Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Mikä sovelluskortti on?
Microsoftin sovellus- ja käyttöympäristökorttien tarkoituksena on auttaa sinua ymmärtämään, miten tekoälyteknologiamme toimii, valintojen avulla sovellusten omistajat voivat vaikuttaa sovelluksen suorituskykyyn ja käyttäytymiseen sekä huomioiden koko sovelluksen, mukaan lukien teknologia, ihmiset ja ympäristö. Tekoälysovelluksille luodaan sovelluskortteja ja käyttöympäristökortteja tekoälyympäristöpalveluille. Nämä resurssit voivat tukea omien sovellustesi kehittämistä tai käyttöönottoa, ja ne voidaan jakaa käyttäjille tai sidosryhmille, joihin ne vaikuttavat.
Osana sitoutumistaan vastuulliseen tekoälyun Microsoft noudattaa kuutta keskeistä periaatetta: oikeudenmukaisuutta, luotettavuutta ja turvallisuutta, yksityisyyttä ja turvallisuutta, osallisuutta, avoimuutta ja vastuuvelvollisuutta. Nämä periaatteet sisältyvät vastuulliseen tekoäly Standard, joka opastaa tiimejä tekoälysovellusten suunnittelussa, kehittämisessä ja testaamisessa. Sovellus- ja käyttöympäristökorteilla on keskeinen rooli näiden periaatteiden operationalisoinnissa tarjoamalla läpinäkyvyyttä ominaisuuksiin, suunniteltuihin käyttötarkoituksiin ja rajoituksiin. Lukijoita kehotetaan tutustumaan Microsoftin vastuulliseen tekoälyn läpinäkyvyysraporttiin ja toimintaohjeisiin, joissa kerrotaan, miten yritysasiakkaat ja yksityishenkilöt voivat käyttää tekoälyä vastuullisesti.
Yleiskatsaus
Microsoft Defender Microsoft Copilot on Microsoft Security Copilot integrointi Microsoft Defender-portaaliin. Se on tekoälyä hyödyntävä tietoturvasovellus, jonka tarkoituksena on auttaa turvallisuusanalyytikoita tutkimaan kyberturvallisuusuhkia ja vastaamaan niihin tehokkaammin ja tehokkaammin. Yhdistämällä suuret kielimallit suojauskohtaisiin tietoihin ja älykkyyteen Defenderin Copilot tarjoaa tilannekohtaisia merkityksellisiä tietoja, automatisoidun analyysin ja toiminnallisia suosituksia suoraan analyytikoiden päivittäin käyttämissä suojaustyönkuluissa.
Tietoturvakeskustiimit kohtaavat kasvavia hälytysmääriä, yhä kehittyneempiä hyökkäyksiä ja kokeneiden analyytikoiden haasteen. Defenderin copilot vastaa näihin haasteisiin nopeuttamalla tapaustutkimusta, lyhentämällä monimutkaisten uhkien analysointiin tarvittavaa aikaa ja antamalla analyytikoille kaikilla kokemustasolla mahdollisuuden suorittaa tehtäviä, jotka perinteisesti edellyttivät syväosaamista. Sovellus käyttää tietoja kuormista, joita Microsoft Defender valvonnasta, mukaan lukien päätepisteet, käyttäjätiedot, sähköposti, pilvisovellukset ja paljon muuta, tarjotakseen asiaankuuluvaa ja kontekstuaalista apua.
Microsoft Copilot in Microsoft Defender on tarkoitettu yritysasiakkaille, erityisesti tietoturva-analyytikoille, tapahtumavastaajille, uhkien metsästäjille ja uhkien tiedusteluanalyytikoille, jotka käyttävät Microsoft Defender-portaalia suojellakseen organisaatioitaan. Lisätietoja on Microsoft Defender kohdassa Microsoft Security Copilot.
Avaintermit
Seuraavassa taulukossa on sanasto Microsoft Defender Microsoft Copilot liittyvistä avaintermeistä.
| Termi | Kuvaus |
|---|---|
| Tarkennettu etsintä | Kyselypohjainen uhkien metsästystyökalu Microsoft Defender, joka käyttää Kusto Query Languagea (KQL) antaa tietoturvatiimien etsiä ennakoivasti uhkia, epäilyttäviä toimia ja suojaustietojen kompromissien indikaattoreita. Defenderin copilot voi luoda KQL-kyselyitä luonnollisen kielen pyynnöistä. |
| Ohjattu vastaus | Tekoälyn luomia suositeltuja toimintoja, joita Defenderin Copilot tarjoaa auttaakseen suojausanalyytikoita selvittämään, sisältämään, tutkimaan ja korjaamaan suojaustapauksia. Kukin suositus sisältää perustelun, jossa selitetään, miksi toimintoa ehdotetaan. |
| Tapaus | Kokoelma korreloituja ilmoituksia ja niihin liittyviä tietoja, jotka yhdessä edustavat mahdollista tai vahvistettua tietoturvahyökkäystä. Defenderin copilot voi tehdä yhteenvedon tapauksista, korostaa tärkeitä tietoja ja ehdottaa sopivia vastaustoimia. |
| KQL (Kusto-kyselykieli) | Vain luku -kyselykieli, jota käytetään kehittyneessä metsästyksessä Microsoft Defender ja Microsoft Sentinel. Defenderin copilot voi kääntää luonnollisen kielen kysymykset KQL-kyselyiksi, mikä vähentää uhkien metsästäjien teknistä estettä. |
| Suuri kielimalli (LLM) | Tekoälymallityyppi, joka on harjoitettu suurilla tekstijoukoilla, jotka voivat ymmärtää ja luoda luonnollista kieltä. Defenderin copilot käyttää suuria kielimalleja suojaustietojen analysointiin, yhteenvetojen luomiseen ja suositusten antamiseen. |
| MITRE ATT&CK | Maailmanlaajuisesti tunnettu tietokanta vastustajien taktiikoista ja tekniikoista, jotka perustuvat todellisiin havaintoihin. Defenderin copilot kartoittaa havaintoja komentosarja-analyysista ja uhkien havaitsemisesta MITRE ATT&CK-tekniikoihin, joiden avulla analyytikot voivat ymmärtää hyökkääjän toimintaa. |
| Punainen joukkue | Suojaustestauskäytäntö, jossa tiimi simuloi todellisia hyökkäyksiä tuotetta vastaan tunnistaakseen vikatilat, haavoittuvuudet ja skenaariot, jotka eivät kuulu aiottuun käyttöön. Microsoft teki punaista yhteistyötä Copilot'lla Defenderissä ennen julkaisua. |
| Suojauslaskennan yksiköt | Valmistetut kapasiteettiyksiköt, jotka mittaavat ja hallitsevat Microsoft Security Copilot kuluttamia käsittelyresursseja. Defenderin Copilot-käyttö edellyttää valmisteltya SCU-kapasiteettia. |
| Security Copilot | Microsoft security -ympäristö, joka kokoaa yhteen tekoälyn ja inhimillisen asiantuntemuksen, jotta tietoturvatiimit voivat vastata uhkiin nopeammin ja tehokkaammin. Defenderin copilot on Security Copilot upotettu käyttökokemus Microsoft Defender-portaalissa. |
Tärkeimmät ominaisuudet
Seuraavan taulukon tärkeissä ominaisuuksissa ja ominaisuuksissa kuvataan, mitä Microsoft Copilot Microsoft Defender on suunniteltu tekemään ja miten se toimii tuetuissa tehtävissä.
