结构、特定于网络的业务流程、Microsoft 安全的独特专业知识、全球威胁情报和全面的安全产品。

它目前是唯一使用 Microsoft 与 OpenAI 的独特关系构建的安全 AI 解决方案,使客户能够访问最新和最先进的大型语言模型 (LLM) 和 Microsoft 的超大规模 AI 基础结构。

Microsoft 在为客户转换安全性方面处于独特的地位,这不仅因为我们在 AI 方面的投资,还因为我们在投资组合中提供了端到端的安全性、标识、合规性等。 我们经过优化,可以涵盖更多威胁向量,并通过协调的体验提供价值。

Copilot for Security 为客户解锁的用例和功能有哪些?

主要用例是 SOC 方案,特别是围绕事件汇总、影响分析、脚本的反向工程和引导式响应。

Microsoft Copilot for Security 是否适用于其他 Microsoft 产品?

是。 Copilot for Security 与其他 Microsoft 安全产品一起使用。 这些产品包括但不限于:

  • Microsoft Defender XDR,
  • Microsoft Sentinel、
  • Microsoft Intune、
  • Microsoft Defender 威胁情报,
  • Microsoft Purview
  • Microsoft Defender 攻击面管理

Copilot for Security 可以访问这些产品中的数据,并提供辅助 Copilot 体验,以提高使用这些解决方案的安全专业人员的有效性和效率。 例如,脚本分析等功能使客户能够在几分钟内分析数百行代码,并通过自然语言对其进行解释。 在速度和专业知识方面,此功能甚至大大超过了高级分析师技能。 Copilot for Security 可帮助安全专业人员更早地发现风险,通过更出色的指导对其进行响应,并在不断变化的威胁环境中始终了解漏洞。

Copilot for Security 如何使 Microsoft Defender XDR 和 Microsoft Sentinel 变得更好?

当安全专业人员使用 Copilot for Security 时,Microsoft Defender XDR 和 Microsoft Sentinel 变得更加强大。 Copilot for Security 提供了一种体验,它丰富和构建了来自 Microsoft Defender XDR 和 Microsoft Sentinel 的安全数据、信号以及现有事件和见解。 Microsoft Defender XDR 中新的嵌入式体验为具有生成 AI 功能的安全团队提供了增强功能,使他们的效率提升到以下一组强大用例的新水平:

  • 通过辅助事件调查和响应,以 AI 的速度响应威胁。 借助 Defender 中的嵌入式体验,Copilot for Security 提供活动事件的摘要和事件响应的可操作分步指南,创建完整的响应后活动,只需几秒钟,只需单击一个按钮即可完成。

  • 将高级任务缩放到所有技能级别。 Copilot for Security 使所有技能级别的防御者能够轻松地跨多个威胁向量发现威胁和漏洞。 解决方案可跨安全数据实时提供解决方案原因,并提供一种使用自然语言执行高级任务的可访问方式。

  • 实时执行恶意代码分析。 以前,恶意软件分析和反向工程仅限于高级响应者。 借助 Copilot for Security,客户可以分析复杂的命令行脚本,并将其翻译为易于理解的自然语言,以帮助分析师了解攻击者的操作和动机。

  • 在调查工作流中轻松应用威胁情报。 借助 Copilot for Security,用户可以获得有关新出现的威胁、攻击技术以及组织是否受到特定威胁的结构化和上下文化见解。 Copilot for Security 有助于防止接触活动组市场活动,并通过更出色的指导对事件做出响应。

Copilot for Security 是否取代了 Microsoft Defender XDR 和 Microsoft Sentinel?

否,Copilot for Security 不会取代 Microsoft Defender XDR 或 Microsoft Sentinel。 Copilot for Security 可帮助安全专业人员完成日常工作,提供技能提升体验并提高效率。 它增加了比 Microsoft Defender XDR 和 Microsoft Sentinel 更高的价值。

Copilot for Security 是否包括对 Microsoft Defender 威胁情报 (Defender TI) 的访问权限?

