MS Copilot for Security核心功能

資安團隊或人員每天可能收到來自一堆系統的成千上百萬的資安訊息。特別是在大型企業中，這些資訊的量體可能更可怕，尤其在救火階段(發生資安事故時)。而這時我們需要快速評估情況、確定違規的根本原因、遏制威脅並採取適當的補救措施。然而，由於存在大量安全資料以及組織基礎設施的複雜性，瀏覽資訊並做出明智的決策可能具有挑戰性。這就是 AI(Copilot) 的發揮作用的地方。

本文中我們將介紹以下功能:

• Standalone Copilot 體驗中可用的功能
• Copilot 中可用plugins
• 自訂promptbook
• 知識庫連結

Standalone Copilot 體驗中可用的功能

可透過專用網站存取 Microsoft Copilot for Security。該專用站點也稱為獨立體驗。使用者透過standalone experience存取平台的頁面。為了確保使用者可以存取 Copilot 的功能，他們需要擁有適當的角色權限。有關 Copilot 基於角色的存取控制的詳細資訊，參閱 Understand authentication in Microsoft Copilot for Security中的身份驗證的指派角色部分。

Copilot 登入頁面上有一些使用者可以導航到的關鍵功能。

• Home menu
• Continue your last session
• Get started using these promptbooks
• Prompt bar

Home menu

透過選擇位於 Copilot landing page左上角的漢堡包圖示來存取主選單。

從主選單中，使用者可以進行以下選取：

• 選擇「首頁」圖示返回登入頁面。
• My sessions，其中列出了過去建立的對話。使用者可以使用搜尋和過濾選項來管理過去的對話，並能夠根據需要重新命名、複製或刪除對話。目前，對話保留在「My sessions」頁面上，直到被手動刪除。刪除對話後，與該對話關聯的所有資料都會標記為已刪除，並且TTL(time to live) 設定為 30 天。 TTL 過期後，Query將無法存取該資料。透過產品內 UX 刪除對話時，包含對話資料的日誌不會受到影響。這些日誌的保留期最長為 90 天。

• The promptbook library，包含內建promptbooks和自訂promptbooks。提供有關每個promptbooks的資訊，包括描述、所需輸入、提示數量、擁有者等。

• 對於配置為Owner的用戶，Owner特定選項：

Owner settings，其中包括管理 Azure 中billing的連結、更改SCU的選項以及資料共用選項的配置。

Role assignments，管理員可以在其中查看現有角色分配並將 Copilot 角色指派給使用者。

Usage monitoring，提供一個儀表板，顯示 Microsoft Copilot for Security workload在一段時間內如何消耗 SCU。當資安人員正在進行調查並且使用率接近預先配置容量限制 (90%) 時，在輸入提示時會向資安人員顯示一則通知。該通知會讓資安人員知道量不夠了，管理者需要增加容量或資安人員需要限制prompts數量以避免服務出問題。這些通知也會顯示在 Copilot for Security embedded experiences。

• Settings，包括可配置的偏好(preferences)、資料和隱私聲明以及有關應用程式版本的資訊。

偏好(preferences)項設定允許使用者配置主題、語言和時區。 Copilot 支援多種語言。有關詳細信息，請參閱 Supported languages。

對於具有所有者角色權限的用戶， 偏好(preferences)包含更多配置選項。Owner可以配置plugins、文件上傳和回應偵錯等級。

• Tenant switcher。為 Copilot 設定的tenant不需要是我們的資安人員登入的tenant。在下面的圖示中，安全分析師 Angus MacGregor 使用 Fabrikam 帳戶登入。透過選擇向下箭頭，Angus MacGregor 能夠選擇 Contoso 租用戶。

繼續最後的對話

獨立體驗的landing page提供了最近幾次對話的簡要摘要。選擇過去的任何對話都會將您帶到該對話。同樣，我們可以選擇查看所有過去對話，這會我們帶到「My sessions」頁面

開始使用promptbooks

Copilot for Security 隨附預先建立的promptbooks，這是一組prompts，這prompts已放在一起以完成特定的安全相關任務。每個promptbook都需要特定的input（例如，代碼片段或威脅參與者名稱），然後按順序執行一系列prompts，其中一個prompt建立在前一個提示的基礎上。

