MS Copilot for Security崁入式體驗

Microsoft Copilot for Security 可直接從某些 Microsoft 安全產品使用它。這就是所謂的嵌入式體驗。目前，Copilot 嵌入了 Microsoft Defender XDR 和 Microsoft Purview後面將有更多 Microsoft 安全解決方案嵌入 Copilot 功能。

透過嵌入式體驗提供的場景由嵌入 Copilot 功能的 Microsoft 解決方案決定。例如，在 Microsoft Purview Communication Compliance 中，Copilot 可以在標記訊息的政策和分類器條件的上下文中提供訊息及其附件的摘要。

在standalone experience中，Copilot 會進行一些處理，以確定其眾多功能中的哪一個最適合回應我們的prompt。在嵌入式體驗中，由於Copilot在特定產品中可用，Copilot可以直接呼叫產品特定能力，提供處理效率。

嵌入式體驗也是開始安全調查的好開始。例如，作為Microsoft Defender XDR 的分析人員，我們可能會在事故(Incident)頁面上花費大量時間。在事故頁面中，可以選擇告警並立即取得該事故的摘要。根據我們所理解的內容，可能會確定需要進行更深入的調查。在這種情況下，我們可以轉到獨立體驗，以進行更詳細的跨產品調查，從而發揮為您的角色啟用的所有 Copilot 功能。

以下將介紹 Microsoft Copilot for Security 的嵌入式體驗支援的場景。

• Microsoft Copilot in Microsoft Defender XDR
• Microsoft Copilot in Microsoft Purview
• Microsoft Copilot in Microsoft Entra
• Microsoft Copilot in Microsoft Intune
• Microsoft Copilot in Microsoft Defender for Cloud

Microsoft Defender XDR

Microsoft Copilot for Microsoft Defender XDR 支援以下功能。

• Summarize incidents
• Guided responses
• Script analysis
• Natural language to KQL queries
• Incident reports
• Analyze files
• Device summary

還有一些在全部功能中通用選項，包括提供有關及時回應的回饋以及無縫轉到獨立體驗的能力。

在嵌入式體驗中，Copilot 能夠直接呼叫產品特定功能，提供處理效率。也就是說，為了確保存取這些 Microsoft Copilot for Security 功能，需要啟用 Microsoft Defender XDR plugin，並且這是透過獨立體驗完成的。

Summarize incidents

若要立即了解事故，可以使用 Microsoft Defender XDR 中的 Microsoft Copilot 來總結事故。 Copilot 建立攻擊概述，其中包含重要訊息，讓我們理解攻擊中發生的情況、涉及哪些資產以及攻擊的時間軸。當我們導覽至事故頁面時，Copilot 會自動建立摘要。

包含最多 100 個告警的事故可以匯總為一個事故摘要。根據資料的可用性，事故摘要包括以下內容：

• 攻擊開始的時間和日期
• 攻擊開始的實體或資產
• 攻擊如何展開的時間表摘要
• 參與攻擊的資產
• IOC(Indicators of compromise)
• 涉及的威脅行為者的姓名

Guided responses

Microsoft Defender XDR 中的 Copilot 使用 AI 和機器學習功能將事故置於背景脈絡中，並從先前的調查中學習，以產生適當的回應行動，這些行動就是guided response。 Copilot 的guided response功能使各級事件故回應團隊能夠快速地應用response actions來解決事故。

Guided responses建議以下幾類行動：

• 分類(Triage) — 包括將事件分類為資訊性、真警報或假警報的建議
• 圍堵(Containment) — 包括圍堵事故的建議行動
• 調查 — 包括進一步調查的建議行動
• 補救措施(Remediation) — 包括適用於事故涉及的特定實體的建議回應措施

每個行動都包含有關建議行動的資訊，包括建議該行動的原因、類似事故等。例如，當組織內存在與當前事故類似的其他事故時，「查看類似事故」行動將可用。事故回應團隊還可以查看使用者資訊以採取補救措施，例如重設密碼。

