微軟Copilot for Security如何提供幫助

如今，各組織都在積極學(xué)習(xí)并探索生成式AI技術(shù)的潛力，以及它如何影響組織的安全性、員工效率及整個(gè)行業(yè)的動(dòng)態(tài)。在這一浪潮中，AI技術(shù)迅速成為安全團(tuán)隊(duì)的重要增效工具，為他們提供了前所未有的機(jī)會(huì)來(lái)提升生產(chǎn)力、節(jié)省時(shí)間、甚至提升員工的技能水平。

為了更好地應(yīng)對(duì)AI技術(shù)帶來(lái)的挑戰(zhàn)，Microsoft Defender專家團(tuán)隊(duì)一直在使用和探索Copilot for Security。他們發(fā)現(xiàn)，Copilot能夠以全新的方式簡(jiǎn)化工作流程、提供實(shí)時(shí)信息并優(yōu)化日常任務(wù)，從而改善溝通清晰度、數(shù)據(jù)分析能力，以及提升技能。

通過(guò)Microsoft Defender Experts for XDR，Microsoft Defender專家團(tuán)隊(duì)成為我們客戶的安全運(yùn)營(yíng)中心（SOC）團(tuán)隊(duì)的延伸。他們主動(dòng)尋找使用Microsoft Defender數(shù)據(jù)的嚴(yán)重網(wǎng)絡(luò)威脅，對(duì)事件進(jìn)行初步評(píng)估、調(diào)查并揭示高級(jí)威脅，確定惡意活動(dòng)的范圍和影響，然后代表客戶采取行動(dòng)來(lái)糾正事件。如今，有了Copilot for Security 的加持，Defender專家團(tuán)隊(duì)擁有了一個(gè)強(qiáng)大的新工具，能夠在更短的時(shí)間內(nèi)更準(zhǔn)確地響應(yīng)和處置各類(lèi)安全事件。

專家們分享了Copilot for Security在威脅檢測(cè)、調(diào)查和管理應(yīng)對(duì)的真實(shí)場(chǎng)景中如何發(fā)揮作用：微軟Defender專家合作伙伴集團(tuán)經(jīng)理賴安·基維特（Ryan Kivett）認(rèn)為，Copilot能夠支持團(tuán)隊(duì)成員的學(xué)習(xí)和職業(yè)成長(zhǎng)；微軟Defender專家首席研究負(fù)責(zé)人布萊恩·胡珀（Brian Hooper）表示，Copilot能夠協(xié)助安全分析師減少最重要的日常任務(wù)，即嚴(yán)重威脅調(diào)查。

那么，Copilot for Security 是如何提供幫助的呢？以下是四個(gè)方面的具體例子：

01節(jié)省時(shí)間提高效率

快速響應(yīng)事件

在一個(gè)安全事件持續(xù)進(jìn)行的情況下，每一秒都至關(guān)重要。

Copilot for Security確保能夠在即時(shí)情境中實(shí)現(xiàn)可操作性。它將關(guān)鍵的指導(dǎo)和上下文交給你的安全團(tuán)隊(duì)，使他們能夠在幾分鐘內(nèi)迅速響應(yīng)事件。微軟Defender團(tuán)隊(duì)成員菲比·羅杰斯（Phoebe Rogers）分享了如何使用Copilot在每次腳本分析中節(jié)省時(shí)間并提高效率，更深入地理解以及更具深刻事件洞察力。

同時(shí)，當(dāng)安全分析師與客戶交流時(shí)，他們必須即時(shí)提供清晰、簡(jiǎn)潔且全面的摘要，以便客戶深入了解情況。布萊恩·胡珀探討了Copilot極大地提升了分析師的工作效率，使得他們能夠以比過(guò)去快90%的速率，來(lái)編寫(xiě)關(guān)于這些事件的詳細(xì)步驟。

02提升初級(jí)分析師技能

協(xié)助識(shí)別惡意腳本

例如勒索軟件等許多復(fù)雜且隱蔽的攻擊，會(huì)通過(guò)使用腳本等多種手段逃避檢測(cè)。此外，這些腳本容易被混淆，增加了檢測(cè)和分析的復(fù)雜性。對(duì)此，布萊恩·胡珀詳細(xì)展示了Copilot中逐行腳本檢查的功能，使安全分析師能夠快速評(píng)估和識(shí)別腳本的惡意性質(zhì)。這項(xiàng)功能不僅能夠協(xié)助初級(jí)安全分析師提升專業(yè)知識(shí)水平，更能讓分析師通過(guò)自然語(yǔ)言來(lái)執(zhí)行各項(xiàng)任務(wù)。因此，即便在經(jīng)驗(yàn)不足或?qū)I(yè)知識(shí)匱乏的情況下，借助Copilot的高效輸出，初級(jí)分析師也能迅速獲得準(zhǔn)確結(jié)果，同時(shí)，這一過(guò)程還有助于他們培養(yǎng)關(guān)鍵技能，為未來(lái)的長(zhǎng)期發(fā)展奠定堅(jiān)實(shí)基礎(chǔ)。