是的*。 出现提示时,出于安全原因,Copilot 针对 Microsoft Defender 威胁情报 (Defender TI 中的所有内容和数据) 返回有关活动组、工具和漏洞的关键上下文。 客户还具有租户级 Defender TI 高级工作台访问权限,使他们能够访问 Defender TI 的完整智能范围(Intel 配置文件、威胁分析、Internet 数据集等),以更深入地了解 Copilot for Security 中显示的内容。

*此访问不包括 Defender TI API,该 API 仍单独获得许可。

Copilot for Security 何时正式发布?

Copilot for Security 将于 2024 年 4 月 1 日正式发布购买。

谁是 Copilot for Security 的目标用户?

SOC 分析师、合规性分析师和 IT 管理员是 Copilot for Security 的预期用户。

支持哪些语言?

Copilot for Security 支持多种语言。 该模型提供 8 种语言*,用户体验以 25 种语言提供。**

*模型:英语、德语、日语、西班牙语、法语、意大利语、葡萄牙语和中文

**UX:以上语言加上用户体验中的韩语、荷兰语、瑞典语、波兰语、挪威语、土耳其语、丹麦语、芬兰语等。

有关详细信息,请参阅 支持的语言

抢先体验计划 (EAP) 客户是否会在 4 月 1 日获得 GA 功能,以及在其 EAP 协议结束前添加的任何其他功能?

是的,EAP 客户将收到 GA 产品中的功能,以及在其 EAP 协议期间发生的任何其他功能更新。

在 GA 参与抢先体验计划的客户会发生什么情况?

客户在“抢先体验计划”下的访问权限将在购买日期后六个月后结束。 在此期间,适用于客户在抢先体验计划下使用和使用产品的合同条款。 在此时间之后和正式发布后,根据 Microsoft 的标准合同渠道,可以购买和使用 Copilot of Security。 已制定迁移计划,以支持从 EAP 迁移到 GA 的客户,以确保其所有信息都转移到 GA 产品。

当 EAP 客户决定在 EAP 到期后的 90 天内购买 GA 产品时,客户数据将保持可用状态。

如果 EAP 客户决定在 EAP 到期后的 90 天内不购买 GA 产品,则根据我们的数据保留策略删除其 EAP 客户数据。

客户数据是否用于训练 Azure OpenAI 服务基础模型?

否,客户数据不用于训练 Azure OpenAI 服务基础模型,我们的产品条款中记录了此承诺。 有关 Copilot for Security 上下文中的数据共享的详细信息,请参阅 隐私和数据安全

欧盟市场的 GDPR 指南是什么?

Microsoft 遵守适用于其提供产品和服务的所有法律和法规,包括 Microsoft DPA) 中定义的安全漏洞通知法和数据保护要求 (。 但是,Microsoft 不负责遵守任何适用于客户或客户行业的法律或法规,这些法律或法规通常不适用于信息技术服务提供商。 Microsoft 不会确定客户的数据是否包含受任何特定法律或法规约束的信息。 有关详细信息,请参阅 Microsoft 产品和服务数据保护附录 (DPA)

美国政府云 (GCC) 客户是否符合条件?

GCC 在正式版上不可用。 目前,Copilot for Security 并非针对美国政府云(包括但不限于 GCC、GCC High、DoD 和 Microsoft Azure 政府)的客户使用而设计。 虽然 Microsoft Sentinel 连接器的技术路径有效,但租户无法访问 75% 的产品功能,因为 Defender 接口和数据位于 Microsoft Azure 政府中,Copilot 未集成到其中。

美国和加拿大医疗保健客户是否符合条件?

美国和加拿大 HLS 客户有资格购买 Copilot for Security。 但是,Copilot for Security 目前不是 Microsoft BAA-Scope 服务。

ChatGPT 和 Copilot for Security 之间的区别是什么?

