Copilot i Microsoft Defender för molnet

  • 8 minuter

Microsoft Defender för molnet integrerar både Microsoft Security Copilot och Microsoft Copilot för Azure i sin upplevelse. Med de här integreringarna kan du ställa säkerhetsrelaterade frågor, ta emot svar och automatiskt utlösa nödvändiga kunskaper för att analysera, sammanfatta, åtgärda och delegera rekommendationer med hjälp av frågor på naturligt språk.

Anmärkning

Listan över Copilot-funktioner som är inbäddade i Microsoft Defender för molnet växer kontinuerligt. Den här enheten ger bara ett urval av dessa funktioner. Mer information finns i dokumentationen om Microsoft Security Copilot i Defender för molnet.

Så här fungerar integreringen

Copilot i Defender för molnet använder en arkitektur med dubbla plattformar. När du anger en uppmaning i Copilot-gränssnittet tar Copilot för Azure emot uppmaningen och utvärderar den tillsammans med den aktiva sidan för att fastställa vilka kunskaper som behövs. Om uppmaningen är säkerhetsrelaterad och en matchande Security Copilot kompetens är tillgänglig kör Security Copilot färdigheten och skickar tillbaka svaret via Copilot för Azure för presentation. Om färdigheten inte är tillgänglig söker Copilot för Azure bland dess egna tillgängliga färdigheter för att hitta den mest relevanta matchningen och sedan svara därefter.

Denna skillnad är viktig för SCU-förbrukning. Endast uppmaningar som anropar Security Copilots kunskaper använder Security Compute Units. Uppmaningar som hanteras helt av Copilot för Azure förbrukar inte SKU:er.

Förutsättningar

Copilot i Defender för molnet är tillgängligt för alla användare när du:

  • Aktivera Defender för molnet i din miljö.
  • Ha åtkomst till Azure Copilot, som är tillgänglig som standard för alla Azure portalanvändare om de inte begränsas av en global administratör.
  • Tilldela SKU:er (Security Compute Units) för Security Copilot.

Copilot i Defender för molnet förlitar sig inte på någon av de tillgängliga Defender för molnet planerna. För att få tillgång till alla Copilot funktioner rekommenderar vi dock att du aktiverar planen Defender Cloud Security Posture Management (DCSPM). DCSPM-planen innehåller extra säkerhetsfunktioner som analys av attackvägar och riskprioritering, som alla kan navigeras och hanteras med hjälp av Security Copilot. Utan DCSPM-planen kan du fortfarande använda Copilot i Defender för molnet, men med begränsad kapacitet.

Analysera rekommendationer

Copilots integrering med Defender för molnet gör att du kan analysera alla rekommendationer som visas på rekommendationssidan med hjälp av naturliga språkkommandon. Om du väljer Analyze med Copilot öppnas gränssnittet Copilot där du kan använda frågor på naturligt språk för att begränsa rekommendationernas omfattning och fokusera på specifika problemområden.

Skärmdump av rekommendationssidan för Microsoft Defender för molnet.

Några exempelprompter är:

  • Visa risker för offentligt exponerade resurser
  • Visa risker för resurser med känsliga data
  • Visa risker för kritiska resurser

Copilot genererar en inledande analys och du kan filtrera listan med rekommendationer baserat på resultaten. Du kan förfina resultatet ytterligare genom att välja föreslagna uppföljningsprompter eller ange prompter manuellt. Sidan med rekommendationer uppdateras med lämpliga filter som tillämpas baserat på de uppmaningar som du har angett.

Skärmdump av rekommendationsanalysen som tillhandahålls av Microsoft Defender för molnet och alternativet att filtrera listan med rekommendationer.

Sammanfatta rekommendationer

När du har valt en specifik rekommendation kan Copilot sammanfatta den för att ge en snabb, naturlig översikt över de risker och sårbarheter som är associerade med den rekommendationen. Sammanfattningen hjälper dig att förstå kontexten och effekten av rekommendationen, så att du kan prioritera reparationsarbetet effektivt.

