AI与安全双向赋能，微软Security Copilot守护你的数字生活

微软科技 2023-11-28 535

描述

随着网络攻击的急剧增加，AI与安全的双向赋能已成为网络安全领域不可或缺的一环。微软Security Copilot应运而生，通过创新手段引领安全范式的变革。业界首款生成式AI统一安全运营平台，它不仅扩展Copilot的功能，实现数据安全、身份识别、设备管理等全面防护，更促进安全和IT团队之间的紧密合作，全面保障确保组织安全。

安全的未来

近年来网络攻击的急剧增加，催生了对新型安全防护的急迫需求。传统的安全工具已无法与当今网络犯罪分子的相匹敌。短短两年内，微软检测到的密码攻击数量从每秒579次飙升至每秒超4000次¹。据Cybersecurity Ventures预测，到2025年，全球网络犯罪的成本预计将从2015年的3万亿美元激增至10.5万亿美元²。企业机构平均需要使用约80种安全工具来管理，但这又导致安全团队面临数据泛滥、警报疲劳、和安全解决方案间的可见性限制等。安全团队一直面临着挑战：必须全方位实时保护企业免受攻击，而网络攻击者却只需找到一个薄弱环节即可全盘突破。

安全团队的核心优势之一就是对数据领域的深入了解。深知如何预设基础设施、用户态势和应用程序等以防网络攻击。为增强核心优势，微软安全部门提供了大规模数据支持：每天处理65万亿个信号，汇聚全球威胁情报，监视超300个网络威胁组织，搜集分析来自100多万个客户和 1.5万多个合作伙伴的网络攻击者行为洞察数据¹。

我们的新生成型AI解决方案 Security Copilot，结合了我们庞大的数据优势和端到端的安全性，完全基于零信任原则构建，旨在改变数字威胁领域的不对称性，并在新的安全时代为安全团队提供强有力的支持。

Security Copilot

推动安全范式的变革

网络安全领域最大挑战之一就是匮乏专业人才。尽管仍有300万个未填补的职位空缺，但网络威胁的频率和严重程度仍在不断攀升。网络安全人才的需求始终迫切³。

在衡量“职业新人”分析师对生产力影响的一项研究中，用过 Security Copilot的受访者展现了显著的优势。他们在各项任务中的准确率提高了44%，而且完成任务的速度也提高了26%⁴。

使用Security Copilot的受访者表示

来自韦莱韬悦（WTW）的一位用户表示：“我认为Microsoft Security Copilot是一种变革加速器，它快速威胁识别威胁的能力意味着我能够减少平均调查时间。我越快完成这一点，我的安全态势就会变得越好。”

操作复杂性日益增加

业界首款内置Copilot的

生成式AI统一安全运营平台

数字化时代里，安全运营团队常面临管理来源繁杂的安全工具的挑战。而生成式AI的出现，让我们有能力填补安全和数据专业人才的巨大缺口。应对网络攻击时，我们需要一种新方法以机器的速度预防、检测并瓦解攻击；同时，还需提供简洁易用的对话体验，助力安全运营中心（SOC）团队更快捷行动，将分散在多个工具中的安全信号和威胁情报及时整合。今天我们宣布：将安全信息和事件管理（SIEM）、扩展检测和响应（XDR）的强大能力，与生成式AI相融合，打造出业内首款统一的安全运营平台。

通过将Microsoft Sentinel、Microsoft Defender XDR（即早前的Microsoft 365 Defender）以及Microsoft Security Copilot结合到一起，安全分析师们可拥有一个统一的事件处理体验，简化分类流程，并提供一份全面端到端的数字资产威胁视图。借助一套自动化的规则和生成式 AI行动手册，各级分析师可更加容易快速协调响应。此外，统一的搜索功能让分析师能在一个位置查询所有的SIEM和XDR数据，识别网络威胁并采取适当的修复行动。

Microsoft Security Copilot已内嵌入分析师的工作流程中，全面支持SIEM和XDR，分析师在调查和解决事件的过程中，无需依赖额外数据资源，就能得到详尽的步骤指导和自动化支持。可使用自然语言提出疑问，或采纳Security Copilot建议。如需进行汇报，平台也可立即自动生成一份精简报告，清晰地呈现事件的全貌、分析师调查过程和修复采取措施。

面对网络攻击者的行动，统一的安全运营平台能以机器的速度捕捉并应对网络威胁，并通过自动中断高级攻击来保护你的组织。我们正在扩展此功能，来对第三方信号（例如SAP信号和警报）采取行动。对于已连接SAP的SIEM客户，平台能自动检测并阻断金融欺诈行为，立即禁用本地SAP和连接的Microsoft Entra帐户，阻断资金转移行为，而这一切都是自动完成，无需安全运营中心的干预介入。我们还在进一步加强攻击阻断能力，该功能现在可以自动生成看似真实的诱饵和诱饵，引诱网络攻击者上钩。这些诱饵会向SOC提供可信度高的早期攻击信号，触发更快的自动攻击阻断。