獨立體驗的landing page顯示可用promptbooks子集的cards。每張cards都包含promptbook的標題、簡要說明、擁有者以及promptbook中的promp數量。

選擇promptbook的標題可開啟包含promptbook更詳細資訊的頁面，包括promptbook所需的input以及所包含的promptbook清單。從這個頁面中，我們可以開始新對話。

Prompt bar

我們可以使用prompt bar以自然語言告訴 Copilot 我們希望從安全資料中獲得哪些見解，然後選擇執行圖示。

良好的prompting是獲得良好結果的關鍵。對於那些剛接觸安全分析師角色並接觸AI的人來說，有效的提示可能需要一些練習。因此，Copilot 提供了提示建議以及提供一系列預選提示的promptbooks。

選擇位於prompts icon內的提示圖標，打開一個窗口，我們可以在其中搜尋和存取promptbooks和系統功能。

作為透過promptbook library存取promptbooks的替代方法，您可以透過選擇提示列中的提示圖示來存取提示手冊。

System capabilities（通常稱為prompt suggestions）是我們可以在 Copilot 中使用的特定的單一提示。選擇提示圖示時顯示的清單是您可用的所有可用系統功能的一小部分。若要查看我們可用的所有系統功能，請選擇查看所有系統功能。顯示的清單可能會有所不同，具體取決於我們啟用的plugins。有些功能不依賴特定plugins，因此可以獨立於啟用的plugins而可供有權存取 Copilot 的使用者使用。

選擇system capability (prompt suggestion)通常需要更多輸入才能獲得有用的回應，但 Copilot 提供了此指導。例如，下圖顯示了使用者分析腳本或命令時必須包含的資訊。

Copilot 使用plugins和files與特定於安全的來源整合。

• Plugins — Copilot 目前支援 Microsoft 自有安全產品、非 Microsoft 產品、開源情報來源、來自公開網站的產業資訊以及custom plugins。
• Files — 與組織知識庫的連接為 Copilot 提供了更多背景資訊，從而產生更相關、更具體和針對使用者客制回應。上傳檔案是 Copilot 用於連接到組織知識庫的一種方法。

我們可以透過prompt bar中包含的來源圖示存取和管理來源。 「access and manage sources」視窗列出了plugins tab (the default view)與files tab。

Standalone experience session中可用的功能

Session是 Copilot 內的特定對話，由一個或多個prompt組成。可以透過直接在prompt bar中輸入問題、promptbook或prompt suggestion來啟動對話。

Copilot 具有所有對話和構成對話的individual prompts所共有的功能，包括：

• The process log
• Actions you can take a prompt and its response
• Prompt feedback
• The pin board

Process log

對於 Copilot 運作的每個prompt，Copilot 都會產生使用者可以看到的process lofg。使用者可以看到使用什麼功能來產生回應，因為它使使用者能夠確定回應是否是從可信任來源產生的。在下面的圖示中，process log顯示 Copilot 選擇了Incident Analysis capability。Process log還顯示，最終輸出經過了安全檢查，這是微軟對負責任的AI承諾的一部分。

Actions you can take a prompt and its response

Copilot standalone experience中的每個prompt/response pair都有一組一致的行動可用。行動包括：

• 透過選擇圖釘圖示將單一prompt與其response固定到pin board
• Edit a prompt.
• Rerun a prompt.
• Delete a prompt.
• Export a prompt.
• Copy a response.
• Provide feedback on a response

Microsoft Copilot for Security 中可用的Plugins

Microsoft Copilot for Security 與各種來源整合，包括 Microsoft 自己的安全產品、非 Microsoft 供應商、開源情報源、網站和知識庫，以產生特定於我們自己的指南。

Copilot 整合這些不同來源的機制之一是透過Plugins。plugins擴展了 Copilot 的功能。

Plugins使 Copilot 能夠存取組織的 Microsoft 產品中的資訊和功能。下圖僅顯示可用 Microsoft plugins的子集，plugins的列出順序可能與產品中顯示的順序不同。