| Ominaisuus | Kuvaus |
|---|---|
| Tapausyhteenveto | Copilot luo automaattisesti tiiviin yhteenvedon, kun analyytikko avaa tapahtuman, mukaan lukien hyökkäyksen aikajana, kohderesurssit, kompromissi-indikaattorit ja uhkatoimijien nimet. Tämä auttaa analyytikoita ymmärtämään heti hyökkäyksen laajuuden ja vakavuuden tarkistamatta kutakin ilmoitusta manuaalisesti. Yhteenvedot voivat sisältää jopa 100 korreloitua ilmoitusta, ja ne tallennetaan välimuistiin enintään viikoksi ilman lisälaskemiskustannuksia, jos tapaus ei ole muuttunut. Lisätietoja on artikkelissa Microsoft Copilot tapauksen yhteenveto Microsoft Defender. |
| Ohjatut vastaukset | Copilot tarjoaa tilannekohtaisia tekoälyn luomia suosituksia, joiden avulla analyytikot voivat vastata tapauksiin. Suositukset on jaettu neljään luokkaan: triage (tapauksen luokitteleminen), eristäminen (hyökkäyksen leviämisen pysäyttäminen), tutkimus (lisäanalyysivaiheet) ja korjaaminen (erityiset vastaustoimet asianomaisille yksiköille). Järjestelmänvalvojat voivat myös ladata organisaatiokohtaisia vastausohjeita, jotta he voivat räätälöidä suositukset ympäristönsä mukaan. Lisätietoja on artikkelissa Opastettujen vastausten käyttäminen Copilotissa Microsoft Defender. |
| Komentosarja- ja komentorivianalyysi | Copilot analysoi mahdollisesti haitallisia tai hämärtyviä komentosarjoja, kuten PowerShell-komentorivejä, ja tarjoaa selkeän kuvauksen siitä, mitä komentosarja tekee, onko se haitallinen ja mitä MITRE ATT&CK-tekniikoita se käyttää. Tämä vähentää ulkoisten analyysityökalujen tarvetta ja mahdollistaa sen, että eritasoiset analyytikot voivat arvioida uhkia nopeasti. Lisätietoja on artikkelissa Komentosarja-analyysi Microsoft Copilot Microsoft Defender. |
| Tiedostoanalyysi | Copilot arvioi epäilyttävät tiedostot luomalla yhteenvedon, joka sisältää tunnistustiedot, liittyvät tiedostovarmenteet, luettelon ohjelmointirajapintakutsuista ja tiedostosta löytyneet merkkijonot. Analyysin tulokset luodaan automaattisesti, kun analyytikko avaa tiedostosivun, mikä nopeuttaa mahdollisesti haitallisten tiedostojen tutkintaa. Lisätietoja on artikkelissa Tiedostoanalyysi ja Microsoft Copilot Microsoft Defender. |
| Laitteen yhteenveto | Copilot luo yhteenvedon laitteen suojausasenteesta, mukaan lukien suojausominaisuuksien, kuten hyökkäyspinnan vähentämisen ja peukaloinnin, tilan, epätavallisen käyttäjän toiminnan, luettelon haavoittuvista ohjelmistoista, palomuuriasetukset ja olennaiset Microsoft Intune tiedot. Näin analyytikot voivat nopeasti arvioida, onko laite vaarassa. Lisätietoja on Microsoft Defender kohdassa Laiteyhteenveto, jossa on Microsoft Copilot. |
| Käyttäjätietojen yhteenveto | Copilot tarjoaa tilannekohtaisen yleiskatsauksen käyttäjätiedoista, kuten tilin luontipäivämäärän, kriittisyystason, roolin ja roolin muutokset, kirjautumiskäyttäytymisen ja -mallit, todennusmenetelmät, Microsoft Entra ID riskit ja yhteystiedot. Tämä auttaa analyytikoita arvioimaan nopeasti, onko käyttäjätili vaarantunut vai vaarassa. Lisätietoja on artikkelissa Käyttäjätietojen yhteenveto Microsoft Copilot Microsoft Defender. |
| Tapausraportin luominen | Copilot kokoaa kaikki tapaustiedot, mukaan lukien hallintatoiminnot, aikaleimat, mukana olevat analyytikot, luokittelun päättely-, tutkimus- ja korjaustoimet sekä seurantasuositukset, jäsennetyksi raportiksi, joka voidaan viedä PDF-muotoon tai lähettää tapahtumalokiin. Lisätietoja on artikkelissa Tapausraportin luominen Microsoft Copilot avulla Microsoft Defender. |
| Luonnollisen kielen kyselyavustaja | Copilot muuntaa luonnollisen kielen uhkien metsästyskysymykset valmiiksi suoritettaviksi KQL-kyselyiksi kehittyneessä metsästyksessä käytettäväksi. Tämä lyhentää aikaa ja asiantuntemusta, jota tarvitaan metsästyskyselyjen kirjoittamiseen tyhjästä, jolloin analyytikot voivat keskittyä uhkatutkimukseen kyselysyntaksin sijaan. Lisätietoja on artikkelissa KQL-kyselyiden luominen metsästystä varten Microsoft Copilot avulla Microsoft Defender. |
| Uhkien tiedustelutiedotus | Uhkien tiedustelutiedotusagentti kerää ja syntetisoi itsenäisesti relevantteja uhkien tiedustelutietoja ja toimittaa mukautettuja tiedotustilaisuuksia, jotka sisältävät viimeisimmän uhkatoimijan toiminnan, haavoittuvuustiedot ja aktiiviset hyödynnystiedot. Tiedotukset voidaan ajoittaa tai luoda pyydettäessä, ja niitä voi mukauttaa merkityksellisten tietojen syvyyden, paluukauden, alueen ja alan mukaan. Lisätietoja on artikkelissa Uhkien tiedustelutiedotuksen agentti. |
| Suojaushälytys | Triage-agentti on autonominen agentti, joka auttaa tietoturvaryhmiä triage-hälytyksissä suuressa mittakaavassa. Se soveltaa tekoälypohjaista, dynaamista päättelyä kaikkiin todisteisiin antaakseen selkeät tuomiot tuetuista suojauskuormista, kuten tietojenkalastelusta, käyttäjätiedoista ja pilvihälytyksistä. Tunnistamalla, mitkä hälytykset edustavat todellisia hyökkäyksiä ja mitkä ovat vääriä positiivisia, agentti antaa analyytikoille mahdollisuuden keskittyä tutkimaan todellisia uhkia sekä läpinäkyviä, vaiheittaisia perusteluja jokaisen päätöksen tueksi. Lisätietoja on artikkelissa Suojaushälytysagentti Microsoft Defender. |
| Dynaamisen uhan tunnistamisen tunnistus | Dynamic Threat Detection Agent on aina käytössä oleva, mukautuva taustapalvelu, joka tunnistaa tekoälyn avulla aukkoja perinteisessä sääntöpohjaisessa tunnistamisessa korreloimalla hälytyksiä, tapahtumia, poikkeamia ja uhkatietoja Microsoft Defender ja Microsoft Sentinel ympäristöissä. Kun piilotettu uhka havaitaan, agentti luo dynaamisen hälytyksen, jossa on täydellinen konteksti, luonnollisen kielen selitykset, yhdistetyt MITRE ATT -&CK-tekniikat ja mukautetut korjausvaiheet. Lisätietoja on kohdassa Dynaaminen uhkien tunnistamisen agentti Microsoft Defender. |
| Uhkien tiedusteluanalyysi | Copilot kokoaa ja tekee yhteenvedon uhkien hallinnasta, jotta tietoturvatiimit voivat priorisoida uhkia altistustasojen perusteella, ymmärtää uhkia toimijoita, jotka saattavat kohdistaa toimintansa alalle, ja pysyä ajan tasalla uusista haavoittuvuuksista ja kampanjoista. Lisätietoja on kohdassa Microsoft Defender Threat Intelligence. |
| Defender Chat -kokemus (esikatselu) | Avoin keskusteluavustaja, joka mahdollistaa luonnollisen kielen keskustelut suoraan Microsoft Defender-portaalissa. Se tarjoaa sivukontekstitietoisuutta, jonka avulla analyytikot voivat esittää seurantakysymyksiä nykyisestä tapahtumasta, hälytyksestä, laitteesta tai entiteetistä ilman tunnuksia tai nimiä. Keskustelu säilyttää koko keskusteluhistorian, voi esittää monimutkaisia pyyntöjä koskevia vaiheittaisia tutkimussuunnitelmia ja tukee vastausten vientiä lisäanalyyseja varten. Tämä esikatselukokemus ei ole vielä käytettävissä Australiassa tai Uudessa-Seelannissa. Lisätietoja on kohdassa Microsoft Security Copilot ja keskustelu Microsoft Defender. |
Aiotut käyttötarkoitukset
Microsoft Copilot Microsoft Defender voidaan käyttää useissa eri toimialojen skenaarioissa. Esimerkkejä käyttötapauksista ovat seuraavat:
Tapausten tutkinnan ja reagoimisen nopeuttaminen: Tietoturva-analyytikko rahoituspalveluorganisaatiossa saa suuren vakavuusasteen tapahtumailmoituksen, joka koskee useita korreloituja ilmoituksia päätepisteissä ja sähköpostissa. Copilotin avulla analyytikko saa välittömästi yhteenvedon hyökkäyksen aikajanasta, asianomaisista resursseista ja kompromissiindikaattoreista. Copilot antaa sitten ohjattuja vastaussuosituksia uhan hillitsemiseksi ja korjaamiseksi, mikä lyhentää tutkimusaikaa tunneista minuutteihin ja mahdollistaa hyökkäyksen nopeamman eristämisen.