ChatGPT 和 Copilot for Security 都是人工智能 (AI) 技术,旨在帮助用户更快、更高效地完成任务和活动。 虽然它们看起来可能相似,但两者之间存在显著差异。

ChatGPT 是一种自然语言处理技术。 ChatGPT 使用机器学习、深度学习、自然语言理解和自然语言生成来回答问题或响应对话。 ChatGPT 使用从 Internet 训练的数据,使用用户的提示来帮助进行即时工程和模型调整,并且仅限于三个并发插件。

Copilot for Security 是一种自然语言,由 AI 提供支持的安全分析工具,旨在帮助组织以计算机速度和规模防御威胁。 Copilot for Security 基于 OpenAI 技术构建,从头开始设计和设计为企业网络 AI。 该平台使用客户连接的插件和 Microsoft 的全球威胁情报作为基础数据。 输入的提示不会通知模型或提示工程,除非客户提交评审。

ChatGPT 和 Copilot for Security 之间的一个关键区别在于系统的设计目的。 Microsoft Copilot for Security 专为态势管理、事件响应和报告而设计。 该解决方案从从插件聚合的安全信号中提取见解,而 ChatGPT 的工作方式类似于聊天机器人,旨在与用户进行对话。

Copilot for Security 可以访问来自威胁情报的最新信息,并从插件中获取见解,以便安全专业人员能够更好地防御威胁。 Microsoft Copilot for Security 并不总是一切正常,并且与所有 AI 工具一样,响应可能包含错误。 内置的反馈机制为用户提供了帮助改进系统的控制权。

购买信息

客户如何通过正式版购买?

Copilot for Security 可在所有渠道中使用:EA、MCA-E、CSP、Online 购买和旧版 Web Direct。

是否有任何购买先决条件?

使用 Copilot for Security 的先决条件是 Azure 订阅和 Microsoft Entra ID (以前称为 Azure Active Directory) ;没有其他产品先决条件。 有关详细信息,请参阅 Copilot for Security 入门

技术和产品问题

客户是否获得载入支持?

购买后,客户可以轻松访问文档、视频和博客。

在哪里可以找到有关数据保护和隐私的详细信息?

可以在 Microsoft 信任中心了解详细信息。

部署的 Microsoft Entra ID (以前称为 Azure Active Directory) Copilot for Security 的要求?

是。 Copilot for Security 是一个 SaaS 应用程序,需要 AAD 对有权访问的用户进行身份验证。

Defender for XDR 和 Sentinel 集成是涵盖存储的数据,还是仅涵盖) (显著事件的警报和事件?

Copilot for Security 涵盖警报/事件和存储的数据。 该产品从 Defender for XDR 中的高级搜寻表和 Microsoft Sentinel 中的顶级数据表中检索数据。

哪些合作伙伴工具与 Copilot for Security 集成?

客户可以使用 ISV 开发的第三方插件,例如公共预览版容量中的 Cyware、Netskope SGNL、Tanium 和 Valence Security。 Microsoft 开发的第三方插件(如 CIRC.lu、CrowdSec、Greynoise 和 URLScan)也可用。 将来将添加更多插件。

注意

需要单独购买与 Copilot for Security 集成的产品。

Copilot for Security 是否可以使用 Microsoft Defender for Endpoint 和 Microsoft Intune 隔离计算机? 是否可以自定义和/或阻止单个 IOC?

Copilot for Security 无法隔离计算机。 它可以向安全管理员提供建议,建议他们应隔离某些计算机,但 Copilot for Security 本身不会采取该操作。 可以使用 Copilot for Security 评估环境中是否存在单个 IOC。 但是,Copilot for Security 不会自动阻止它们。 自动化可能在以后推出,但目前 Copilot for Security 不会自行执行修正操作。

Copilot for Security IPv6 是否感知?

目前支持 IPV4 的名为“按 IP 地址获取 Web 组件”的功能。

Copilot for Security 是否针对 IoT/OT 方案提出建议?