並非所有事故/告警都提供guided responses。針對網路釣魚、商業電子郵件外洩和勒索軟體等事故類型提供guided responses。

Analyze scripts and codes

最複雜和精準的攻擊（例如勒索軟體）會透過多種方式逃避偵測，包括使用腳本(scripts)和 PowerShell。此外，這些腳本經常被混淆，這增加了偵測和分析的複雜性。資安團隊需要快速分析腳本和代碼，以了解其功能，並對網路中進一步發展的攻擊應用適當的緩解措施。

Microsoft Defender XDR 中 Copilot 的腳本分析功能為資安團隊提供了額外的能力，無需使用外部工具即可檢查腳本和代碼。此功能還降低了分析的複雜性，最大限度地減少挑戰，並讓資安團隊快速評估和識別腳本是惡意的還是良性的。

我們可以存取事故內警報時間軸中的腳本分析功能，以取得由腳本或代碼組成的時間軸紀錄。在下圖中，時間軸顯示了 powershell.exe 紀錄。

Copilot 分析腳本並將結果顯示在腳本分析頁面中。使用者可以選擇「顯示代碼」來查看與分析相關的特定代碼行。

Generate KQL queries

Microsoft Defender XDR 中的 Copilot 具有advanced hunting中的query assistant capability功能。

還不熟悉或尚未學習 KQL 的威脅追蹤者或安全分析師可以用自然語言提出請求或提出問題（例如，取得涉及使用者 adminAAA 的所有告警）。然後，Copilot 使用進階搜尋資料架構產生與請求相對應的 KQL 查詢。

此功能減少了從頭開始編寫搜尋查詢所需的時間，以便威脅搜尋者和安全分析師可以專注於搜尋和調查威脅。

若要使用 KQL query assistant的自然語言，有權存取 Copilot 的使用者從 Defender XDR 入口網站的左側導覽窗格中選擇advanced hunting。

運用prompt bar，使用者可以使用自然語言詢問威脅搜尋查詢，例如「給我過去 10分鐘內登入的所有裝置」。

然後，使用者可以透過選擇「Add and run」來選擇執行查詢。然後，產生的查詢將在query editor中顯示為最後一個查詢。若要進一步調整，選擇“Add to editor”。

也可以透過設定圖示自動設定執行產生的查詢的選項。

Create incident reports

全面、清晰的事故報告是資安團隊和SecOps管理的重要參考。然而，對於SecOps團隊來說，編寫包含重要詳細資訊的綜合報告可能是一項耗時的任務，因為它涉及從多個來源收集、組織和總結事件資訊。資安團隊現在可以在網站中立即建立廣泛的事故報告。

利用 Copilot 的 AI 資料處理功能，資安團隊只需點擊 Microsoft Defender XDR 中的按鈕即可立即建立事故報告。

事故摘要提供了事故及其發生方式的概述，而事故報告則整合了來自 Microsoft Sentinel 和 Microsoft Defender XDR 中可用的各種資料來源的事件資訊。事故報告還包括所有分析師驅動的步驟和自動操作、參與回應的分析師以及分析師的評論。

Copilot 建立包含以下資訊的事故報告：

• 主要事故管理行動的時間戳(timstamps)，包括：
  — 事故的建立和結束
  — 第一個和最後一個日誌，無論日誌是人為的還是自動的，都在事故中取得
• 參與事故回應的分析師
• 事故分類，包括分析師對事故評估和分類方式的評論
• 分析師採取的調查行動並在事故日誌中註明
• 已採取的補救措施，包括：
  — 分析師應用的手動操作並在事故日誌中註明
  — 系統的自動操作，包括執行的 Microsoft Sentinel Playbook 和應用程式的 Microsoft Defender XDR 操作
• 跟進分析師在事故日誌中記錄的建議、未決問題或後續步驟等操作