Käyttäjän ilmoittamassa tietojenkalastelussa lajitteleminen mittakaavassa: Suuri yritys saa satoja käyttäjän ilmoittamia tietojenkalastelusähköposteja päivittäin. Tietojenkalastelun triage-agentti arvioi itsenäisesti jokaisen lähetyksen, luokittelee sen todelliseksi uhaksi tai vääräksi positiiviseksi ja antaa luonnollisen kielen perustelun sen määrittämiselle. SOC-analyytikot voivat sitten keskittää aikansa vahvistettuihin uhkiin sen sijaan, että tarkistaisivat manuaalisesti jokaisen raportoidun sähköpostin, mikä parantaa sekä vastausnopeutta että analyytikoiden tehokkuutta.
Mahdollistaa juniorianalyytikkojen kehittyneen uhkien metsästyksen: Valtion viraston SOC-tiimiin kuuluu analyytikoita, jotka eivät ole vielä taitavia KQL:ssä. Luonnollisen kielen kyselyavustajan avulla nämä analyytikot voivat kuvailla, mitä he etsivät tavallisella englannilla, ja Copilot luo asianmukaisen KQL-kyselyn. Näin kokemattomammat tiimin jäsenet voivat osallistua ennakoivaan uhkien metsästykseen yhdessä johtavien analyytikkojen kanssa laajentamalla tiimin kattavuutta ilman lisäkoulutuskustannuksia.
Analysoidaan epäselviä komentosarjoja ja epäilyttäviä tiedostoja: Mahdollisen kiristyshaittaohjelmahyökkäyksen tutkinnan aikana analyytikko kohtaa hämärtyneen PowerShell-komentosarjan. Sen sijaan, että analyytikko luottaisi ulkoisiin analyysityökaluihin tai odottaisi vanhemman tiimin jäsentä, hän käyttää Copilotin komentosarja-analyysiominaisuutta saadakseen selkeän kuvauksen komentosarjan toiminnasta, sen riskitasosta ja MITRE ATT -&käyttämistään CK-tekniikoista. Tämä lyhentää huomattavasti aikaa sen määrittämiseen, onko komentosarja haitallinen ja mitä korjausvaiheita tarvitaan.
Pysyminen uusien uhkien edellä tiedustelutietojen avulla: Terveydenhuollon organisaation tietoturvatiimi haluaa pysyä ajan tasalla toimialansa kannalta merkityksellisistä uhkatoimijoista ja heikkouksista. Uhkien tiedustelutiedotusagentti toimittaa ajoitettuja, mukautettuja tiedotustilaisuuksia, joissa on yhteenveto viimeisimmästä uhkatoimijan toiminnasta, hyväksikäyttötrendeistä ja haavoittuvuuden paljastuksista, joiden avulla tiimi voi ennakoivasti säätää puolustustaan ja priorisoida korjaustoimia.
Tapahtumadokumentaation ja raportoinnin sujuvoittaminen: Monimutkaisen monihälytystapauksen ratkaisemisen jälkeen tietoturvatiimin on laadittava yksityiskohtainen tapausraportti vaatimustenmukaisuutta ja johdon tarkistusta varten. Copilot kääntää automaattisesti tapausten aikajanan, vastaustoiminnot, mukana olevat analyytikot ja luokitteluperusteet jäsennetyksi raportiksi, joka voidaan viedä PDF-muotoon, mikä säästää analyytikolta merkittävää aikaa dokumentaatiossa.
Käyttäjätietojen ja laiteriskien arviointi tutkimusten aikana: Tutkiessaan epäilyttävää kirjautumistapausta analyytikko luo Copilotilla käyttäjätietojen yhteenvedon, joka korostaa käyttäjän roolia, viimeaikaisia roolimuutoksia, kirjautumismalleja ja Microsoft Entra ID riskimerkintöjä. Analyytikko luo myös laiteyhteenvedon kyseisestä päätepisteestä, paljastaen haavoittuvan ohjelmiston ja epätavallisen toiminnan. Näiden yhteenvetojen avulla analyytikko voi nopeasti määrittää kompromissin laajuuden ja ryhtyä kohdennettuihin toimiin.
Mallit ja koulutustiedot
Microsoft Defender laajentaa Microsoft Security Copilot hyödyntäen nykyisiä agenttejaan ja taustalla olevia tekoälymalleja. Näin ollen se on riippuvainen näistä ulkoisista määrityksistä. Voit esimerkiksi valita mallin Microsoft Security Copilot upotetun luonnollisen kielen kehotekokemukselle. Lisätietoja on artikkelissa Microsoft Security Copilot Vastuullisten tekoälyjen usein kysytyt kysymykset.
Asiakastietoja ei jaeta OpenAI:n kanssa, tai niitä ei käytetä OpenAI-säätiömallien Azure harjoittamiseen. Järjestelmänvalvojat voivat hallita täysin, miten heidän organisaationsa tietoja käytetään, mukaan lukien sen, sallitaanko Microsoftin kerätä tietoja tuotteen vahvistusta varten vai suojauksen tekoälymallin parantamista varten. Tietojen jakamisasetukset voidaan määrittää milloin tahansa, ja asiakastiedot tallennetaan asennuksen aikana valittuun maantieteelliseen sijaintiin. Lisätietoja tietojen käsittelystä, tallennuksesta, säilyttämisestä ja jakamisesta on artikkelissa Microsoft Security Copilot tietosuoja ja tietosuoja.
