一般信息
什么是 Microsoft 安全 Copilot?
智能 Microsoft Security Copilot 副驾驶®是一种基于 AI 的生成助手,用于安全和 IT。 它使用全球威胁情报、行业最佳做法以及来自Microsoft和合作伙伴工具的组织数据提供量身定制的见解和建议。 Teams 还可以使用自治Security Copilot代理自动执行工作流、加速响应、确定风险优先级并减少手动工作负载 , 同时保持牢牢控制。
Security Copilot为客户解锁的用例和功能有哪些?
Security Copilot侧重于使以下用例易于完成。
- 调查和修正安全威胁
- 生成 KQL 查询和分析可疑脚本
- 了解风险和管理组织的安全态势
- 更快地排查 IT 问题
- 定义和管理安全策略
- 配置安全生命周期工作流
- 为利益干系人开发报表
- 使用自治代理自动执行任务
访问Security Copilot采用中心,深入了解Security Copilot如何使 CSO、威胁情报分析师、IT 管理员、数据安全管理员等角色受益。
智能 Microsoft Security Copilot 副驾驶®是否与其他Microsoft产品一起使用?
是。 Security Copilot与其他Microsoft安全产品集成并嵌入其中。 这些产品包括但不限于:
- Azure 防火墙
- Microsoft Defender攻击面管理
- Microsoft Defender for Cloud
- Microsoft Defender 威胁智能
- Microsoft Defender XDR
- Microsoft Intune
- Microsoft Purview,
- Microsoft Sentinel
Security Copilot可以访问这些产品中的数据,并提供 genAI 帮助和代理自动化,以提高使用这些解决方案的安全专业人员的有效性和效率。
Security Copilot是否包括对 Microsoft Defender 威胁智能 (Defender TI) 的访问权限?
是的*。 出现提示时,Security Copilot有关 Microsoft Defender 威胁智能 (Defender TI 中所有内容和数据的原因,) 返回有关活动组、工具和漏洞的关键上下文。 客户还具有租户级 Defender TI 高级工作台访问权限,使他们能够访问 Defender TI 的完整智能范围(Intel 配置文件、威胁分析、Internet 数据集等),以更深入地了解Security Copilot中显示的内容。
*此访问不包括 Defender TI API,该 API 仍单独获得许可。
谁是Security Copilot的预期用户?
SOC 分析师、合规性分析师、IT 管理员、数据安全管理员、标识管理员和 CSO 是Security Copilot的一些预期用户。 访问Security Copilot采用中心,了解关键方案。
支持哪些语言?
Security Copilot支持多种语言。 该模型提供 8 种语言*,用户体验以 25 种语言提供。**
*模型:英语、德语、日语、西班牙语、法语、意大利语、葡萄牙语和中文
**UX:以上语言加上用户体验中的韩语、荷兰语、瑞典语、波兰语、挪威语、土耳其语、丹麦语、芬兰语等。
有关详细信息,请参阅 支持的语言。
Security Copilot和一般 LLM 之间的区别是什么?
通用 LLM 缺乏关键优势,例如:
- 使用结构化日志数据进行实时信号处理,以便在威胁发生时(而不是事后)检测和分析威胁。
- 调查推理,用于跟踪事件的来源和影响。 AI 需要像人类分析师一样跨多个数据点进行透视,并在新信息出现时调整结论。
- 具有证据的精确性,可确保 AI 准确并得到可靠数据的支持。
- 持久数据收集,用于维护连续、全面的视图。
如果没有这些功能和对特定安全环境的深入了解,泛型模型根本无法提供所需的分析深度。
Microsoft具有独特的优势,可以应对在安全性中使用 AI 的挑战 - 我们的解决方案基于可用的最高级模型构建,并基于:
- 超大规模基础结构,提供实时处理大量数据所需的可伸缩性和基础结构。
- 一个特定于安全的业务流程协调程序,可跨工具和团队简化、上下文化和协调响应。
- 通过插件无缝集成、连接现有系统并扩展解决方案可以执行的作。
- 由 84 万亿个每日信号提供常青威胁情报,在整个威胁环境中提供无与伦比的可见性。
- 内置的网络技能培训和提示手册,为团队提供所需的知识和资源。
通过构建所有这些组件,我们提供了一个 AI 安全解决方案,可了解你的安全环境,以自然语言提供见解,并安全地处理敏感数据。
购买和计费信息
是否有任何购买先决条件?