Microsoft Entra

Microsoft Entra 是IAM解決方案。Copilot for Security 與 Microsoft Entra 整合。啟用 Entra plugins後，資安人員可以立即以自然語言取得風險摘要、補救步驟以及針對每個面臨風險的身份的建議指南。可以使用 Copilot 指導建立生命週期工作流程，以簡化建立和頒發使用者憑證和存取權限的過程。 Copilot 支援這些以及許多其他 Entra 功能。

Copilot 中的 Microsoft Entra 功能是我們可以使用的內建prompt，但也可以根據支援的功能輸入自己的prompt。

Microsoft Intune

Microsoft Intune 是一種基於雲端的端點管理解決方案。它管理使用者對組織資源的訪問，並簡化許多設備（包括行動裝置、桌上型電腦和虛擬端點）上的應用程式和裝置管理。

Copilot for Security 與 Microsoft Intune 整合。如果 Microsoft Intune 在與 Copilot 相同的tenant中可用且啟用了plugins，Copilot 將能夠取得有關 Intune 中管理的裝置、應用程式、合規性和設定原則以及政策指派的資訊。

要使用 Microsoft Intune plugin，除了授予 Copilot 存取權限的角色權限之外，還需要為使用者指派 Intune 服務特定角色，例如 Intune 端點安全性管理員角色。

Intune plugin支援的功能使用者能夠：

• 比較不同的security baselines
• 取得現有政策的摘要
• 取得政策分配範圍
• 取得兩個設備之間的差異或比較
• 透過詢問來快速收集設備的詳細資訊
• 獲取有關使用者設備註冊和設備合規性的詳細資訊，以進行故障排除或安全調查

Microsoft Defender XDR

這是一款統一的入侵前和入侵後企業防禦套件，是原生的協調跨端點、身分、電子郵件和應用程式的偵測、預防、調查和回應，以提供針對複雜攻擊的整合保護。

Copilot 中有兩個與 Microsoft Defender XDR 相關的單獨plugins：

• Microsoft Defender XDR
• Natural language to KQL for Microsoft Defender XDR

授予使用者 Copilot 存取權限的角色權限決定了對 Microsoft Defender XDR 資料的存取等級。使用 Microsoft Defender XDR plugin或 Natural language to Defender XDR KQL plugin不需要額外的角色權限。

Microsoft Defender XDR plugin包含的功能讓使用者能夠：

• 快速總結事件
• 透過指導性回應對事故採取行動
• 建立事故報告
• 獲取事故指導回應
• 取得 Defender 裝置摘要
• 分析檔案

Copilot 還包括用於 Microsoft Defender XDR 事故調查的內建promptbook，我們可以使用它來獲取有關特定事故的報告，以及相關警報、聲譽評分、使用者和裝置。

啟用該plugin後，還可以透過embedded experience Copilot 與 Defender XDR 的整合。標題為「Describe the embedded experiences of Microsoft Copilot for Security」的模組更詳細地描述了透過嵌入式體驗支援的場景。

Microsoft Defender 的自然語言到 KQL (NL2KQLDefender) plugin支援query assistant功能，可將threat hunting上下文中的任何自然語言問題轉換為可立即執行的 KQL 查詢。query assistant透過產生 KQL 查詢來節省資安團隊的時間，然後可以根據資安人員的需求自動執行或進一步調整該查詢(Query)。

Microsoft Defender External Attack Surface Management (Defender EASM)

Microsoft Defender EASM 持續探索並繪製我們的數位攻擊面，以提供線上基礎架構的外部視圖。這種可見性使安全性和 IT 團隊能夠識別未知因素、確定風險優先順序、消除威脅並將漏洞和暴露控制擴展到防火牆之外。攻擊面洞察(Attack Surface Insights)是透過使用漏洞和基礎設施資料產生的，以顯示組織關注的關鍵領域。

如果我們在與 Copilot 相同的tanent中使用 Defender EASM 並啟用該plugin，Copilot 可以從 Defender EASM 取得組織攻擊面的見解。這些見解可以幫助我們了解安全狀況並減少漏洞。