否,Copilot for Security 目前不支持 IoT/OT。

Copilot for Security 是否提供仪表板功能,或者只能调查单个事件?

Copilot for Security 不提供仪表板,但你可以跨 Microsoft Sentinel 查询多个事件。 对于基线,它可以提供攻击路径的可视化效果。

Copilot for Security 是否可以执行工作流 - 从会审到使用固定消息,到管理客户应如何标记事件以及是否应关闭事件?

否,Copilot for Security 目前不支持工作流。

Copilot for Security 有哪些基于角色的访问控制或委派功能? Copilot for Security 中的用户权限如何与其他解决方案中的用户权限配置保持一致?

Copilot for Security 使用“代表管理员” (AOBO) 登录用户的权限。 有关详细信息,请参阅了解身份验证

为什么 Microsoft Copilot 将数据传输到 Microsoft 租户?

Microsoft Copilot 是在 Azure 生产租户中运行的 SaaS (软件即服务) 产品/服务。 用户输入提示,Copilot for Security 根据来自其他产品(如 Microsoft Defender XDR、Microsoft Sentinel 和 Microsoft Intune)的见解提供响应。 Copilot for Security 存储用户过去的提示和响应。 用户可以使用产品内体验来访问提示和响应。 来自客户的数据在逻辑上与其他客户的数据隔离。 此数据不会离开 Azure 生产租户,在客户要求将其删除或从产品下架之前存储。

传输的数据在传输过程中和静态时如何受到保护?

Microsoft 产品和服务数据保护附录中所述,传输中的数据和静态数据均加密。

如何保护传输的数据免受未经授权的访问?针对此方案进行了哪些测试?

默认情况下,没有人类用户有权访问数据库,并且网络访问仅限于部署 Microsoft Copilot 应用程序的专用网络。 如果人员需要访问以响应事件,则待命工程师需要经过授权的 Microsoft 员工批准的提升访问权限和网络访问权限。

除了常规功能测试外,Microsoft 还完成了渗透测试。 Microsoft Copilot for Security 符合所有 Microsoft 隐私、安全性和合规性要求。

删除单个会话时,在“我的会话”中,会话数据会发生什么情况?

会话数据存储在运行时, (以) 操作服务,也存储在日志中。 在运行时数据库中,通过产品内 UX 删除会话时,与该会话关联的所有数据都标记为已删除, (TTL) 生存时间设置为 30 天。 TTL 过期后,查询无法访问该数据。 后台进程在该时间之后以物理方式删除数据。 除了“实时”运行时数据库外,还有定期数据库备份。 备份将过期 - 这些备份的短期保留期 (当前设置为) 四天。

通过产品内 UX 删除会话时,包含会话数据的日志不受影响。 这些日志的保留期最长为 90 天。

哪些产品条款适用于 Copilot for Security? Copilot for Security 是否属于 Microsoft 产品条款意义上的“Microsoft 生成 AI 服务”?

以下产品条款适用于安全客户的 Copilot:

  • 产品条款中的联机服务的通用许可条款,其中包括 Microsoft 生成 AI 服务条款 和客户版权承诺。

  • Microsoft 产品条款中的隐私 & 安全条款,其中包括数据保护附录。

Copilot for Security 是产品条款定义的生成 AI 服务。 此外,出于客户版权承诺的目的,Copilot for Security 是“涵盖的产品”。 目前,在产品条款中,没有特定于产品的条款是 Copilot for Security 特有的。

除了产品条款之外,客户的 MBSA/EA 和 MCA 协议(例如)管理双方的关系。 如果客户对其与 Microsoft 的协议有具体疑问,请与支持该交易的 CE、交易经理或当地 CELA 联系。

Microsoft 客户版权承诺是一项新承诺,将 Microsoft 现有的知识产权赔偿支持扩展到某些商业 Copilot 服务。 客户版权承诺适用于 Copilot for Security。 如果第三方起诉商业客户使用 Microsoft Copilots 或其生成的输出侵犯版权,Microsoft 将为客户辩护,并支付诉讼导致的任何不利判决或和解金额,前提是客户使用了内置于我们产品中的防护措施和内容筛选器。

Copilot for Security 客户是否可以选择退出 Azure OpenAI 服务滥用监视? Copilot for Security 是否参与任何内容筛选或滥用监视?