若要建立事故報告，使用者選擇事故頁面右上角的產生事故報告或 Copilot 視窗中的圖示。

產生的報告取決於 Microsoft Defender XDR 和 Microsoft Sentinel 提供的事故資訊。透過選擇事故報告頁面上的省略號，使用者可以將報告複製到剪貼簿、發佈到活動日誌、重新產生報告或選擇在 Copilot 獨立體驗中開啟。

Analyze files

複雜的攻擊通常使用模仿合法檔案或系統檔案來逃避偵測。 Microsoft Defender XDR 中的 Copilot 讓資安團隊能夠透過 AI 支援的檔案分析功能快速識別惡意和可疑檔案。

有多種方法可以存取特定檔案的詳細設定檔頁面。例如，可以使用搜尋功能，從警報流程樹(Alert process tree)、事故圖(Incident graph)、工件時間軸(Artifact timeline)中選擇連接，或選擇設備時間軸中列出的事件。

在以下範例中，我們可以透過包含受影響檔案的事故的Incident graph導覽至檔案。Incident graph顯示了攻擊的全部範圍、攻擊如何隨時間在網路中傳播、攻擊從何處開始以及攻擊者走了多遠。

從Incdent graph中選擇檔案會顯示view files的選項。選擇view files會在螢幕右側開啟一個面板，列出受影響的檔案。

選擇任何檔案都會顯示檔案詳細資訊的概述以及分析檔案的選項。選擇“Analyze”將開啟 Copilot 檔案分析

Summarize devices

Defender 中 Copilot 的device summary功能可讓資安團隊取得裝置的安全狀況、易受攻擊的軟體資訊和任何異常行為。安全分析師可以使用設備的摘要來加快對事故和告警的調查。

有多種方法可以存取設備摘要。在以下範例中，透過incident assets頁面導覽至 device summary。選擇事故的資產標籤會顯示所有資產。從左側導覽面板中，選擇Devices，然後選擇特定的設備名稱。從右側開啟的概述頁面可以選擇“Copilot”。

一般性的主要功能

Copilot for Microsoft Defender XDR 的功能中有一些通用選項。

與獨立體驗一樣，嵌入式體驗為使用者提供了一種機制，可以就AI產生的回應的準確性提供回饋。對於任何AI產生的內容，可以選擇內容視窗右下角的回饋提示，然後從可用選項中進行選擇。

我們可能會在 Defender XDR 上花費大量時間，因此嵌入式體驗是起始點。根據我們所理解的內容，可能會需要進行更深入的調查。在這種情況下，我們可以轉換到獨立體驗，以進行更詳細的跨產品調查。若要前往獨立體驗，請選擇產生的內容視窗中的省略號，然後選擇在 Security Copilot 中開啟。

Microsoft Purview

透過 Microsoft Purview 中的 Microsoft Copilot，資料安全性和合規性管理員可以直接在 Microsoft Purview 解決方案中利用 AI 的力量更快地評曝險。

作為嵌入式體驗的一部分所支援的場景包括：

• 取得DLP告警的全面摘要
• 取得內部風險管理告警的全面摘要
• 取得通信合規性政策匹配的脈絡摘要
• 取得eDiscovery review sets中收集的證據的脈絡摘要

使用者必須擁有 Copilot 和 Purview 解決方案的適當角色權限。對於 Copilot，使用者至少需要 Copilot workspace contributor role或 Entra Security operator role。對於 Microsoft Purview，與透過Plugin啟用的 Microsoft 解決方案一樣，Copilot 在嘗試存取資料以回答查詢時會認為可以存去該服務的資料了，因此需要擁有存取資料所需的權限。

取得告警的全面摘要

資料安全團隊通常每天收到的資料安全警報多於他們可以查看的資料安全告警，使他們面臨風險。為了協助應對這項挑戰，Microsoft Purview 中的 Microsoft Copilot 利用生成式 AI 的強大功能來提供要查看的告警摘要，並協助加快調查速度。 Microsoft Purview DLP和 Microsoft Purview Insider Risk Management支援此功能。