對(duì)于我們的初級(jí)分析師而言，Copilot for Security就像是一位站在他們身邊的教練，引導(dǎo)他們完成角色學(xué)習(xí)的階段。對(duì)于高級(jí)分析師來(lái)說(shuō)，它確實(shí)幫助他們超越原本可能的極限，釋放他們的潛力。

賴安·基維特，微軟Defender專家合作伙伴集團(tuán)經(jīng)理

03獲取優(yōu)質(zhì)威脅情報(bào)

助力準(zhǔn)確判斷

要了解組織的外部威脅，通常需要大量的時(shí)間和使用多種工具。通常情況下，分析師必須查詢多個(gè)存儲(chǔ)庫(kù)，以獲取評(píng)估可疑域名、主機(jī)或IP地址所需的關(guān)鍵數(shù)據(jù)集。

DNS數(shù)據(jù)、WHOIS信息、惡意軟件樣本以及SSL證書(shū)等關(guān)鍵信息為威脅指標(biāo)（IOCs）提供了至關(guān)重要的上下文，然而，這些存儲(chǔ)庫(kù)遍布各處，且各自擁有不同的數(shù)據(jù)結(jié)構(gòu)，這極大地增加了分析師在收集、整合所有相關(guān)數(shù)據(jù)并進(jìn)行及時(shí)評(píng)估的難度。

通過(guò)Microsoft Defender Threat Intelligence 和 Copilot獲取威脅情報(bào)數(shù)據(jù)與豐富的上下文信息，安全分析師能夠更加準(zhǔn)確地做出判斷，例如判斷某個(gè)IP地址是否具有惡意性。菲比·羅杰斯利用Defender Threat Intelligence和Copilot，將用戶的登錄屬性與其身份驗(yàn)證歷史記錄進(jìn)行了對(duì)比分析，從而提供了有價(jià)值的信息來(lái)簡(jiǎn)化分析過(guò)程，并有效地確定是否存在潛在威脅。

一旦做出判斷，分析人員仍然可能需要花費(fèi)時(shí)間和努力，將威脅情報(bào)總結(jié)并通報(bào)給受影響的一方。然而，Copilot可以極大地緩解這一負(fù)擔(dān)。菲比詳細(xì)闡述了Copilot如何高效解析公共漏洞和暴露（CVEs）的影響，并迅速整合相關(guān)信息，如受影響的產(chǎn)品列表、已知利用這些漏洞的惡意行為者動(dòng)態(tài)，以及針對(duì)這些威脅提出的有效緩解策略和建議，從而為分析人員提供有力的支持。

04以AI技術(shù)速度和規(guī)模保護(hù)組織

有效應(yīng)對(duì)威脅

在面對(duì)數(shù)據(jù)不完整、潛在威脅需調(diào)查、通報(bào)威脅或制定即時(shí)應(yīng)對(duì)方案等情況時(shí)，安全分析師正切實(shí)體驗(yàn)到Copilot為他們工作帶來(lái)的實(shí)際好處：Copilot能幫助分析師以機(jī)器的速度和規(guī)模保護(hù)組織。當(dāng)然，生成式AI技術(shù)的能力不僅適用于安全團(tuán)隊(duì)，潛在的威脅者同樣可能利用這一技術(shù)。因此，安全團(tuán)隊(duì)越早評(píng)估并利用生成式AI技術(shù)來(lái)增強(qiáng)和改進(jìn)自身的安全策略，就越能在競(jìng)爭(zhēng)激烈的網(wǎng)絡(luò)安全環(huán)境中占據(jù)優(yōu)勢(shì)。

布萊恩·胡珀對(duì)此持堅(jiān)定態(tài)度，他極力推薦內(nèi)部署Copilot：“我鼓勵(lì)團(tuán)隊(duì)嘗試不同的提示詞，自主總結(jié)事件、分析腳本，并深入研究微軟關(guān)于攻擊的情報(bào)。隨著時(shí)間的推移，他們會(huì)自然而然地認(rèn)識(shí)到Copilot在多種場(chǎng)景下，都能為他們提供有力支持?！?/p>