最后，我们还在原生XDR体验基础上进行构建，融入Microsoft Defender for Cloud的云工作负载信号与警报。它是一款顶尖的云原生应用保护平台（CNAPP），能使分析师跨越多云基础设施（包括Microsoft Azure、Amazon Web Services和Google Cloud Platform环境）、各种身份、邮件与协作工具、软件即服务（SaaS）应用以及多平台终端，进行全方位的调查。因此，Microsoft Defender XDR成为了行业内最全面、最原生化的XDR平台之一。

扩展Copilot实现数据安全、

身份识别、设备管理等功能

保护数据安全是各团队共同的责任，但不同团队往往缺乏相互协作的工具与数据。为此，我们在Microsoft Security产品组合中添加了新的Security Copilot功能和嵌入式体验。这些功能旨在使所有安全和IT角色都能以机器般速度检测和应对网络威胁。而为有效防范安全风险并提高运营效率，Microsoft Security Copilot现在将Microsoft Defender、Microsoft Defender for Cloud、Microsoft Sentinel、Microsoft Intune、Microsoft Entra和Microsoft Purview之间的信号全面整合到统一的操作界面。

Security Copilot的新功能

为安全和IT团队创造协同增效

Microsoft Purview：为了更快速有效数据保护，Security Copilot 现已嵌入Microsoft Purview，直接在Microsoft Purview数据防泄漏、内部风险管理、电子数据发掘和通信合规工作流中提供汇总功能，帮助分析师理解多样化数据，加速调查和响应时间，用AI技术轻松应对复杂任务。

Microsoft Entra：Microsoft Entra中内嵌的Security Copilot可加强身份的保护，还能快速协助团队调查身份风险。确保IT管理员快速获得风险概览，按照推荐的操作步骤进行修复，并用自然语言获取每个风险身份的推荐指导。在Microsoft Entra ID Governance中，管理员可以使用Security Copilot来指导创建生命周期工作流程，简化用户凭据和访问权限的管理流程。包括总结用户和组、分析登录日志、监控高风险用户等新功能，现在都可以在Microsoft Security Copilot独立体验中使用。

Microsoft Intune：为了更好地支持IT管理员，微软将在未来几周内为早期访问计划的特定客户推出嵌入在Microsoft Intune中的Security Copilot，这也标志着端点管理和安全防护的重要飞跃。它提供了前所未有的安全数据可见性，具有完整的设备上下文，为策略制定提供实时指导，让IT管理员和安全团队能更快更容易发现并解决设备问题的根源。此外，Security Copilot还通过基于AI的预部署防护机制，帮助IT管理员和安全分析师预先了解策略变更的影响，实现更佳决策效果。AI驱动的建议还可快速应对各种威胁、事件和漏洞，从而进一步加强端点的安全性。

Microsoft Defender for Cloud：随着Security Copilot嵌入到Microsoft Defender for Cloud，安全管理员能够通过引导式风险探索，更快速识别关键资源问题。它能汇总风险，并提供深化的上下文洞察，如关键漏洞、敏感数据以及横向移动情况。管理员可以借助该工具指导补救工作，简化建议的实施过程。它能生成推荐摘要，提供逐步的补救行动指南，并支持以首选语言编写脚本。更重要的是，补救行动可以直接委托给关键资源用户，实现更灵活的任务分配。这些全新的云安全功能也纳入到了Microsoft Security Copilot的独立体验中。

Microsoft Defender for External Attack Surface Management (EASM)：全新Defender for EASM功能已在Security Copilot独立体验中上线，这使安全团队能够迅速深入了解其外部攻击面，无论资产托管在哪里，都能对结果充满信心。这些功能为安全运营团队提供了外部攻击面的概览，帮助漏洞管理人员了解外部攻击面是否受到特定常见漏洞和暴露（CVE）的影响，并提供对易受攻击的关键和高优先级CVE的可见性，帮助团队了解这些漏洞和暴露对其资产的普遍程度，从而能够优先采取补救措施。

自定义插件集成受信任的第三方工具：Security Copilot在与更广泛的安全和IT团队工具集成时，可提供更强大、更丰富的洞察和指导。Security Copilot现已集成ServiceNow，为我们的客户提供最新的解决方案。我们还推出了一套新的自定义插件，满足希望引入自己可信赖的安全工具、集成自己组织的数据和应用程序的客户，扩展Security Copilot的覆盖范围，接触新数据，获得新功能。

使用生成式AI

来保护你的组织

随着组织迅速采纳生成式AI，确保其安全、负责任的使用，实施强有力的安全措施变得至关重要。实际上，43%的组织都表示，缺乏检测、减轻AI风险的控制手段是首要问题⁵。不同的AI应用带来了不同程度的风险，因此组织需要具备监测、控制这些生成式AI应用的能力，并为其提供不同程度的保护。