要使用此plugin，需要設定參數來識別組織對 Defender EASM 的訂閱。

Microsoft Defender Threat Intelligence

Microsoft Defender 威脅情資 (Defender TI) 是一個平台，可在進行威脅基礎設施分析和收集威脅情報時簡化分類、事件回應、威脅搜尋、漏洞管理和網路威脅情報分析師工作流程。

Copilot for Security 與 Microsoft Defender TI 整合。啟用 Defender TI plugin後，Copilot 可以提供有關威脅活動群組、危害指標 (IOC-indicators of compromise)、工具和脈絡威脅情資的資訊。我們可以使用prompt和promptbooks來調查事故，透過威脅情資資訊豐富搜尋流程，或獲取有關組織或全球威脅情勢的更多知識。

可提供 Defender TI 資訊的內建promptbooks包括：

• 漏洞影響評估 — 產生一份報告，總結已知漏洞的情報，包括解決該漏洞的步驟。
• 威脅參與者概況 — 產生一份報告，對已知活動群組進行概況分析，包括防禦其常用工具和戰術的建議。

Microsoft Purview

Microsoft Purview 是一套全面的解決方案，可協助組織"治理、保護和管理"資料，無論資料位於何處。 Microsoft Purview 解決方案提供整合的覆蓋範圍，並協助解決跨組織的資料碎片、缺乏阻礙資料保護和治理的可見性以及傳統 IT 管理角色的模糊問題。

Copilot for Security 中的 Purview plugin可讓我們獲得有價值的資料和使用者風險洞察，以協助識別攻擊來源以及可能面臨風險的任何敏感資料，前提是我們在 Microsoft Purview 中擁有適當的角色權限。由於 Microsoft Copilot 在嘗試存取資料來回答查詢時會假定使用者的權限，因此需要具有存取資料所需的角色權限。此外，組織有訂閱Microsoft Purview 解決方案。

Microsoft Sentinel

Microsoft Sentinel 在整個企業範圍內提供智慧安全分析和威脅情報。透過 Microsoft Sentinel，可以獲得用於攻擊偵測、威脅可見度、主動搜尋和威脅回應的單一解決方案。

Copilot 中有兩個與 Sentinel 相關的獨立plugins：

• Microsoft Sentinel
• Natural language to Microsoft Sentinel KQL

要使用 Sentinel plugin，需要為使用者指派角色權限以授予對 Copilot 的存取權限，以及 Sentinel 特定角色（例如 Microsoft Sentinel Reader）以存取workspace中的事故。

Sentinel plugin也要求使用者設定 Sentinel workspace、訂閱名稱和資源群組名稱。

第三方產品的Plugins

這裡分為三類:

• Other
• Websites
• Custom

其他plugins使 Copilot 能夠存取組織所使用的 Microsoft 以外的服務的資訊和功能。

存取這些plugins需要特定服務的帳號和授權以及包括身份驗證的設定。所需的身份驗證類型由提供的plugins決定。例如，CrowdSec 威脅情資 plugins需要 API 驗證的存取識別碼。

websites plugins使 Copilot 能夠從公開網站存取產業資訊。目前支援public web plugin。使用anonymous authentication存取 website plugins。

Microsoft Copilot for Security 平台可以客製自己的plugins並呼叫這些plugins來執行專門的任務。

這裡分為兩種的客製plugins:

• Custom Copilot plugins that you develop
• Custom plugins developed with OpenAI’s API.

無論採用哪種方法，每個 Copilot plugins都需要 YAML 或 JSON 格式的清單檔案（例如：plugin.yaml 或 plugin.json），該檔案描述有關skill set的metadata以及如何呼叫skills。有關客製的Plugins，可參閱Create your own custom plugins。

客製的promptbooks

Copilot for Security 中的Promptbooks是為完成特定的資安相關任務而組合在一起的Prompt的集合。他們根據先前的回應，運行一個又一個Prompt。

我們可以使用promptbook builder建立自己的promptbook，以自動執行調查流程並優化 Copilot 中根據需求和要求自訂的重複步驟。也可以與其他使用者分享我們建立的promptbook。