Azure 订阅和Microsoft Entra ID (以前称为 Azure Active Directory) 是使用 Security Copilot 的先决条件;没有其他产品先决条件。 有关详细信息,请参阅Security Copilot入门。
部署Microsoft Entra ID (以前称为 Azure Active Directory) Security Copilot的要求?
是。 Security Copilot是一个 SaaS 应用程序,需要Microsoft Entra ID对有权访问的用户进行身份验证。
Security Copilot如何定价?
Security Copilot的定价基于安全计算单元 (SCU) 。
- 预配的 SCU 支持常规工作负载,并按月计费。
- 超额 SCU 提供灵活的按需容量,并且仅在使用时计费。
使用产品内仪表板监视 SCU 使用情况并根据需要调整容量。
有关详细信息,请参阅 智能 Microsoft Security Copilot 副驾驶® - 定价
Security Copilot是否支持租户或订阅转移?
否,目前Security Copilot不支持跨Microsoft Entra租户或订阅转移Security Copilot资源。
是否可以在租户的Security Copilot工作区之间共享 SCU?
SCU(无论是预配的还是超额的)不能在工作区之间共享。 例如,如果组织已预配工作区 A (1、预配了 3 个超额) 和工作区 B (2 预配了 5 个超额) ,则工作区 A 无法使用工作区 B 的 SCU 来防止限制(如果工作区 B 的 SCU 已用尽其自己的总共 4 个 SCU)。 同样,如果工作区 B 耗尽了自己的 SCU,则工作区 B 无法使用工作区 A 的 SCU 容量。
如何估算Security Copilot的 SCU 预配和预算?
估算 SCU 需求和预算取决于组织如何在Microsoft安全产品中使用生成 AI。 使用 SCU 容量计算器根据跨Microsoft Defender、Microsoft Intune、Microsoft Purview、Microsoft Entra和Security Copilot独立体验的用户和工作负荷数获取起点。 由于每个提示和工作流的复杂性各不相同,因此 SCU 消耗不会固定。 从小规模开始,试验并根据实际使用情况进行优化。 使用产品内仪表板实时跟踪使用情况,这有助于监视 SCU 消耗并根据需要调整容量。
如何实现解释 SCU 容量计算器上的结果?
结果显示每小时最大预期 SCU 数,具体取决于每个体验的每月用户数以及通过逻辑应用和 Promptbook 实现自动化。 除了每小时的最大 SCU 外,计算器还显示预配和超额 SCU 的所有可能组合,以及相应的每月成本范围。 每月最高成本是根据连续的 24/7 容量使用情况计算的。
例如,如果 SCU 容量计算器未满足我的需求, (我有超过 50 个Intune用户) ,该怎么办。
请随时 联系我们 或联系Microsoft客户经理了解详细信息。
工作区中 SCU 的最低预配要求是什么?
若要使用智能 Microsoft Security Copilot 副驾驶®,每个租户必须至少预配一个 SCU。 预配的 SCU 允许访问至少一个工作区。
- 需要预配的 SCU 才能激活容量,并按小时计费。
- 超额 SCU 可以设置为 0 到 999,并且仅在使用时计费。
技术和产品信息
哪些合作伙伴工具与Security Copilot集成?
智能 Microsoft Security Copilot 副驾驶®支持许多插件,包括Microsoft插件和非Microsoft插件。 有关详细信息,请参阅 插件。
注意
需要单独购买与Security Copilot集成的产品。
Security Copilot是否针对 IoT/OT 方案提出建议?
否,Security Copilot目前不支持 IoT/OT。
Security Copilot是否提供仪表板?
Security Copilot提供产品内使用情况仪表板客户可在其中深入了解其 SCU 使用情况。
是否可以Security Copilot执行工作流 - 从会审到使用固定消息,到控制客户应如何标记事件以及是否应关闭事件?