Suorituskykyä
Microsoft Defender Microsoft Copilot on suunniteltu suorittamaan luotettavasti erilaisissa suojaustutkimus- ja vastaustyönkuluissa Microsoft Defender portaalissa. Sovellus toimii ympäristöissä, joissa suojausanalyytikot käsittelevät tapahtumatietoja, hälytyksiä, uhkatietoja, laite- ja käyttäjätietoja, tiedoston metatietoja ja komentosarjoja. Copilot käsittelee tekstipohjaisia syötteitä, kuten luonnollisen kielen kehotteita, komentosarjasisältöä ja jäsennettyjä suojaustietoja, ja luo tekstipohjaisia tuloksia, kuten yhteenvetoja, suosituksia, KQL-kyselyitä, raportteja ja luokitustuomioita. Se ei käsittele tai luo kuva-, video- tai äänisisältöä.
Sovellus on suunniteltu ja arvioitu ensisijaisesti käytettäväksi englanniksi. Analyytikot, jotka lähettävät kehotteita ja tarkastelevat Copilotin luomia tuloksia englanniksi, voivat odottaa korkeinta tarkkuustasoa ja johdonmukaisuutta. Vaikka Microsoft Defender portaali tukee useita kieliä laajemman käyttöliittymänsä vuoksi, Copilotin luonnollisen kielen ymmärtäminen ja luontiominaisuudet on optimoitu englanniksi. Kielien käyttö, jota ei tueta, voi johtaa tarkkuuden heikkenemiseen tai vähemmän merkityksellisiin tulosteihin, ja käyttäjien tulee olla varovaisia toimiessaan aiotun kielen alueen ulkopuolella.
Defenderin copilot toimii parhaiten, kun analyytikot käsittelevät sitä aiotuissa tutkimustyönkuluissa. Tällaisia ovat esimerkiksi tapaussivun avaaminen yhteenvedon vastaanottamista varten, ohjatun vastauksen pyytäminen triagen aikana tai luonnollisen kielen kysymyksen antaminen kehittyneessä metsästyskyselyavustajassa. Sovellus hyödyntää näyttöjen Microsoft Defender kuormituksia, kuten Microsoft Defender for Endpoint, Microsoft Defender for Identity Microsoft Defender Office 365, Microsoft Defender for Cloud Apps ja Microsoft Defenderin haavoittuvuuksien hallinta sekä Microsoft Sentinel tietoja, kun niitä on saatavilla. Copilot-tulosten laatu ja täydellisyys riippuu tietojen saatavuudesta ja rikuudesta asiakkaan ympäristössä.
Suorituskykyyn vaikuttaa myös syötteen monimutkaisuus. Yksinkertaiset, selvästi laajenevat kehotteet tuottavat yleensä tarkempia ja toiminnallisempia tuloksia, kun taas kehotteet, jotka ovat moniselitteisiä, erittäin pitkiä tai suojaustoimialueen ulkopuolella, saattavat tuottaa vähemmän merkityksellisiä tuloksia. Autonomisten agenttien, kuten tietojenkalastelun triagentin ja dynaamisen uhkien havaitsemisagentin, suorituskyky mitataan luokituksen tarkkuuden ja tunnistuksen tarkkuudella analyytikon palautteen ja jatkuvan mallin tarkennuksen avulla.
Rajoitukset
Microsoft Copilot ymmärtäminen Microsoft Defender rajoituksissa on tärkeää sen määrittämiseksi, käytetäänkö sitä turvallisissa ja tehokkaissa rajoissa. Vaikka kannustamme asiakkaita hyödyntämään Microsoft Copilot Microsoft Defender innovatiivisissa ratkaisuissaan tai sovelluksissaan, on tärkeää huomata, että Microsoft Defender Microsoft Copilot ei ole suunniteltu kaikkiin mahdollisiin tilanteisiin. Kehotamme käyttäjiä viittaamaan joko Microsoft Enterprise AI Services -toimintasääntöjen (organisaatioille) tai Microsoftin palvelusopimuksen (yksityishenkilöille) käytännesääntöjen osioon sekä seuraaviin huomioita käyttötapauksen valinnassa:
Suojaustoimialueen laajuus: Microsoft Copilot Microsoft Defender on suunniteltu luomaan suojaustoimialueeseen liittyviä vastauksia, kuten tapaustutkinta, uhkatiedot ja uhkien metsästys. Kehotteet tietoturvan ulkopuolella, saatat saada aikaan vastauksia, joissa ei ole tarkkuutta ja kattavuutta. Käyttäjien tulee varmistaa, että Copilotin käyttö rajoittuu Microsoft Defender portaalin tietoturvaan liittyviin tehtäviin.
Englannin kielen optimointi: Defenderin copilot kehitettiin ja arvioitiin pääasiassa englanniksi. Tukemattomien kielten käyttäminen voi heikentää tarkkuutta, vähentää olennaisia tuloksia tai antaa puutteellisia vastauksia. Käyttäjien tulee olla varovaisia toimiessaan aiotun kielen laajuuden ulkopuolella ja tarkistaa tulokset huolellisesti näissä skenaarioissa.
Koodin luontitarkkuus: Defenderin copilot saattaa luoda koodia tai sisällyttää sen vastauksiin koodikatkelmia, kuten KQL-kyselyitä. Vaikka nämä tulokset vaikuttavat kelvollisilta, ne eivät ehkä aina ole semanttisesti tai syntaktisesti oikeita tai ne eivät ehkä vastaa tarkasti analyytikon tarkoitusta. Käyttäjien tulee aina tarkistaa, testata ja vahvistaa luotu koodi ennen sen käyttämistä tuotannossa samojen varotoimien mukaisesti kuin sellaisen koodin kanssa, jota he eivät luoneet itsenäisesti: tiukka testaus, IP-tarkistus ja tietoturvahaavoittuvuuksien tarkistaminen.
Kehotteen pituusrajoitukset: Järjestelmä ei ehkä pysty käsittelemään kovin pitkiä kehotteita, kuten satoja tuhansia merkkejä sisältäviä kehotteita. Analyytikoiden tulee pitää kehotteet ytimekkäissä ja hyvin laajissa parhaissa tuloksissa.
Vastauksen viive ja kapasiteetti: Vastausten luominen ja tarkistaminen voi joissain tapauksissa kestää jopa useita minuutteja ja edellyttää merkittävää käsittelykapasiteettia. Käyttöön saattaa liittyä kapasiteetin rajoittamista erityisesti suuren kysynnän aikana. Käyttäjien tulee suunnitella mahdollisia viiveitä luottaessaan Copilotiin aikasietoisten tehtävien kohdalla.
Tekoälyn luoman tulosteen tarkkuus: Kuten mikä tahansa tekoälyä hyödyntävä teknologia, Defenderin Copilot ei saa kaikkea oikein. Tulokset voivat olla epätarkkoja, puutteellisia, puolueellisia tai analyytikon tarkoituksen mukaan virheellisiä. Tämä voi johtua moniselitteisyydestä syötteissä, pohjana olevien mallien rajoituksista tai käytettävissä olevien tietojen puutteista. Käyttäjien tulee aina tarkastella Copilotin luomaa sisältöä ennen sen käsittelemistä ja käyttää sisäisiä palautetyökaluja epätarkkojen tai ongelmallisten tulosten ilmoittamiseen.
Vastaa julkisella koodilla: Defenderin copilot luo koodin probabilistisesti, ja vaikka todennäköisyys tuottaa koodia, joka vastaa julkisesti saatavilla olevaa koodia, on pieni, se on mahdollista. Käyttäjien tulee ryhtyä varotoimiin soveltuvuuden ja omaperäisyyden varmistamiseksi, mukaan lukien tiukka testaus, IP-tarkistus ja tietoturvahaavoittuvuuksien tarkistaminen.