DLP(Data Loss Prevention)

使用 Copilot 總結Data Loss Prevention告警：

1. 登入 Microsoft Purview compliance portal，然後選擇 Data Loss Prevention solution
2. 導航至 alerts queue並選擇要查看的告警
3. 選擇「Get a summary from Security Copilot」

4. 在alert summary中，可以使用alert summary右上角的省略號將回應複製到剪貼簿、重新產生或透過選擇「在 Security Copilot 中開啟」轉換到獨立體驗。

Insider Risk Management

若要使用 Copilot 總結內部風險管理告警，請遵循與 DLP 中所述類似的步驟。

取得通訊合規性政策中內容的脈絡摘要

檢視通訊是保護組織通訊環境不可或缺的一部分，但審查數百字長或包含附件的內容也很耗時。借助 Copilot，現在可以：

• 在標記訊息的分類器條件脈絡中取得訊息及其附件的脈絡摘要
• 詢問有關郵件及其附件的後續脈絡問題

脈絡摘要目前支援可訓練的分類器，因為脈絡和脈絡摘要僅適用於總長度為 100 個單字或以上的訊息和附件。

請確有存取通訊合規性的授權以及Copilot和通訊合規性的適當角色權限。若要取得政策中的脈絡摘要，必須具有Communication Compliance or Communication Compliance Investigator Role。對於 Copilot，至少需要 Entra Security operator或 Copilot workspace contributor role。

1. 從 Microsoft Purview compliance portal導覽至Communication Compliance solution，然後導覽至通訊合規性中的「Policies」頁籤。
2. 導覽至使用可訓練分類器作為政策配置一部分的政策，然後選擇policy match來查看訊息內容。
3. Copilot action button顯示在左上方命令列中，而 Summarize action button則顯示在右下方命令列中。選擇任一操作來產生訊息和支援的附件的脈絡摘要

4. 要了解有關該訊息的更多資訊，請探索其他default prompts或在 Security Copilot 這一側面板的文字提示中輸入您自己的問題。

取得eDiscovery review sets中收集的證據的脈絡摘要

eDiscovery管理花費大量時間來檢視review sets中收集的證據。嵌入 Microsoft Purview eDiscovery（進階版）的 Copilot 可以幫助我們節省時間。借助 Copilot，現在可以：

• 取得review sets中單一項目的脈絡摘要。
• 詢問有關摘要的後續脈絡問題。

1. 導覽至 Microsoft Purview compliance portal，然後導覽至eDiscovery (Premium) case
2. 導覽至並開啟review sets
3. 從review sets中選擇希望 Copilot總結的項目，然後選擇Summarize。僅支援文字擷取的檔案類型支援項目的脈絡摘要。 Copilot 僅支援單項摘要
4. 可以提出更多問題或選擇預設提示之一，以進一步理解產生的摘要

限制

Copilot 支援的 Microsoft Purview use cases有以下限制：

1. 只有 Microsoft Purview eDiscovery (Premium) 支援copilot
2. 在 Purview eDiscovery 中無法探索 Copilot activities。無法搜尋和保留 Copilot 活動
3. 沒有可用於 Copilot 活動的稽核活動
4. 內容摘要長度目前限制為 20,000 個token，即約 15,000 個單字

Microsoft Entra

身分風險調查是保護組織的關鍵步驟。 Microsoft Entra ID Protection 應用 Microsoft Copilot for Security 的功能來總結使用者的風險等級，提供與當前事故相關的見解，並提供快速緩解建議。

要查看並調查使用者的有風險登入：

1. 登入 Microsoft Entra admin
2. 導覽Protection > Identity Protection，然後導覽至Risky users report