Security Copilot提供了即用型工作流的 Promptbook,可用作自动执行重复步骤(例如,有关事件响应或调查)的模板。 此外,Security Copilot中还有一些连接器是 API 的包装器,开发人员和用户可通过调用 智能 Microsoft Security Copilot 副驾驶® 平台来执行专用任务。 例如,逻辑应用连接器允许从 Azure 逻辑应用工作流调用 Copilot。 同样,Copilot Studio连接器使你能够访问Security Copilot来执行“提交Security Copilot提示”或“提取Security Copilot提示状态”等作。
Security Copilot有哪些基于角色的访问控制或委派功能? 用户权限保留Security Copilot如何与其他解决方案中的用户权限配置保持一致?
Copilot 使用代理身份验证通过活动Microsoft插件访问与安全相关的数据。 必须分配特定的Security Copilot角色,以便组或个人访问Security Copilot平台。 有关详细信息,请参阅了解身份验证。
Security Copilot如何处理“令牌限制”?
大型语言模型 (LLM) 包括 GPT,它们一次可以处理的信息量有限制。 此限制称为“令牌限制”,每个令牌大致关联到 1.2 个单词。 Security Copilot使用 Azure OpenAI 中的最新 GPT 模型来确保我们可以在单个会话中处理尽可能多的信息。 在某些情况下,大型提示、长会话或详细插件输出可能会溢出令牌空间。 发生此情况时,Security Copilot尝试应用缓解措施以确保输出始终可用,即使该输出中的内容不是最佳的。 这些缓解措施并不总是有效的,可能需要停止处理请求,并指示用户尝试其他提示或插件。
什么是Security Copilot代理?
智能 Microsoft Security Copilot 副驾驶®代理通过自主和自适应自动化增强安全性和 IT 运营。 代理与 Microsoft 安全解决方案和第三方合作伙伴生态系统无缝集成,以处理大量安全任务。 这些代理专为安全性而构建,从反馈中吸取教训,适应团队完全掌握的组织工作流,并在Microsoft的零信任框架内安全运行 ,从而加快响应速度、确定风险优先级并提高效率。 通过减少手动工作负载,它们可以提高运营效率,并增强组织的整体安全态势。
访问采用中心,详细了解Security Copilot代理。
Security Copilot代理使用哪些计算资源?
代理利用 SCU 来像Security Copilot中的其他功能一样运行。 它们与Microsoft安全解决方案和更广泛的受支持合作伙伴生态系统无缝集成。
在哪里可以找到Security Copilot代理?
可以从独立体验和嵌入式体验中轻松发现智能 Microsoft Security Copilot 副驾驶®代理。
对于独立体验,可以从横幅中选择“转到代理”。 还可以从主菜单导航到代理库。 在嵌入式体验中,你将在门户中看到代理并浏览其功能。
访问 采用中心 了解详细信息。
Security Copilot中的连接器是什么?
Security Copilot 中的连接器是 API 的包装器,开发人员和用户可调用 智能 Microsoft Security Copilot 副驾驶® 平台来执行专用任务。 目前支持逻辑应用和Copilot Studio连接器。 有关详细信息,请参阅 连接器。
Copilot Studio连接器如何工作?
Copilot Studio连接器允许在创建自动化工作流时访问Security Copilot。 使用 Security Copilot 连接器,可以:
- 提交Security Copilot提示 - 提交自然语言提示以创建新的Security Copilot调查。 完成后,评估结果将返回到工作流。
- 提取Security Copilot提示状态 - 提交自然语言提示以拉取Security Copilot评估的状态。 完成后,评估结果将返回到工作流。
逻辑应用连接器的工作原理是什么?
智能 Microsoft Security Copilot 副驾驶®逻辑应用连接器允许从 Azure 逻辑应用工作流调用 Copilot。 连接器公开两个连接器作:
- 提交Security Copilot提示 - 提交自然语言提示以创建新的Security Copilot调查。 完成后,评估结果将返回到工作流。
- 提交Security Copilot提示簿 - 给定提示簿后,调用新的Security Copilot promptbook 评估并将输出返回到 Azure 逻辑应用工作流。
什么是Security Copilot工作区?