Microsoft Defender：Microsoft Defender for Cloud Apps持续增强检测能力，为组织提供全面的生成式AI应用可视化展现，确保高风险应用得到及时控制，并通过定制策略有效防止数据在AI交互过程中的流失。这一升级将支持超过400种生成式AI应用，为用户提供更为便捷的风险识别方式。

Microsoft Purview：无论是Microsoft Copilot或其他生成式AI应用，Microsoft Purview的新功能都能为你提供强大的数据保障及管理能力。用户能够充分掌握AI的运行情况，包括敏感数据在AI交互中的使用详情，使用预设策略为AI交互中的数据提供全面防护，并借助合规性控制功能，确保组织轻松满足业务和监管要求。Microsoft Purview与Microsoft Copilot的紧密结合，将从Copilot for Microsoft 365开始，全面提升数据的安全性和合规性。

我们还在Microsoft Purview中推出AI Hub的预览版，将为你的组织提供一份关于Copilot接收到的全部提示以及提示中敏感信息的全局视图，和与Copilot交互用户数量的全局统计。我们正在扩展这些功能，将包括ChatGPT, Bard, DALL-E等在内的100多款常用的消费者生成式AI应用纳入视野，为你提供更全面的数据洞察。

拓展端到端的安全性

实现无处不在的安全保护

满足日常保护的要求是一项不容忽视的安全挑战。我们不断优化我们的安全功能，使其与当前的数字威胁环境同步进化，保持领先于网络攻击者的全方位保护数据和组织。

使用 Microsoft Defender for Cloud 加强代码到云的防御。对于终端安全评估管理，Defender for Cloud 与 Microsoft Entra Permissions Management 的集成的预览版更精确地管理云资源的权限，实现在Azure、AWS和Google Cloud等各个平台上的权限与潜在漏洞的关联视图。Defender for Cloud的攻击路径分析功能也得到了改进，不仅能预测和防止复杂的云攻击，还能提供关于Amazon Elastic Kubernetes Service (EKS)和Google Kubernetes Engine (GKE)集群的深入见解，以及关于优先处理云风险补救措施的API见解。

为了持续提升应用程序全生命周期安全性，GitLab Ultimate集成预览版可以让你轻松了解应用安全态势的全貌，大大简化了从代码到云端的修复工作流程（无论是使用GitHub、Azure DevOps，还是Defender for Cloud中的GitLab）。同时，Defender for APIs的正式发布，以机器学习驱动的保护机制对抗API威胁，并对Microsoft Azure容器注册表中的容器映像进行无代理漏洞评估。如今，得益于Microsoft Defender Vulnerability Management的强大能力，Defender for Cloud推出了统一的漏洞评估引擎，能够全面覆盖所有云工作负载。

Microsoft Defender Threat Intelligence的应用能为你提供更高级别的威胁情报。适用于Microsoft Defender XDR，它提供有价值的开源情报和互联网数据集，赋予你独一无二的能力，深化对威胁行为者、工具和基础设施的理解，而这些强化Microsoft Defender产品的功能无需支付额外费用。Detonation Intelligence在Defender XDR的威胁情报边栏选项卡中可用，你可以轻松搜索、查找和背景化网络威胁，同时引爆URL并即时查看结果，让你迅速理解恶意文件或URL的危害。而对于Defender XDR的客户，更可快速提交妥协指标（IoC），即刻查看结果，进一步提升安全防护的效能。漏洞配置文件则是Microsoft Threat Intelligence团队收集的漏洞情报的集中地，这些配置文件会在发现新信息时更新，包含描述、CVSS评分、优先级得分、漏洞利用和深层及暗网聊天观察等内容，为你提供全面、及时且深入的安全参考。

通过使用Microsoft Purview，你可以在结构化和非结构化数据类型中扩展数据保护功能。获得对整个数据资产的全面可见性，确保结构化和非结构化数据的安全，并跨云环境检测风险。它的标签和分类功能超越了Microsoft 365的范畴，为结构化和非结构化数据类型提供了访问控制。用户不仅能够发现、分类，还能保护存储在诸如Microsoft Azure SQL和Azure Data Lake Storage（ADLS）等结构化数据库中的敏感信息。这些功能甚至还进一步覆盖了Amazon Simple Storage Service（S3）存储桶。

为了检测内部风险，你可以借助Microsoft Purview Insider Risk Management的力量。它为你提供了一套现成的风险指标，用于识别Azure、AWS以及Box、Dropbox、Google Drive和GitHub等SaaS应用中的重大内部风险。管理员无需再手动交叉引用这些环境中的信号，即可获得对潜在内部事件的更全面了解。

Microsoft Entra使访问安全得以简化。在使用多个提供商进行身份管理、网络安全和云安全时，确保访问点的安全性不仅至关重要，而且可能变得错综复杂。Microsoft Entra让你能够将所有的访问控制集中在一起，更全面有效地保护你的环境。此外，微软的安全服务边缘解决方案持续扩展，带来了诸多新颖的特性：