Ei korvaa ihmisen harkintakykyä: Defenderin copilot on suunniteltu auttamaan, ei korvaamaan, tietoturva-analyytikoita. Pätevän analyytikon on tarkistettava kaikki suositukset, yhteenvedot ja luokitukset ennen toimenpiteiden suorittamista, erityisesti seurannaisten päätösten, kuten eristämisen, korjaamisen tai eskaloinnin, osalta.
Arvioinnit
Suorituskyvyn ja turvallisuuden arvioinneissa arvioidaan, toimivatko tekoälysovellukset luotettavasti ja turvallisesti, tarkastelemalla tekijöitä, kuten pohjautuvuutta, osuvuutta ja johdonmukaisuutta, ja määrittämällä haitallisen sisällön tuottamisen riskit. Seuraavat arvioinnit suoritettiin jo käytössä olevin turvakomponenttien kanssa, jotka on kuvattu myös kohdassa Turvallisuuskomponentit ja lievennykset.
Suorituskyvyn ja laadun arvioinnit
Tekoälysovellusten suorituskykyarvioinnit ovat välttämättömiä niiden luotettavuuden parantamiseksi reaalimaailman sovelluksissa. Mittarit, kuten maadoitettuus, osuvuus ja johdonmukaisuus, auttavat arvioimaan tekoälyn luomien tulosten tarkkuutta ja johdonmukaisuutta niin, että niitä tuetaan asiayhteyteen perustuvissa sisältöskenaariossa, kontekstuaalisesti sopivissa ja loogisesti jäsennettyissä skenaarioissa. Microsoft Defender Microsoft Copilot suoritimme suorituskyvyn arviointeja seuraaville mittauksille, jotka ovat saatavilla Microsoft Foundryn kautta:
- Maadoitettuus
- Johdonmukaisuus
- Sujuvuus
- Samankaltaisuus
Suorituskyvyn ja laadun arviointimenetelmät
Microsoft Defender Microsoft Copilot suorituskykyarvioinnit suoritettiin tekstipohjaisista tulosteista, jotka luotiin kaikista tuetuista ominaisuuksista, mukaan lukien tapausten yhteenveto, ohjatut vastaukset, komentosarja- ja tiedostoanalyysi, käyttäjätietojen ja laitteiden yhteenveto, KQL-kyselyn luominen ja uhkien tiedustelutiedotukset. Arvioinneissa käytettiin Microsoft Foundryn kautta saatavilla olevia tekoälyavusteisia automatisoituja arvioijia, joita sovellettiin realistisiin tietoturvatutkimusskenaarioiden kuratoituihin tietojoukkoihin, jotka on otettu synteettisistä ja edustavista reaalimaailman syötteiden perusteella.
Groundedness mittaa, tukevatko ympäristössä käytettävissä olevat lähdetiedot, kuten tapausilmoitukset, uhkatietojen signaalit ja tietoturvatelemetria, faktallisesti luotuja tulosteita. Ihanteellinen tulos on sellainen, jossa kaikki tulosteen väitteet ovat jäljitettävissä pohjana olevien tietojen kanssa ja yhdenmukaisia niiden kanssa. Paras tulos sisältää väitteitä, jotka ovat keksittyjä, hallusinoituja tai epäyhtenäisiä mallille toimitettujen lähdetietojen kanssa.
Johdonmukaisuus mittaa luotujen tulosten loogista rakennetta, selkeyttä ja sisäistä johdonmukaisuutta. Ihanteellinen tulos on hyvin järjestetty, sitä on helppo seurata ja ristiriitaisuuksia ei ole. Epäoptimaalinen tulos on epäyhtäläinen, ristiriitainen tai analyytikon vaikea tulkita ja toimia.
Sujuvuus mittaa luodun tekstin kielioppia ja lingvististä laatua. Ihanteellinen tulos lukee luonnollisesti ja on vapaa kielioppivirheistä tai hankalista rakenteista. Paras tulos sisältää kielioppivirheitä tai muotoiluja, jotka haittaavat luettavuutta tai analyytikon ymmärtämistä.
Samankaltaisuus mittaa, missä määrin luodut tulosteet ja aiheasiantuntijoiden tuottamat viitetulosteet ovat tasassa samoista syötteistä. Ihanteellinen tulos kuvastaa tarkasti asiantuntijaviittauksen tarkoitusta, kattavuutta ja tarkkuutta. Paras mahdollinen tulos poikkeaa merkittävästi odotetusta vastauksesta sisällössä, laajuudessa tai tarkkuudessa.
Jokainen mittari pisteytettiin numeerisessa asteikossa tekoälyavusteisilla tuomareilla, jotka oli kalibroitu ihmisen huomautusten perusteella. Arvioinnit suoritettiin iteratiivisesti eri tietojoukkojen päivityksissä, jotta voidaan seurata laatua ajan mittaan ja tukea jatkuvaa parantamista.
Riskien ja turvallisuuden arvioinnit
Tekoälyn luomaan sisältöön liittyvien mahdollisten riskien arviointi on olennaisen tärkeää, jotta voidaan suojautua vaihtelevan vakavuusasteisen sisältöriskin varalta. Tämä sisältää tekoälysovelluksen taipumuksen haitallisen sisällön tuottamiseen tai vankilaryöstyshyökkäysten haavoittuvuuksien testaamisen. Microsoft Defender Microsoft Copilot osalta suoritimme riskien ja turvallisuuden arvioinnit seuraaville Microsoft Foundryn kautta saatavilla arvoille:
- Viha ja epäoikeudenmukaisuus
- Seksuaalinen
- Väkivaltaa
- Itsensä vahingoittaminen
- Suojattu materiaali
- Epäsuora vankilarikko
- Suora vankilapako
- Koodin haavoittuvuus
- Maadoittamattomat määritteet
Riskien ja turvallisuuden arviointimenetelmät
Microsoft Copilot riski- ja turvallisuusarvioinnit suoritettiin Microsoft Defender käyttämällä Microsoft Foundryn kautta saatavilla olevia vastustajia koskevia tietojoukkoja ja tekoälyavusteisia luokituksia, joita sovellettiin tekstipohjaisiin syötteisiin ja tulosteisiin. Vastustajat loivat kehotteita simuloidakseen yrityksiä saada aikaan haitallista, käytäntöä rikkovaa tai aiheen ulkopuolella sisältöä useissa riskiluokissa. Tulokset pisteytettiin tällaisen sisällön läsnäolosta käyttämällä luokittajia, jotka on koulutettu ja kalibroitu Microsoftin turvallisuusstandardien mukaisesti.
Viha ja epäoikeudenmukaisuus arvioivat, sisältävätkö tulokset halventavaa, syrjivää tai vahingollista sisältöä, joka kohdistuu yksilöihin tai ryhmiin suojattujen ominaisuuksien perusteella. Ihanteellinen tulos ei sisällä tällaista sisältöä. Epäoptimaalinen tulos sisältää kielen, joka halventaa, stereotyyppejä tai kuvaa epäoikeudenmukaisesti yksilöitä tai ryhmiä.
Seksuaalinen arvioi, sisältävätkö tulokset seksuaalisesti eksplisiittistä tai sopimatonta sisältöä. Ihanteellinen tulos ei sisällä tällaista sisältöä. Epäoptimaalinen tulos sisältää seksuaalisen kielen, joka ei sovi ammatilliseen turvallisuusoperaatiokontekstiin.