在Security Copilot的上下文中,工作区可帮助团队管理资源、优化工作流并保持与组织策略的合规性。 还可以根据团队和组的特定需求对其进行配置,包括指定访问权限、分配容量、配置特定插件、部署代理以及添加提示手册,以便根据每个团队或组的独特要求定制体验。
工作区提供了一种灵活的环境细分方式,使访问和容量与组织需求、法律结构或合规性要求保持一致变得更加容易。 有关详细信息,请参阅 工作区概述。
数据和隐私信息
客户数据是否用于训练 Azure OpenAI 服务基础模型?
否,客户数据不用于训练 Azure OpenAI 服务基础模型,我们的产品条款中记录了此承诺。 有关Security Copilot上下文中的数据共享的详细信息,请参阅隐私和数据安全。
欧盟市场的 GDPR 指南是什么?
Microsoft遵守适用于其提供产品和服务的所有法律和法规,包括Microsoft DPA) 中定义的安全漏洞通知法和数据保护要求 (。 但是,Microsoft不负责遵守适用于客户或客户行业的任何法律或法规,这些法律或法规通常不适用于信息技术服务提供商。 Microsoft不会确定客户的数据是否包含受任何特定法律或法规约束的信息。 有关详细信息,请参阅 Microsoft产品和服务数据保护附录 (DPA) 。
美国政府云 (GCC) 客户是否符合条件?
目前,Security Copilot不适用于使用美国政府云的客户,包括但不限于 GCC、GCC High、DoD 和 Microsoft Azure 政府。 有关详细信息,请参阅与Microsoft代表联系。
美国和加拿大医疗保健客户是否符合条件?
美国和加拿大 HLS 客户有资格购买Security Copilot。 智能 Microsoft Security Copilot 副驾驶®现已列入商业伙伴协议 (“BAA”) ,这对受 HIPAA 法规约束的医疗保健提供商很重要。 有关智能 Microsoft Security Copilot 副驾驶®当前涵盖的合规性产品/服务的其他信息,请参阅服务信任门户。
如何实现Security Copilot导出或删除数据?
你需要联系支持人员。 有关详细信息,请参阅 联系支持人员。
在哪里可以找到有关数据保护和隐私的详细信息?
可以在 Microsoft信任中心了解详细信息。
Azure OpenAI 服务行为准则包括“负责任的 AI 缓解要求”。 这些要求如何适用于Security Copilot客户?
这些要求不适用于Security Copilot客户,因为Security Copilot实施这些缓解措施。
为什么Microsoft Copilot将数据传输到Microsoft租户?
Microsoft Copilot是在 Azure 生产租户中运行的 SaaS (软件即服务) 产品/服务。 用户输入提示,Security Copilot根据来自其他产品(如Microsoft Defender XDR、Microsoft Sentinel和Microsoft Intune)的见解提供响应。 Security Copilot存储用户的过去的提示和响应。 用户可以使用产品内体验来访问提示和响应。 来自客户的数据在逻辑上与其他客户的数据隔离。 此数据不会离开 Azure 生产租户,在客户要求将其删除或从产品下架之前存储。
传输的数据在传输过程中和静态时如何受到保护?
如 Microsoft产品和服务数据保护附录中所述,传输中的数据和静态数据均经过加密。
如何保护传输的数据免受未经授权的访问?针对此方案进行了哪些测试?
默认情况下,没有人类用户有权访问数据库,网络访问权限仅限于部署Microsoft Copilot应用程序的专用网络。 如果人员需要访问以响应事件,则待命工程师需要经过授权Microsoft员工批准的提升访问权限和网络访问权限。
除了常规功能测试外,Microsoft还完成了渗透测试。 智能 Microsoft Security Copilot 副驾驶®符合所有Microsoft隐私、安全性和合规性要求。
删除单个会话时,在“我的会话”中,会话数据会发生什么情况?