Azure OpenAI 滥用监视目前在服务范围内对所有客户禁用。

Copilot for Security 是否做出数据处理或数据驻留承诺的任何位置?

  1. 数据处理的位置:目前,Copilot for Security 不会做出任何数据处理承诺的合同位置。 根据产品条款和使用 Microsoft 生成 AI 服务,Copilot for Security 客户同意其数据可以在其租户的地理区域之外进行处理。 但是,客户管理员可以选择用于提示评估的位置。 虽然 Microsoft 建议允许在具有可用 GPU 容量的任何位置进行提示评估以获得最佳结果,但客户可以从四个区域中进行选择,以便仅在这些区域中评估其提示

    用于快速评估的当前可用区域:

    • 澳大利亚 (澳新)
    • 欧洲 (欧盟)
    • 英国 (英国)
    • 美国 (美国) 。
  2. 数据存储 (数据驻留) 的位置:目前,Copilot for Security 不会做出合同数据存储/驻留承诺。 如果客户未选择加入数据共享*,则 Copilot for Security 会将静态数据存储在租户的主地理位置中。

    例如,对于家在德国的客户租户,Copilot for Security 将客户数据存储在“欧洲”作为德国的指定地理位置。

    *如果客户选择使用数据共享,则会与 Microsoft 共享客户数据(如提示和响应),以提高产品性能、提高准确性并解决响应延迟问题。 发生此事件时,客户数据(如提示)可以存储在租户异地之外。

Copilot for Security 是否为 Microsoft EU 数据边界服务?

在正式发布时,所有 Microsoft 安全服务都不符合欧盟数据驻留要求的范围,并且 Copilot for Security 不会列为 EUDB 服务。

欧盟客户数据存储在哪里?

Copilot for Security 将客户数据和个人数据(例如用户提示和 Microsoft Entra 对象 ID)存储在租户 Geo 中。 如果客户在欧盟预配其租户,但未选择加入数据共享,则所有客户数据和假名化个人数据将静态存储在欧盟内。 客户数据和个人数据提示的处理可以在指定的安全 GPU 地理位置进行。 有关安全 GPU 地理位置选择的详细信息,请参阅 Copilot for Security 入门。 如果客户选择加入数据共享,则可以将提示存储在欧盟数据边界之外。 有关数据共享的详细信息,请参阅 Microsoft Copilot for Security 中的隐私和数据安全

客户提示 ((例如来自客户的输入内容) 在 DPA 和产品条款范围内是否被视为客户数据?

是的,客户提示被视为客户数据。 根据产品条款,客户提示被视为输入。 输入定义为“客户提供、指定、选择或输入的所有客户数据,供生成人工智能技术用来生成或自定义输出”。

“输出内容”是否被视为 DPA 和产品条款中的客户数据?

是的,输出内容是产品条款下的客户数据。

是否有适用于 Copilot for Security 的透明度说明或透明度文档?

是的,可在此处找到负责任 AI 透明度文档: 负责任 AI 常见问题解答

Copilot for Security 如何处理“令牌限制”?

大型语言模型 (LLM) 包括 GPT,它们一次可以处理的信息量有限制。 此限制称为“令牌限制”,每个令牌大致关联到 1.2 个单词。 Copilot for Security 使用 Azure OpenAI 中的最新 GPT 模型来确保我们可以在单个会话中处理尽可能多的信息。 在某些情况下,大型提示、长会话或详细插件输出可能会溢出令牌空间。 发生此情况时,Copilot for Security 会尝试应用缓解措施以确保输出始终可用,即使该输出中的内容不是最佳。 这些缓解措施并不总是有效的,可能需要停止处理请求,并指示用户尝试其他提示或插件。

Azure OpenAI 服务行为准则包括“负责任的 AI 缓解要求”。 这些要求如何适用于 Copilot for Security 客户?