Väkivalta arvioi, sisältävätkö tulokset sisältöä, joka ylistää, ohjaa tai kannustaa väkivaltaisiin tekoihin. Ihanteellinen tulos ei sisällä tällaista sisältöä. Paras tulos sisältää kielen, joka edistää tai helpottaa haittaa yksilöille tai ryhmille.
Itsensä vahingoittaminen arvioi, sisältävätkö tulokset sisältöä, joka edistää, ohjaa tai kannustaa itsensä vahingoittamiseen. Ihanteellinen tulos ei sisällä tällaista sisältöä. Paras tulos sisältää kielen, joka voi vahingoittaa itseään.
Suojattu materiaali arvioi, jäljentääkö tulos tekijänoikeudella suojattua tekstiä, koodia tai muuta suojattua sisältöä sanallisesti vai tavalla, joka aiheuttaa oikeudellista altistusta. Ihanteellinen tulos ei toista suojattua materiaalia. Paras tulos sisältää sanatarkan toiston kolmannen osapuolen suojatusta sisällöstä.
Epäsuora vankilaryöstys arvioi sovelluksen resilienssin ulkoiseen sisältöön upotettujen lisäyshyökkäysten, kuten sähköposteista, asiakirjoista tai suojaushälytyksistä noudettuja tietoja, jotka yrittävät ohjata mallin toimintaa uudelleen. Ihanteellinen tulos on tulos, jossa malli ei noudata injektoituja ohjeita. Paras tulos on tulos, jossa injektoitujen ohjeiden avulla muutetaan mallin tulosteita tai toimintaa.
Suora vankilaräjitys arvioi sovelluksen resilienssin käyttäjien nimenomaisiin yrityksiin ohittaa turvallisuusrajoitukset, ohittaa järjestelmän ohjeet tai saada sisältöä, joka ei kuulu sovelluksen aiottuun laajuuteen. Ihanteellinen tulos on sellainen, jossa malli kieltäytyy tai käsittelee tällaisia yrityksiä asianmukaisesti. Huono tulos on tulos, jossa malli noudattaa turvallisuusvalvontaa kiertämään suunniteltuja ohjeita.
Koodin heikkous arvioi, sisältävätkö luodut kooditulosteet, kuten KQL-kyselyt tai komentosarjakatkelmat, tietoturvaheikkouksia, jotka saattavat altistaa analyytikon tai heidän ympäristönsä riskille. Ihanteellinen tulos on koodi, jossa ei ole hyödynnettävissä olevia heikkouksia. Paras tulos sisältää koodia, joka sisältää tunnettuja haavoittuvuusmalleja, kuten lisäysriskejä tai turvattomia rakenteita.
Maadoittamattomat määritteet arvioivat, määrittävätkö tulosteet entiteeteille, kuten käyttäjille, laitteille tai uhkatoimijoille, ominaisuuksia, joita pohjana olevat tiedot eivät tue. Ihanteellinen tulos määritteet vain, mikä näkyy käytettävissä olevissa suojaustiedoissa. Epäoptimaalinen tulos luo tai johtaa määritteisiin ilman näyttöpohjaa, mikä voi johtaa siihen, että analyytikko tekee virheellisiä päätelmiä.
Jokainen mittari pisteytettiin tekoälyavusteisten luokitusten avulla, ja pisteet oli kalibroitu ihmisen huomautuksiin. Arvioinnit suoritettiin iteratiivisesti ja niistä tiedotettiin turvallisuuskomponentit ja -lievennykset -kohdassa kuvatun turvallisuuden lieventämisen suunnittelusta.
Laatu- ja turvallisuusarviointitiedot
Arviointitietomme on räätälöity tekoälysovelluksen suorituskyvyn arvioimiseksi turvallisuuden ja laadun avainalueilla, mikä simuloi todellisia skenaarioita ja riskejä. Aloitamme tunnistamalla huolenaiheen asiaan liittyvät arviointinäkökohdat monitieteisen tutkimuksen ja asiantuntijoiden panoksen perusteella. Nämä huolenaiheet muunnetaan kohdennetuiksi arviointitavoitteiksi ja arviointimittareiden ohjemuotoiluksi. Turvallisuuden vuoksi luomme vastustajia, jotka saavat aikaan epätoivottuja tai reunatapausten vastauksia, jotka pisteytetään sitten tekoälyavusteisten huomautusten avulla, jotka on koulutettu arvioimaan vastaavuus Microsoftin turvallisuusstandardien kanssa. Laadun vuoksi luomme rubriinipohjaisia kehotteita, jotka liittyvät skenaarioihin, mukaan lukien noudon lisätyn sukupolven (RAG) hakemusten ja agenttien arviointi. Tietojoukot on kuratoitu erilaisista lähteistä, kuten synteettisistä ja julkisista tietojoukoista, reaalimaailman käyttäjäskenaarioiden simuloimiseksi. Kuratoitujen tietojoukkojen avulla molemmissa arvioinneissa käytetään toistuvaa tarkennusta ja ihmisen tasausta mittarin tehokkuuden ja luotettavuuden parantamiseksi. Tämä menetelmä muodostaa perustan toistettaviin ja tiukkoihin arviointeihin, jotka kuvastavat sitä, miten asiakkaat käyttävät arviointeja paremman ja turvallisemman tekoälyn rakentamiseen.
Mukautetut arvioinnit
Microsoft Copilot kävivät Microsoft Defender läpi huomattavan mukautetun arvioinnin ja testauksen ennen julkaisua. Tähän sisältyi kattava punainen yhdistäminen, käytäntö, jossa erilliset tiimit testaavat tuotetta tarkasti tunnistaakseen vikatilat ja skenaariot, jotka saattavat aiheuttaa sen, että sovellus tuottaa tulosteita, jotka eivät ole sen käyttötarkoitusten mukaisia tai jotka eivät ole yhdenmukaisia Microsoft AI periaatteiden kanssa. Punaiset harjoitukset suunniteltiin arvioimaan sovelluksen sietokykyä vastustajien antamia toimia vastaan, yritettäessä saada aikaan haitallista tai aiheettomia sisältöjä sekä reunatapausskenaarioita, jotka voisivat vaarantaa turvallisuuden tai luotettavuuden.
Punaisen tiimiyden lisäksi Microsoft suoritti toistuvan testauksen defenderin Copilot-ominaisuuksien koko valikoimassa, mukaan lukien tapausten yhteenveto, ohjatut vastaukset, komentosarja-analyysi, tiedostoanalyysi, käyttäjätiedot ja laitteen yhteenveto, KQL-kyselyn luominen ja uhkien tiedustelutiedotukset. Näissä arvioinneissa arvioitiin luotujen tulosteiden tarkkuutta, maadoitusta, merkityksellisyyttä ja johdonmukaisuutta tekstipohjaisissa muodollisuuksissa (luonnollinen kieli ja KQL-koodi). Ihanteellinen tulos on asiallisesti tarkka, käytettävissä oleviin suojaustietoihin perustuva, analyytikon kyselyn kannalta olennainen ja selvästi jäsennelty. Epäoptimaalinen tulos olisi tulos, joka on asiallisesti virheellinen, jota tiedot eivät tue, epäolennainen analyytikon tarkoituksen kannalta tai vaikeasti seurattava.
Kutsu vain ennakkokäyttö -ohjelma tarjosi ylimääräisen arviointimekanismin, jonka avulla reaalimaailman käyttäjät voivat olla vuorovaikutuksessa sovelluksen kanssa ja antaa jäsenneltyä palautetta ennen yleistä saatavuutta. Jokaisen copilot-vastauksen "Off-target","Report"- ja "Confirm"-painikkeiden kautta kerätty käyttäjäpalaute on jatkuva arviointisignaali, jota Microsoft käyttää laatuongelmien tunnistamiseen ja jatkuvan parantamisen edistämiseksi. Autonomisten agenttien, kuten tietojenkalastelun triage-agentin, arviointi sisältää myös luokitustarkkuuden mittausarvot ja analyytikkopalautteen triage-päätöksistä, jotta agentin suorituskykyä voidaan jatkuvasti tarkentaa.