從現有對話中建立promptbook

若要建立自己的promptbook，可以從包含要使用的prompt的現有對話開始。對於以下範例，使用標題為「Show the last three failed login attempts」的對話。

選擇所需的對話後，選擇提示旁邊的方塊以選取它們，或選擇頂部的方塊以包含對話中的所有prompt。選擇任何或所有prompt都會選到「Create promptbook」按鈕。

選擇create promptbook圖示後，將開啟其頁面。可以在此命名promptbook、新增標籤和說明、新增更多prompt以及刪除或編輯現有prompt。如果任何prompt需要輸入參數，需要在尖括號內指定一個易於理解的參數名稱，且不能有空格。例如，如果提示之一需要Incident ID ，可以指定 <IncidentID>。同樣，如果prompt要求輸入威脅參與者名稱，您可以將輸入參數指定為 <threatactorname> 或 <ThreatActor>。可以包含多個輸入參數。

在下面的圖示中，promptbook名稱為 Failed-Login-Attempts，它包含兩個prompt。第一個prompt原本是顯示最近三次失敗的登入。若要將數字配置為輸入參數，請選擇prompt旁邊的省略號，透過替換數字 3 並輸入 <number> 來編輯。

建立promptbook後，會出現一個彈跳視窗。在此視窗中，可以選擇查看剛剛建立的promptbook，然後執行或編輯它，透過連結共用promptbook，或前往promptbook library。

從這起，可以像運行任何其他promptbook一樣運行自己的promptbook。

knowledge base connections

知識庫連線是 Microsoft Copilot for Security 目前預覽版的功能，可讓我們將組織的知識庫集成為另一個資訊來源。知識庫的包含為 Copilot 提供了更多背景資訊，從而產生更相關、更具體和針對組織客製的回應。

將知識庫整合到 Copilot 的方法有兩種：

• Azure AI Search plugin
• File upload

File upload

可以在 Microsoft Copilot for Security 中上傳檔案，以便在prompt Copilot 輸入「uploaded files」或使用檔案名稱時，Copilot 可以參考該檔案的內容來回應。

上傳檔案的步驟如下：

1. 透過選擇提示列中的來源圖示(如下圖)，然後從「Manage sources」頁面中選擇檔案，導覽至檔案上傳頁面。

2. 檢查要上傳的檔案是否為常見文字檔案類型，例如 DOCX、MD、PDF 和 TXT 格式，且每個文件不超過 3 MB。可以一次上傳一個檔案，只要所有上傳文件的最大容量總計不超過 20 MB。

PS: 上傳的文件僅適用於上傳它們的使用者帳戶。上傳的文件像其他客戶資料一樣存儲，如中 Privacy and data security in Microsoft Copilot for Security所述

3. 若要將檔案作為來源包含在目前對話中，選擇切換按鈕，使其亮起（切換按鈕內的圓圈位於最右側的位置）。如果還不打算使用該檔案，或者想要將其作為當前對話中的來源排除，請選擇切換按鈕，使其變灰（切換按鈕內的圓圈位於最左側的位置）。

4. 若要prompt使用上傳的檔案，如果希望 Copilot 對檔案進行推理，則需要提及「上傳的檔案」。如果想引導 Copilot 對特定檔案進行推理，也可以包含檔案名稱。例如，如果希望 Copilot 根據組織的資料處理策略檢查使用者帳號的操作，以查明是否有任何違規行為，則範例提示將是：

根據 XXX公司資料處理政策文件，列出使用者 ABCD 執行的可能違反資料處理政策的任何操作。包括對行動的判決以及判決的置信度。引用適用於判決的保單名稱和部分。

預設上，所有人都可以上傳檔案。但我們也可以對其限制上傳權限，如下圖。

Azure AI Search plugin

Azure AI search是一項服務，能夠安全、大規模地有效搜尋、檢索資訊並從內容中提取見解。使用此類服務的常見場景包括文件搜尋、資料探索和基於專有資料的聊天式 Copilot 應用程式。這些用例是透過索引和查詢啟用的。

