重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
Microsoft Security Copilot (Security Copilot) 是一款生成式 AI 驅動的安全解決方案,有助於提升防禦者的效率與能力,以機器速度與規模提升安全成果。 Security Copilot 的客服人員利用 AI 完成例行任務並收集洞察,具備一定程度的自主性,讓你能專注於高價值工作。 您可以打造專屬人員,量身打造並強化 Security Copilot 體驗,以符合貴組織獨特的商業需求。
規劃是設計與打造安全人員的重要第一步。 設計有效的 Security Copilot 代理需要深思熟慮的規劃、反覆開發,以及與負責任的 AI 原則高度契合。 本指南旨在結構化您的規劃流程,打造了解您獨特業務背景的經紀人。
無論你是設計各種端到端情境,如事件回應、威脅狩獵、情報蒐集、態勢管理等,以下是指導你流程的核心原則:
定義明確的目標
首先說明代理人的目的:
- 問題陳述:代理正在解決哪些具體的安全或營運挑戰? 例如,一個能監控端點警報並自動以威脅情報豐富其內容,以減輕分析師的工作負擔。
- 目標使用者:他們是安全運營中心 (SOC) 分析師、IT 管理員、合規管理員或開發者? 請參考 Security Copilot 的 persona。
- 成功指標:定義可衡量的結果——例如縮短分流時間、提升偵測準確度或自動化修復。
欲了解如何選擇最適合您經紀人需求的體驗,請參閱「客製化代理人」。
識別所需能力
拆解你的經紀人成功所需的工具:
- 認知:分類警報、摘要事件、關聯訊號。
- 對話式:解讀使用者提示,產生清晰的說明。 關於需要分析師與代理互動的工作流程,請參見「建構互動代理」。
- 操作性:觸發工作流程、呼叫 API、擷取日誌或文件。
使用Security Copilot工具 (技能) 來定義這些能力。 工具可透過 YAML 清單重複使用或組合成代理。 若要上傳工具或外掛,請參閱 建置代理清單。
了解你獨特的環境和生態系統
Security Copilot 代理在一個安全且可擴充的環境中運作,符合貴組織的特定需求:
- 資料來源:識別代理需要 (存取的系統、警示或 API,例如Microsoft Defender、Microsoft Sentinel、Microsoft 圖形) 。 關於這些來源的整合,請參見 插件。
- 安全性與合規性:透過基於角色存取控制 (RBAC) ,代表認證,確定使用者對Security Copilot平台的存取權限,並以條件存取政策分層安全覆蓋。 欲了解更多資訊,請參閱RBAC。
- 狀態管理:透過記憶應用代理回饋,持續保存相關資訊於各會話間。
優先考量倫理且負責任的人工智慧
Security Copilot 代理必須遵守以下多個層面的負責任 AI 原則:
透明度:
- 讓使用者能夠驗證資訊來源。
- 清楚說明記憶體中儲存了哪些資料及其使用方式。
- 了解該代理人的限制與能力。
- 例如,展示決策過程 (使用了哪個工具,) 擷取了哪些資料。
適當的期望:
- 為代理人的行動提供明確的理由。
- 定義代理人推理能力的範圍。
防止過度依賴:
- 確保使用者能辨識代理輸出中的錯誤。
- 鼓勵使用者驗證結果的準確性。
- 可選擇拒絕錯誤結果或誤導性輸出。
安全性與隱私:
- 隱藏敏感資料並尊重租戶界線。
- 確保客服人員依照組織政策運作,同時維護資料完整性。
- 強制執行對後端系統的最低權限存取。
治理與合規:
- 使用命名規則和免責聲明以確保清晰與合規。
回饋:
- 讓使用者能對產生的成果提供回饋。
- 利用回饋找出問題,並持續提升客服人員的效能與可靠性。