Turvakomponentit ja lievennykset
Punainen joukkue ja vastustajan testaus: Ennen julkaisua Microsoft yhdisti paljon punaista tiimiä tunnistaakseen vikatilat ja olosuhteet, joissa sovellus pystyi luomaan tuloksia, jotka eivät kuulu sen aiottuun vaikutusalueeseen. Varautuneet tiimit simuloivat vastustajien syötteitä, vankilamurtoyrityksiä ja reunatapausskenaarioita sovelluksen resilienssin arvioimiseksi ja turvallisuuden valvonnan suunnittelun informoimiseksi.
Ihmisen silmukassa -rakenne: Defenderin kopioija pitää ihmiset kaikkien työnkulkujen keskiössä. Kaikki luodut tulokset, mukaan lukien yhteenvedot, suositukset, luokitukset ja koodi, esitetään analyytikoille tarkistettavaksi ennen kuin mitään toimia tehdään. Tämä malli varmistaa, että ihmisen harkinta on kaikkien turvallisuustoimintojen lopullinen päätöspiste.
Sisällönsuodatus- ja suojausjärjestelmät: Monikerroksinen turvallisuusjärjestelmä on suunniteltu vähentämään haitallisen sisällön muodostusta ja ehkäisemään väärinkäyttöä. Tämä sisältää haitallisen sisällön huomautuksen, sisältöluokittelut ja sisäänrakennetut suojatoimet, joilla seulotaan sekä aiheetonta, haitallista tai muuten sopimatonta sisältöä koskevat syötteet että tulosteet.
Toiminnallinen valvonta: Microsoft valvoo jatkuvasti Copilotin toiminnallista suorituskykyä Defenderissä poikkeavuuksien, heikentyneen suorituskyvyn ja mahdollisen väärinkäytön havaitsemiseksi. Tämä valvonta mahdollistaa sovelluksen laatuun tai turvallisuuteen vaikuttavien ongelmien nopean tunnistamisen ja ratkaisemisen.
Käyttäjän palautemekanismi: Jokainen copilot-vastaus sisältää palauteohjausobjekteja, erityisesti "Tavoitteesta pois", "Raportti" ja "Vahvista" -painikkeita, joiden avulla analyytikot voivat merkitä virheellisiä, puutteellisia tai vastenmielisiä tuloksia. Tämä palaute menee suoraan Microsoftille, ja sitä käytetään parantamaan sovelluksen laatua ja turvallisuutta ajan mittaan.
Alueen rajavalvonta: Defenderin copilot on suunniteltu vastaamaan vain suojaustoimialueeseen liittyviin kehotteihin. Kehotteet, jotka eivät kuulu turvatoimiin, kuten epäyhtenäistä yleistä tietämystä tai muita tehtäviä koskevat pyynnöt, käsitellään asianmukaisten suojakaiteiden kanssa aiheettoman tai harhaanjohtavan sisällön luomisen riskin pienentämiseksi.
Roolipohjainen käyttö ja käyttöoikeudet: Defenderin copilot-käyttöoikeuksia hallitaan roolipohjaisten käyttöoikeuksien ohjausobjekteilla. Käyttäjillä on oltava valmistelty käyttöoikeus Microsoft Security Copilot, ja tietyt ominaisuudet ja agentit edellyttävät lisäoikeuksia, kuten suojauksen lukijaa, suojauksen järjestelmänvalvojaa tai tiettyjä Microsoft Entra rooleja. Tämä rajoittaa altistumista valtuutetulle henkilöstölle ja noudattaa pienintäkin etuoikeutta koskevaa periaatetta.
Autonomisten agenttien läpinäkyvä perustelu: Tietojenkalastelun triage-agentin kaltaisten agenttien tapauksessa sovellus tarjoaa läpinäkyvän perusteen luokituspäätöksilleen luonnollisella kielellä ja antaa yksityiskohtaiset perustelut ja päätelmät taustalla olevat todisteet. Käytettävissä on myös visuaalinen esitys päättelyprosessista, jonka avulla analyytikot voivat ymmärtää ja tarkistaa agentin päätöksentekoprosessin.
Analyytikon palautesilmukka agentic AI:lle: Analyytikot voivat antaa palautetta autonomisten agenttien luokituksista, kuten tietojenkalastelupäätöksistä. Ajan mittaan tämä palaute auttaa tarkentamaan edustajan toimintaa vastaamaan paremmin organisaatiokontekstia, vähentämään vääriä positiivisia arvoja ja parantamaan luokittelun tarkkuutta.
EU:n tekoälylain vaatimustenmukaisuus: Microsoft on sitoutunut noudattamaan EU:n tekoälylakia. Sovellus kehitetään vastaamaan Microsoftin vastuullista tekoälyä Standard, joka perustuu sääntelyehdotuksiin, kuten EU:n tekoälylakiin. Lisätietoja on artikkelissa Microsoftin yhteensopivuus EU:n tekoälylain kanssa.
Microsoft Copilot käyttöönottoa ja käyttöönottoa koskevat parhaat käytännöt Microsoft Defender
Vastuullinen tekoäly on Microsoftin ja sen asiakkaiden yhteinen sitoumus. Vaikka Microsoft luo tekoälysovelluksia, joiden ytimessä on turvallisuus, oikeudenmukaisuus ja avoimuus, asiakkailla on tärkeä rooli näiden teknologioiden käyttöönotossa ja käytössä vastuullisesti omissa yhteyksissään. Tämän kumppanuuden tukemiseksi tarjoamme seuraavat parhaat käytännöt käyttöönottoon ja loppukäyttäjille, jotta asiakkaat voivat hyödyntää vastuullista tekoälyä tehokkaasti.
Käyttöönottajien ja loppukäyttäjien tulee:
Toimi harkiten ja arvioi tuloksia käytettäessä Microsoft Copilot Microsoft Defender seurannaispäätöksissä tai herkillä aloilla: Seurannalliset päätökset voivat vaikuttaa oikeudellisesti tai merkittävästi henkilön pääsyyn koulutukseen, työllisyyteen, rahoitusympäristöihin, julkisiin etuuksiin, terveydenhuoltoon, asumiseen, vakuutuksiin, oikeudellisiin alustoihin tai jotka voivat johtaa fyysistä, psykologista tai taloudellista haittaa. Herkät alat, kuten rahoitusympäristöt, terveydenhuolto ja asuminen, tarvitsevat erityistä hoitoa, koska niillä voi olla suhteeton vaikutus eri ihmisryhmiin. Kun käytät tekoälyä näiden alueiden päätöksiin, varmista, että sidosryhmät voivat ymmärtää, miten päätöksiä tehdään, valittaa päätöksistä ja päivittää kaikki olennaiset syötetiedot.
Arvioi juridiset ja lakisääteiset seikat: Asiakkaiden on arvioitava mahdolliset lakisääteiset ja lakisääteiset velvoitteet käyttäessään tekoälyympäristöjä ja -ratkaisuja, mikä ei välttämättä ole tarkoituksenmukaista käytettäväksi kaikissa toimialoissa tai skenaarioissa. Lisäksi tekoälyympäristöjä tai -ratkaisuja ei ole suunniteltu eikä niitä saa käyttää tavalla, joka on kielletty sovellettavissa käyttöehdoissa ja asiaankuuluvissa toimintasäännöissä.