• Azure AI search中的索引(Indexing)是將內容載入到搜尋服務並使其可搜尋的過程。索引(index)是索引過程(indexing process)的可搜尋結果。
• 一旦索引進入了可搜尋內容，就可以進行查詢。client app將查詢請求傳送到搜尋服務並處理回應。所有查詢執行都是透過我們控制的搜尋索引進行的。

透過 Azure AI Search plugin，我們可以將自己的索引作為可搜尋來源，可以使用 Copilot prompt bar中的提示進行查詢。

在設定與現有 Azure AI 索引的連線之前，請先確認下列要求：

1. Azure AI Search index設定為向量化(vectorization)，以便與 text-embedding-ada-002 模型一起使用
2. 索引中的文字欄位必須是可搜尋的
3. 索引中的標題欄位必須是可過濾的

若要建立與現有 Azure AI Search index的連接，如下設定 Azure AI Search plugin：

1. 透過選擇來源圖示、選擇plugins，然後從manage plugins視窗中選擇 Azure AI Search setup按鈕，導覽至 Azure AI Search plugin的設定頁面。

2. 為Plugins配置的參數會對應到 Azure AI Search instance的資訊、將搜尋的Search instance中的索引以及與索引關聯的欄位。

• Azure AI 搜尋服務的名稱
• 索引名稱 — 這是 Azure AI search instance中將搜尋的索引名稱
• 索引中向量欄位的名稱 — 這是索引中包含嵌入向量的欄位的名稱
• 索引中文字欄位的名稱 — 這是索引中文字欄位的名稱。在索引中，該欄位的內容表示要搜尋的文字。如果我們的索引是使用"Import and vectorize data wizard"建立的，則包含要搜尋的文字的欄位名稱預設可稱為chunk。原因是wizard會對我們的資料進行分塊，以便它不會超出嵌入模型的token限制大小。預設索引欄位名稱 chunk 指的是文字區塊。
• 索引中標題欄位的名稱 — 這是索引中標題欄位的名稱，表示要顯示為來源的每個文件的標題（可選的）
• Value — 這是 API 驗證的存取識別碼

3. 若要取得將用於plugin settings的資訊，則需要前往 Azure portal。

4. 從 Azure 入口網站中，搜尋並導覽至 Azure AI Search。

5. AI 搜尋頁面列出了搜尋服務。從這裡，選擇想要plugin連接到的search instance。在選擇它之前，請複製名稱並將其輸入到Plugin的 Azure AI search服務欄位中。

6. 選擇在Plugin設定頁面中輸入名稱的搜尋服務。

7. 從左側導覽窗格中，選擇index。

8. 索引頁面列出了特定 Azure AI 搜尋服務的可用索引。從索引頁面中，複製想要 Copilot 搜尋的索引名稱，並將其輸入到Plugin的索引名稱欄位中。

9. 選擇在外掛程式設定頁面中輸入名稱的索引。這將打開索引頁面。從這裡，選擇fields tab。

10. Fields tab顯示索引的欄位名稱。下圖中顯示的名為「knowledge-base-bloc-index」的範例索引，如果找不到我們要的index，請找 Azure AI Search service的admin幫忙。

11. 關閉索引欄位頁面。然後從左側導覽窗格中選擇“Keys”。

12. 複製 API 驗證的「Manage query keys」並將其輸入到Plugin的Value欄位中，然後選擇儲存。

13.檢查要連接的search instance和索引的所有參數是否正確，然後選擇「儲存」。

連接後，提示 Copilot 在 Azure AI Search index中尋找資訊。請務必在提示中提及「Azure AI search」。例如：

• 新的 SOC 分析師可以向 Copilot 詢問其 Copilot 工作流程中組織的流程。這可以加快入職流程。範例提示：總結公司在 Azure AI search中的多重身分驗證政策。
• SOC 分析師可以要求 Copilot 提供資訊，幫助調查索引擷取的大量可疑電子郵件或文件中的網絡釣魚事件。範例提示：我的 Azure AI Search index中用於可疑商業電子郵件外洩 (BEC-business email compromise) 電子郵件的最常見電子郵件主題標題是什麼？

Azure AI Search plugin對索引內容執行語義和關鍵字搜尋以查找相關資訊，因此建議在Prompt中盡可能具體。