Anwendungsfälle und Vorteile
Was ist Security Copilot?
Security Copilot ist ein KI-Assistent zur Unterstützung des IT-Sicherheitsbetriebs, der Organisationen bei der Abwehr von Bedrohungen mit Maschinengeschwindigkeit hilft. Es bietet eine auf natürlicher Sprache basierende, assistierende Copilot-Erfahrung, die Sicherheitsprofis in End-to-End-Szenarien wie Incident Triage und Response, Threat Hunting, Intelligence Gathering und Posture Management unterstützt.
Die Lösung nutzt die volle Leistungsfähigkeit der OpenAI-Architektur, um Antworten auf Benutzeranfragen zu generieren, indem sie sicherheitsspezifische Plugins verwendet, die interne Daten, autoritative Quellen und globale Bedrohungsdaten einbeziehen. Aus den Logdaten können in Sekundenschnelle alle wichtigen Informationen über eine Bedrohung generiert werden.
Welche Voraussetzungen müssen erfüllt werden?
Um Security Copilot nutzen zu können, müssen Organisationen über ein Azure-Abonnement verfügen, das mit ihrem Microsoft-Konto verknüpft ist. Innerhalb von Azure müssen sogenannte SCUs (Secure Compute Units) bereitgestellt werden. SCUs sind virtuelle Maschinen, die für die Verarbeitung von OpenAI-Diensten optimiert sind. Die benötigte Anzahl von SCUs hängt von der Komplexität und Anzahl der gestellten Anfragen ab. Benutzer können ihre SCUs über das Azure-Portal oder die Azure CLI verwalten. Der aktuelle Preis pro SCU liegt bei 4$/h, zuzüglich der regulären Lizenzkosten der verwendeten Sicherheitsprodukte wie Defender, Entra und Purview.
Welche Anwendungsfälle unterstützt Security Copilot?
Security Copilot unterstützt die IT-Sicherheit in einer Vielzahl von Anwendungsfällen, die auf die Bedürfnisse und Herausforderungen von Sicherheitsteams zugeschnitten sind. Hier sind einige Beispiele:
Incident Response: Security Copilot kann Sicherheitsanalysten helfen, Vorfälle schnell und effizient zu untersuchen, zu priorisieren und zu beheben. Es kann Vorfälle zusammenfassen, relevante Informationen aus verschiedenen Quellen abrufen, Lösungsempfehlungen geben und Berichte erstellen.
Threat Hunting: Security Copilot kann Sicherheitsforscher unterstützen, Bedrohungen proaktiv zu identifizieren, zu analysieren und zu neutralisieren. Es kann KQL-Abfragen generieren, Bedrohungsdaten bereitstellen, Skripte analysieren und Schwachstellen bewerten.
Intelligence Gathering: Security Copilot kann Sicherheitsanalysten helfen, Informationen über Bedrohungsakteure, Kampagnen, Taktiken, Techniken und Verfahren (TTPs), Indikatoren für Kompromittierungen (IOCs) und mehr zu sammeln und zu verstehen. Es kann Daten aus verschiedenen Quellen wie Microsoft Defender Threat Intelligence, Threat Analytics, URLscan, Greynoise und mehr integrieren.
Posture Management: Security Copilot kann Sicherheitsadministratoren helfen, den Sicherheitsstatus ihrer Organisation zu überwachen, zu bewerten und zu verbessern. Es kann Informationen über Geräte, Benutzer, Richtlinien, Konfigurationen, Anwendungen und mehr aus verschiedenen Quellen wie Microsoft Entra, Intune, Purview und mehr abrufen.
Welche Vorteile bietet Security Copilot?
Security Copilot bietet mehrere Vorteile für Sicherheitsteams, wie zum Beispiel:
Auf natürlicher Sprache basierende Interaktion: Security Copilot ermöglicht es Benutzern, natürliche Sprache in Form von Anfragen zu verwenden, um mit der KI zu kommunizieren. Dies erleichtert die Nutzung der Plattform und reduziert die Lernkurve.
Integrierte Erfahrung: Security Copilot ist in verschiedene Microsoft-Sicherheitsprodukte wie Defender XDR, Sentinel, Entra, Purview und mehr eingebettet. Dies ermöglicht eine nahtlose und konsistente Benutzererfahrung innerhalb der vertrauten Sicherheitsportale.
Erweiterbare Fähigkeiten: Security Copilot verfügt über viele vorinstallierte Plugins, die eine nahtlose Integration mit einer Vielzahl von Sicherheitsdiensten und -tools ermöglichen. Benutzer haben auch die Möglichkeit, die Standardfähigkeiten zu erweitern, indem sie ihre eigenen benutzerdefinierten Plugins hinzufügen.
Automatisierungsszenarien: Security Copilot ermöglicht es Benutzern, Sicherheitsworkflows zu automatisieren, indem sie Logic Apps mit Security Copilot verbinden. Benutzer können vorgefertigte oder benutzerdefinierte Logic Apps verwenden, um wiederkehrende Schritte zu rationalisieren und zu beschleunigen.
Wissensbasisintegration: Security Copilot ermöglicht es Benutzern, ihre eigene Wissensbasis als zusätzliche Informationsquelle zu integrieren. Dies gibt Security Copilot mehr Kontext und führt zu relevanteren und spezifischeren Antworten.
Fazit
Security Copilot ist eine innovative und leistungsstarke Lösung, die Sicherheitsteams bei der Bewältigung ihrer täglichen Herausforderungen unterstützt. Es bietet eine auf natürlicher Sprache basierende, assistierende Copilot-Erfahrung, die Sicherheitsprofis in End-to-End-Szenarien wie Incident Response, Threat Hunting, Intelligence Gathering und Posture Management unterstützt. Dabei wird die volle Leistungsfähigkeit der OpenAI-Architektur ausgenutzt, um Antworten auf Benutzeranfragen zu generieren, indem sicherheitsspezifische Plugins verwendet werden, die organisationsspezifische Informationen, autoritative Quellen und globale Bedrohungsdaten einbeziehen. Security Copilot bietet zahlreiche Vorteile für Sicherheitsteams, darunter natürliche Sprachinteraktion, integrierte Erfahrung, erweiterbare Fähigkeiten, Automatisierungsszenarien und Wissensbasisintegration. Security Copilot gestaltet die Zukunft der Sicherheit mit KI und setzt neue Maßstäbe.