Loppukäyttäjien tulee:
Harjoita inhimillistä valvontaa tarvittaessa: Ihmisen valvonta on tärkeä suojalauseke tekoälysovelluksia käsiteltäessä. Samalla kun parannamme jatkuvasti tekoälysovelluksia, tekoäly saattaa silti tehdä virheitä. Luodut tulokset voivat olla epätarkkoja, puutteellisia, puolueellisia, virheellisiä tai merkityksettömiä aiotuille tavoitteille. Tämä voi johtua useista syistä, kuten moniselitteisyydestä pohjana olevien mallien syötteissä tai rajoituksissa. Näin ollen käyttäjien tulee tarkastella Microsoft Copilot luomia vastauksia Microsoft Defender ja varmistaa, että ne vastaavat heidän odotuksiaan ja vaatimuksiaan.
Ota huomioon yliluottavuuden riski: Tekoälyn yliluottamus ilmenee, kun käyttäjät hyväksyvät virheellisiä tai epätäydellisiä tekoälytulosteita, lähinnä siksi, että tekoälytulosteiden virheitä voi olla vaikea tunnistaa. Loppukäyttäjille yliluottamus voi johtaa tuottavuuden heikkenemiseen, luottamuksen menetykseen, sovelluksen hylkäämiseen, taloudelliseen menetykseen, psykologiseen vahinkoon tai fyysiseen vahinkoon. Turvallisuusanalyytikoiden tulee käsitellä Copilot-tuloksia tutkimuksen lähtökohtana, ei lopullisena määrityksenä, ja heidän tulee itsenäisesti tarkistaa kriittiset havainnot ennen seurannaisten toimien aloittamista.
Ole varovainen, kun suunnittelet agenttista tekoälyä herkillä toimialueilla: Käyttäjien tulee olla varovaisia suunnitessaan ja/tai ottaessaan käyttöön agentinaalisia tekoälysovelluksia herkillä toimialueilla, joissa agenttitoiminnot ovat peruuttamattomia tai erittäin seurannaisia. Autonomisen agentisen tekoälyn luomiseen tulee myös ryhtyä lisävarotoimiin, jotka on kuvattu tarkemmin joko Microsoft Enterprise AI Services -liiketoimintasääntöjen (organisaatioille) tai Microsoftin palvelusopimuksen (yksityishenkilöiden) käytännesääntöjen osiossa.
Anna palautetta Copilot-laadun parantamiseksi: Kun vastaus on epätarkka, epätäydellinen tai epäselvä, merkitse ongelmallinen tulos käyttämällä "Ei tavoitteesta"- ja "Raportti"-painikkeita. Kun vastaukset ovat hyödyllisiä ja tarkkoja, käytä Vahvista-painiketta. Nämä palauteohjausobjektit näkyvät jokaisen Copilot-vastauksen alareunassa ja auttavat Microsoftia jatkuvasti parantamaan sovelluksen suorituskykyä.
Käytä selkeitä ja erityisiä kehotteita: Saat parhaat tulokset lähettämällä kehotteita, jotka ovat ytimekkäitä, kontekstiltaan monipuolisia ja liittyvät suojaustoimialueeseen. Esimerkiksi epämääräisen kysymyksen, kuten "Kerro minulle uhista", sijaan kysy "Yhteenveto uusimmista uhkatoimijoista, jotka ovat kohdistaneet toimintansa terveydenhuoltoalaan viimeisen 30 päivän aikana". Tiettyjen kehotteiden avulla Copilot luo tarkempia ja toiminnallisempia tuloksia.
Valvo suorituskyvyn ajautumista: Jos havaitset Copilot-tulosteiden laadun heikentymisen ajan mittaan, ilmoita ongelmasta palautetyökalujen avulla. Johdonmukainen palaute auttaa Microsoftia havaitsemaan suorituskyvyn ja puuttumaan siihen käyttäjäkannan kautta.
Käyttöönottoonottajien tulee:
Varmista asianmukainen käytön valmistelu ja roolimääritys: Ennen kuin otat Copilotin käyttöön Defenderissä, varmista, että käyttäjät ovat varanneet käyttöoikeuden Microsoft Security Copilot riittävällä suojauslaskennan yksiköiden kapasiteetilla. Määritä roolipohjaisia käyttöoikeuksia käyttämällä pienintä etuoikeutta, jotta analyytikoilla, järjestelmänvalvojilla ja agenteilla on vain vastuunsa edellyttämät käyttöoikeudet. Varmista tietojenkalastelun triage-agentin ja uhkien tiedustelutiedotusagentin kaltaisten agenttien osalta, että vaaditut Microsoft Entra roolit ja edellytykset täyttyvät, ennen kuin otat nämä ominaisuudet käyttöön.
Lataa organisaatiokohtaiset vastausohjeet: Järjestelmänvalvojat voivat ladata mukautettuja vastausohjeita, joita Copilot käyttää räätälöidäkseen ohjattuja vastaussuosituksia organisaation käytäntöihin ja toimintosarjoille. Tämä auttaa varmistamaan, että Copilotin suositukset vastaavat organisaation suojausasentoa ja toiminnallisia vaatimuksia.
Määritä tapauksen yhteenvetoasetukset asianmukaisesti: Copilotin automaattinen tapausten yhteenveto voidaan määrittää suorittamaan "Aina", "Vakavuustason perusteella" tai "vain pyydettäessä". Käyttöönottotoimintojen tulee valita asetus, joka vastaa heidän SOC-työnkulkuaan ja laskentabudjettiaan, jotta reagointi ja resurssien kulutus voidaan tasapainottaa.
Testaa copilot-ominaisuuksia koko ympäristössäsi: Ennen kuin otat Copilotin laajasti käyttöön, testaa tärkeimmät ominaisuudet, kuten tapausten yhteenveto, ohjatut vastaukset, komentosarja-analyysi ja KQL-kyselyn luominen käyttämällä realistisia tietoja ja skenaarioita ympäristöstäsi. Varmista, että tulokset ovat tarkkoja, olennaisia ja toiminnallisia tietyille kuormituksille ja tietolähteille.
Valvo ja tarkastele autonomisen agentin toimintaa: Jos kyseessä ovat agenttitoiminnot, kuten tietojenkalastelun triage-agentti ja dynaaminen uhkien tunnistusagentti, ota alustava valvonta käyttöön agenttien luokitusten ja hälytysten tarkistamiseen. Varmista, että analyytikot tarkastelevat autonomisia päätöksiä ja antavat palautetta erityisesti ensimmäisen käyttöönottojakson aikana, jotta agentti voidaan kalibroida organisaatiosi kontekstiin.
Laskentakapasiteetin ja viiveen suunnittelu: Vastauksen luominen voi kestää jopa useita minuutteja ja edellyttää grafiikkasuoritinkapasiteettia. Käyttöönottajien tulee suunnitella mahdollinen viive suuren kysynnän aikana ja ilmoittaa odotetut vasteajat analyytikoille, jotta he voivat suunnitella työnkulkunsa vastaavasti.
Lisätietoja Microsoft Copilot Microsoft Defender
Jos haluat lisäohjeita tai lisätietoja Microsoft Copilot vastuullisesta käytöstä Microsoft Defender, tutustu seuraaviin ohjeisiin:
- Microsoft Security Copilot Microsoft Defenderissä
- Mitä Microsoft Security Copilot on?
- Security Copilotin yksityisyys ja tietosuoja
- Microsoft noudattaa EU:n tekoälylakia
- Security Copilotin käytön aloittaminen