会话数据存储在运行时, (以) 作服务,也存储在日志中。 在运行时数据库中,通过产品内 UX 删除会话时,与该会话关联的所有数据都标记为已删除, (TTL) 生存时间设置为 30 天。 TTL 过期后,查询无法访问该数据。 后台进程在该时间之后以物理方式删除数据。 除了“实时”运行时数据库外,还有定期数据库备份。 备份将过期 - 这些备份的短期保留期 (当前设置为) 四天。
通过产品内 UX 删除会话时,包含会话数据的日志不受影响。 这些日志的保留期最长为 90 天。
哪些产品条款适用于Security Copilot? Security Copilot Microsoft产品条款所指的“Microsoft生成 AI 服务”吗?
以下产品条款适用于Security Copilot客户:
产品条款中的联机服务的通用许可条款,其中包括 Microsoft生成 AI 服务 条款和客户版权承诺。
Microsoft产品条款中的隐私 & 安全条款,其中包括数据保护附录。
Security Copilot是产品条款定义的生成 AI 服务。 此外,出于客户版权承诺的目的,Security Copilot是“涵盖的产品”。 目前,在产品条款中,没有特定于产品Security Copilot的术语。
除了产品条款之外,客户的 MBSA/EA 和 MCA 协议(例如)管理双方的关系。 如果客户对其与Microsoft的协议有具体疑问,请与支持交易的 CE、交易经理或本地 CELA 联系。
什么是Microsoft Copilot 版权承诺?
Microsoft客户版权承诺是一项新承诺,将Microsoft现有的知识产权赔偿支持扩展到某些商业 Copilot 服务。 客户版权承诺适用于Security Copilot。 如果第三方起诉商业客户使用Microsoft的 Copilots 或其生成的输出侵犯版权,Microsoft将为客户辩护,并支付诉讼导致的任何不利判决或和解金额,前提是客户使用了我们产品内置的防护栏和内容筛选器。
Security Copilot客户是否可以选择退出 Azure OpenAI 服务滥用监视? Security Copilot是否参与任何内容筛选或滥用监视?
Azure OpenAI 滥用监视目前在服务范围内对所有客户禁用。
Security Copilot是否做出数据处理或数据驻留承诺的任何位置?
有关客户数据存储位置和处理的详细信息,请参阅 隐私和数据安全。
Security Copilot Microsoft欧盟数据边界服务吗?
在正式发布时,所有Microsoft安全服务都不符合欧盟数据驻留要求的范围,Security Copilot不会列为 EUDB 服务。
欧盟客户数据存储在哪里?
Security Copilot将客户数据和个人数据(例如用户提示和Microsoft Entra对象 ID)存储在租户 Geo 中。 如果客户在欧盟预配其租户,但未选择加入数据共享,则所有客户数据和假名化个人数据将静态存储在欧盟内。 客户数据和个人数据提示的处理可以在指定的安全 GPU 地理位置进行。 有关安全 GPU 地理位置选择的详细信息,请参阅Security Copilot入门。 如果客户选择加入数据共享,则可以将提示存储在欧盟数据边界之外。 有关数据共享的详细信息,请参阅 隐私和数据安全。
客户提示 ((例如来自客户的输入内容) 在 DPA 和产品条款范围内是否被视为客户数据?
是的,客户提示被视为客户数据。 根据产品条款,客户提示被视为输入。 输入定义为“客户提供、指定、选择或输入的所有客户数据,供生成人工智能技术用来生成或自定义输出”。
“输出内容”是否被视为 DPA 和产品条款中的客户数据?
是的,输出内容是产品条款下的客户数据。
是否有Security Copilot的透明度说明或透明度文档?
是的,可在此处找到负责任 AI 透明度文档: 负责任 AI 常见问题解答。
智能 Microsoft Security Copilot 副驾驶®的合规性产品/服务是什么?