3. 從risky users report選擇一個使用者

4. 在「Risky User Details」視窗中選擇「Summarize」頁籤

Risky user summary包含三個部分：

• Copilot總結：用自然語言總結使用者風險等級升高的原因
• 怎麼做：列出針對當前事故量身定制的可行見解，以解決風險
• 幫助和文件：列出了有關如何緩解此類攻擊的客製化建議，以及幫助和文件的快速連結。

使用者可以對生成的內容提供回饋。

Microsoft Intune

Microsoft Intune 具有 Copilot 提供支援的功能。這些功能可以存取 Intune 資料，並可協助管理政策和設定、了解安全狀況以及解決裝置問題。

透過 Microsoft Copilot for Security 支援對 Intune 資料的存取（稱為獨立體驗），或嵌入 Intune 管理中心（在 Intune 中稱為 Copilot）。

關於在Intune與Copilot更詳細的設定，請參閱 Describe how to enable Microsoft Copilot for Security。

目前，Intune 中的 Copilot 可用於：

• Policy and setting management
• Device details and troubleshooting

Policy and setting management

Copilot 嵌入到政策設定和現有政策中，嵌入到 Intune 中的以下政策類型：

• Compliance policies
• Device configuration policies, including the settings catalog
• Most endpoint security policies

在建立新政策時，可以透過 Copilot 工具提示了解有關各個設定、其影響和建議值的更多資訊。

以下範例顯示了新 macOS 合規性政策的合規性設定標籤。每個設定旁邊都有一個copilot圖示。選擇 Copilot 圖示會顯示有關設定的詳細資訊。

可以使用 Copilot 從現有政策中總結政策。summary描述了政策的用途、分配給政策的使用者和群組以及政策中的設定。此功能可幫助我們了解政策及其設定對使用者和裝置的影響。

無論是使用 Copilot 了解新政策的設定還是總結現有政策，Copilot 視窗都會提供更多可供使用的提示。也可以選擇右下角的提示指南圖標，然後從現有提示清單中進行選擇。

Device details and troubleshooting

我們可以使用 Copilot 取得特定於裝置的資訊，例如已安裝的應用程式、群組成員身分以及可協助對裝置進行故障排除的其他資訊。

Microsoft Defender for Cloud

Defender for Cloud 將 Copilot 直接整合到 Defender for Cloud 體驗中。透過這種整合，可以透過自然語言提示來分析、總結、修復和委派給我們的recommendations

當滿足以下條件時，所有使用者都可以使用 Defender for Cloud 中的 Copilot for Security：

• 在環境中啟用 Defender for Cloud
• 有權存取 Azure Copilot
• 為 Copilot 指派SCU

Defender for Cloud 中的 Copilot for Security 不依賴 Defender 中的任何available plans。但是，為了在 Defender for Cloud 中使用Copilot for Security 的全部功能，建議的環境中啟用 DCSPM(Defender for Cloud Security Posture Management) 計畫。 DCSPM plan包括許多額外的安全功能，例如攻擊路徑分析、風險優先事項等等，所有這些功能都可以使用 Copilot for Security 進行導覽和管理。如果沒有 DCSPM plan，仍然可以在 Defender for Cloud 中使用 Copilot for Security，但容量有限。

分析建議

我們可以分析recommendations頁面上顯示的所有recommendations。透過縮小recommendations頁面的範圍，我們可以專注於特定recommendations並更了解您安全狀況。

過濾建議清單後，我們可以調查特定建議並更好地了解環境中存在的風險和漏洞。

分析建議：

1. 在 Azure portal中，搜尋並選擇 Microsoft Defender for Cloud
2. 導航至“Recommendations”
3. 選擇用Copilot 分析

4. 選擇建議的prompts之一或以自然語言輸入提示。一些sample prompts包括：

• 顯示公開資源的風險
• 顯示包含敏感資料的資源的風險
• 顯示關鍵資源的風險

5. Copilot 產生初始分析，可以根據該初始分析過濾建議清單。可以透過選擇建議的後續提示之一或手動輸入一項並套用篩選器(filter)來進一步細化結果。

總結建議

我們能夠總結建議，以便更好地了解環境中存在的風險和漏洞。透過總結建議，可以用自然語言快速了解該建議。總結建議可幫助我們了解建議中提供的資訊，並讓我們確定補救作業(remediation)的優先順序。