这些要求不适用于 Copilot for Security 客户,因为 Copilot for Security 实现了这些缓解措施。

合作伙伴信息

合作伙伴有哪些用例?  

合作伙伴可以围绕 Copilot for Security 方案提供信号或构建补充解决方案。

我与托管安全服务提供商合作, (MSSP) 。 他们是否可以代表我使用和管理 Copilot for Security?

是的,如果客户选择提供访问权限,为客户提供 SOC 服务的 MSSP 可以访问客户的 Copilot for Security 环境。 (自带 MSSP) 。

注意

仅在功能有限的独立门户中可用。

通过来宾访问 (B2B) 和 GDAP 提供对 (客户) 租户的 MSSP 访问。 目前没有适用于 MSSP 的 CSP 或经销商多租户模型。 每个客户都负责购买自己的 SCU 并设置具有所需访问权限的 MSSP。

MSSP 是否可以使用 Copilot for Security 的单个实例来管理多个租户?

Copilot for Security 不支持跨多个租户进行提示。 相反,MSSP 可以使用租户切换,并使用支持的委派访问选项以一个客户租户为目标。

MSSP 可以使用从其 MSSP 租户的租户切换来管理 Copilot 中的多个客户租户,实现安全性。 租户切换允许合作伙伴在租户之间切换,并通过在下拉列表中选择客户租户,一次通过提示/查询保护一个租户。 客户还可以在 Copilot for Security 会话 URL 中添加 TenantID (GUID) 作为查询字符串参数。 可以根据对客户租户的委派访问权限来选择客户租户。 Copilot for Security 在用户上下文中使用,因此合作伙伴只能访问客户租户中已授予委派帐户访问权限的内容。

目前是否有第三方集成可用?

我们正在与 Cyware、Netskope、SGNL、Tanium 和 Valence Security 等 ISV 合作,在公共预览版中发布其插件,并继续与合作伙伴生态系统的其余部分构建更多集成。

是否有插件或服务的市场? 

正式发布时没有插件市场。 ISV 可以将其解决方案发布到 GitHub。 在 GA,所有合作伙伴都必须将其解决方案或托管服务发布到 Microsoft 商业市场。 可在此处找到有关发布到市场的详细信息:

将解决方案发布到 Microsoft 商业市场:

MSSP 特定: 必须在 Microsoft AI 云合作伙伴计划中具有安全指定。

特定于 SaaS:

同样作为客户参与 Copilot for Security EAP 的 MSSP 呢? 

属于 EAP 的 MSSP 将继续有权访问 Copilot for Security,直到 EAP 6 个月协议结束。 如果 MSSP 将同一租户用于内部和客户管理的 SOC 服务,则需要购买容量计划,并确保通过托管 SOC 使用的租户启用支持的委派访问模型。 如果 MSSP 仅将租户用于不用于内部 SOC 托管服务的客户托管 SOC 服务,则 MSSP 需要手动为 Microsoft 的 Copilot for Security 预配该租户。 因此,无需购买容量计划即可预配 Copilot for Security。

如果 MSSP 不使用 Microsoft Defender XDR 或 Microsoft Sentinel,该怎么办? 

Microsoft Copilot for Security 对于预配或使用没有任何特定的 Microsoft 安全产品要求,因为该解决方案是基于聚合来自 Microsoft 和第三方服务的数据源构建的。 话虽如此,启用 Microsoft Defender XDR 和 Microsoft Sentinel 作为用于扩充调查的受支持插件具有重要的价值。 Copilot for Security 仅使用技能和从已启用的插件访问数据。

是否需要在 Azure 上托管 MSSP SOC 解决方案? 

建议解决方案托管在 Azure 上,但不是必需的。 

是否有可与合作伙伴共享的产品路线图? 

目前不能。