Genom att sammanfatta en rekommendation får du insikt i vad rekommendationen tar upp, varför den är viktig och den potentiella effekten av att implementera den – allt utan att behöva tolka den tekniska informationen manuellt.

Skärmdump av rekommendationssammanfattningen som genereras av Copilot.

När du har en bättre förståelse för rekommendationen kan du bestämma hur du bäst ska hantera den. Du kan till exempel be Copilot att hjälpa till att åtgärda rekommendationen, delegera reparationen till resursägaren eller ange andra frågor efter behov.

Åtgärda dina rekommendationer

När du har sammanfattat en rekommendation kan Copilot hjälpa till med reparationen genom att ge stegvis vägledning för att åtgärda den identifierade risken. Genom att åtgärda rekommendationer med Copilot kan du förbättra din säkerhetsstatus genom att direkt åtgärda sårbarheter i din miljö.

När du ber Copilot att hjälpa till med reparationen innehåller den föreslagen reparationsinformation tillsammans med instruktioner. I vissa fall kan en rekommendation innehålla ett skript som kan köras för att tillämpa reparationen direkt.

Skärmdump av en rekommendationssammanfattning som visar alternativet att köra ett skript för att åtgärda en rekommendation.

Delegera rekommendationer

Copilot kan också hjälpa dig att delegera rekommendationer till rätt person eller team. Delegering av rekommendationer säkerställer att rätt personer hanterar risker och sårbarheter i din miljö, vilket förbättrar den övergripande säkerhetsstatusen.

När du väljer att delegera skapar Copilot ett e-postmeddelande som sammanfattar rekommendationen och de föreslagna reparationsåtgärderna. Du kan granska e-postmeddelandet, lägga till mottagare och skicka det direkt från gränssnittet. När de har delegerats kan du övervaka åtgärdsförloppet på sidan med rekommendationer i Defender för molnet.

Skärmsinsamling av svaret Copilot genererar när du väljer att delegera en rekommendation till resursägaren.

Skärmsinsamling av e-postmeddelandet som Copilot genererar när du väljer att delegera en rekommendation till resursägaren.

Åtgärda kod

Copilot i Defender för molnet kan också hjälpa till att åtgärda felkonfigurationer av infrastruktur som kod (IaC) som identifieras i dina kodlagringsplatser. Med den här funktionen kan du åtgärda säkerhetsfel och säkerhetsrisker tidigt i utvecklingscykeln genom att automatiskt generera pull-begäranden (PR) som korrigerar de identifierade svagheterna.

Den här funktionen kräver ytterligare krav utöver standardkraven för Copilot, inklusive att ansluta din Azure DevOps miljö till Defender för molnet, konfigurera Microsoft Security DevOps Azure DevOps och uppfylla kraven för DevOps-säkerhetssupport och krav.

När en rekommendation som rör IaC-genomsökningsresultat identifieras kan du välja Minska risk med Copilot för att Copilot ska generera en kodkorrigering. Copilot identifierar relevant säkerhetskontroll, genererar en åtgärd och skapar en pull-förfrågan i ditt kodförråd. En utvecklare bör sedan granska och godkänna PR innan de sammanfogas till kodbasen.

Skärmsavbildning av en rekommendation med titeln bör Azure DevOps lagringsplatser ha infrastruktur när kodgenomsökningsresultaten har lösts och alternativet att minska risken med Copilot.

Skärmbild som visar Copilots svar på valet Minska risken med Copilot.

Att ge återkoppling

Precis som med andra inbäddade upplevelser ger Copilot i Defender för molnet en mekanism för att ge feedback om noggrannheten i AI-genererade svar. Efter varje slutförd fråga kan du välja bland tillgängliga alternativ, inklusive Ser rätt ut om resultaten är korrekta, Behöver förbättras om resultaten är ofullständiga eller felaktiga eller olämpliga om resultaten innehåller tvivelaktig information. Ange när det är möjligt ytterligare information för att förbättra framtida svar.