選擇建議(recommendation)後，可以使用 Copilot 對其進行總結。透過使用prompts，我們可以更好地理解建議並決定如何最好地處理它。

總結建議：

1. 在 Azure portal中，搜尋並選擇 Microsoft Defender for Cloud。
2. 導航到“Recommendations”，然後選擇一個推薦。
3. 從推薦頁面中，選擇用Copilot進行總結。

4. Copilot 產生總結回應後，可以根據需要輸入更多prompts。

根據建議進行修正

我們可以使用自然語言prompts修正建議(remediate recommendations)頁面上顯示的建議。透過 Copilot for Security remediate recommendations，可以透過解決環境中存在的風險和漏洞來改善安全狀況。

使用 Defender for Cloud 中的 Copilot for Security 總見建議後，可以決定如何最好地處理它。透過使用prompt，可以讓 Copilot for Security 在修復過程中協助我們。

要使用 Defender for Cloud 中的 Copilot 協助建議的修復過程：

1. 總結建議，如「ummarize recommendations with Copilot for Security」部分所述
2. 選擇幫我修正此建議。
3. 檢視建議的修復資訊並按照說明修復。在某些情況下，該建議可能包括可運行以應用補救措施的腳本。

委派建議

我們可以使用自然語言提示委派建議頁面上的建議。而Recommendation可以委託給其他人或團隊。

委派建議可以讓合適的人員解決環境中存在的該建議所帶來的風險和漏洞，從而改善安全狀況。

若要使用 Copilot 委派建議並確保合適的人員或團隊正在處理環境中存在的風險和漏洞：

1. 總結建議，如「Summarize recommendations with Copilot for Security」部分所述
2. 選擇將修復工作委託給資源擁有者
3. Copilot 總結了它起草的一封電子郵件。然後我們可以選擇檢視和傳送電子郵件

4. 查看電子郵件並新增收件人，然後選擇傳送

委派建議後，我們可以在 Defender for Cloud 的建議頁面上監控修復進度。 Copilot 保持開啟狀態，可以根據需要輸入其他prompts。

修復代碼

我們可以修復代碼儲存庫中發現的IaC錯誤配置。透過 Copilot 修復 IaC 發現結果，我們可以透過自動產生修正已識別缺陷的PR(Pull Requests)來在開發週期的早期解決安全性設定錯誤和漏洞。修復這些錯誤配置和漏洞可確保準確、及時地解決代碼中的安全性問題。

若要使用 Copilot 協助修復代碼儲存庫中發現的IaC錯誤配置，必須：

• 在環境中啟用 Defender for Cloud
• 有權存取 Azure Copilot
• 為 Copilot分配SCU
• 將 Azure DevOps 環境連接到 Defender for Cloud
• 設定 Microsoft Security DevOps Azure DevOps extension
• 查看並確保我們符合 DevOps 安全支援和先決條件要求

修復IaC掃描後的缺陷:

1. 在 Azure 網站中，搜尋並選擇 Microsoft Defender for Cloud
2. 導航至Recommendations
3. 搜尋標題為「Azure DevOps repositories should have infrastructure as code scanning findings resolved」的建議，然後選擇任何產生的建議
4. 選擇Reduce risk with Copilot

5. 透過選擇“Select security check”，Copilot 可以產生 pull requests，以根據建議修復支援的安全性檢查

6. 選擇適當的描述，然後按一下選擇按鈕

7. 查看代碼修復的摘要，然後選擇提交

8. 選擇提供的連結

9. Review PR

在代儲存庫中產生 PR 後，我們應該讓開發人員檢視並批准 PR，以將其合併到代碼庫中。