智能 Microsoft Security Copilot 副驾驶®致力于维护安全性、隐私和卓越运营的最高标准,其广泛的行业认证证明了这一点。 其中包括用于信息安全管理的 ISO 27001、用于保护云中个人数据的 ISO 27018、用于云特定安全控制的 ISO 27017 和用于隐私信息管理的 ISO 27701。
此外,Security Copilot在 IT 服务管理中持有 ISO 20000-1、质量管理中的 ISO 9001 和业务连续性管理的 ISO 22301 认证。 它还符合 SOC2 安全性、可用性和机密性要求,强调我们致力于提供安全可靠的服务。 对于医疗保健相关服务,Security Copilot在 HiTrust CSF 框架下获得认证,进一步增强了其安全性和合规性立场,并受 BAA) (HIPAA 业务伙伴协议的涵盖,确保遵守医疗保健法规并保护敏感健康信息。
有关智能 Microsoft Security Copilot 副驾驶®当前涵盖的合规性产品的详细信息,请参阅服务信任门户。
合作伙伴信息
合作伙伴有哪些用例?
合作伙伴可以围绕Security Copilot方案提供信号或构建补充解决方案。
如果客户 (MSSP) 与托管安全服务提供商合作,则 MSSP 是否可以代表客户使用和管理Security Copilot?
是的,如果客户选择提供访问权限,为客户提供 SOC 服务的 MSSP 可以访问客户的Security Copilot环境。 可用选项包括:
- Azure Lighthouse
- B2B 协作/来宾帐户
- GDAP) (精细委派管理员特权
目前没有适用于 MSSP 的 CSP 或经销商多租户模型。 每个客户负责购买自己的 SCU,并在客户租户中访问时设置具有所需访问权限的 MSSP。 如果向客户的Microsoft Sentinel工作区提供了 Azure Lighthouse 委派访问权限,则合作伙伴可以使用其合作伙伴容量计划 SCU 针对客户的Microsoft Sentinel工作区数据执行提示。
如果 MSSP 使用 Azure Lighthouse 跨客户的租户发出提示,MSSP 会使用自己的 SCU 还是客户的 SCU?
Azure Lighthouse 允许合作伙伴获取客户的Microsoft Sentinel工作区和其他受支持的 Azure 资源的Security Copilot权限。 ) 使用的容量计划 (SCU 是合作伙伴租户的容量计划。
MSSP 是否可以使用单个Security Copilot实例来管理多个租户?
在通过 Azure Lighthouse 向合作伙伴提供委派访问权限时,支持从合作伙伴租户对单个客户的Microsoft Sentinel工作区调用基于Sentinel的技能。 合作伙伴租户将利用其 SCU 针对客户的租户执行Security Copilot调用的Microsoft Sentinel技能,而无需为Security Copilot预配客户租户或拥有自己的 SCU。
目前是否有第三方集成可用?
智能 Microsoft Security Copilot 副驾驶®支持许多插件,包括Microsoft插件和非Microsoft插件。 有关详细信息,请参阅 非Microsoft插件概述。 此外,Security Copilot中提供了来自合作伙伴的代理。 有关详细信息,请参阅 合作伙伴代理。
注意
需要单独购买与Security Copilot集成的产品。
是否有插件或服务的市场?
没有插件市场。 ISV 可以将其解决方案发布到 GitHub。 所有合作伙伴都必须将其解决方案或托管服务发布到Microsoft商业市场。 有关发布到市场的详细信息,请参阅:
将解决方案发布到Microsoft商业市场:
MSSP 特定:必须在 Microsoft AI Cloud Partner Program 中具有安全标识。
特定于 SaaS:
如果 MSSP 不使用Microsoft Defender XDR或Microsoft Sentinel,该怎么办?
智能 Microsoft Security Copilot 副驾驶®没有任何特定的Microsoft安全产品要求进行预配或使用,因为该解决方案基于聚合来自Microsoft和第三方服务的数据源。 话虽如此,将Microsoft Defender XDR和Microsoft Sentinel启用为支持插件来扩充调查,这具有重要的价值。 Security Copilot仅使用技能和从已启用的插件访问数据。
是否需要在 Azure 上托管 MSSP SOC 解决方案?
建议解决方案托管在 Azure 上,但不是必需的。
是否有可与合作伙伴共享的产品路线图?
目前不能。