介绍 Microsoft 安全 Copilot 术语

  • 3 分钟

在本单元中,我们将介绍一些基本术语。

术语

以下术语有助于了解 Microsoft Security Copilot 的工作方式:

  • 会话 - Copilot 中的特定对话。 Copilot 将在会话中维护上下文。
  • 提示 - 会话中的具体陈述或问题。 用户在提示栏中输入提示。
  • 功能 - Copilot 用于解决部分问题的功能。 有时,某个功能可能称为技能。
  • 插件 - 特定资源的功能集合。
  • 工作区 - Copilot 工作区是运行 Copilot 实例的租户中的单独 Copilot 工作环境。
  • 代理 - Microsoft 安全性 Copilot 代理是 AI 支持的工具,能够自主管理安全性和信息技术任务,增强威胁响应,减少手动工作量,并大幅提升网络安全运营的效率。
  • 业务流程协调程序 - Copilot 用于将各项功能组合在一起来回答用户提示的系统。

提示栏和会话

提示栏位于 Security Copilot 的中心。 可使用提示栏告知 Copilot 你想要从安全数据中获得的见解,这称为提示。 换句话说,提示是你在提示栏中提供的基于文本的自然语言输入,用于指示 Copilot 生成响应。 虽然你使用自然语言与 Copilot 交互,但在你提供的提示中详细描述(具体问题或陈述)特别有用。 对于那些新手安全分析师角色和刚刚接触 AI 的人来说,有效的提示可能需要一些练习。 为此,Copilot 提供了提示手册,其中提供了一系列预选的提示和提示建议(后续模块中会对此内容进行详细介绍)。

Microsoft 安全 Copilot 提示栏的屏幕截图。

当你提出请求且 Copilot 做出响应后,你可能会提出一些后续请求。 我们将整个对话称为“会话”。 Copilot 将在会话中维护上下文。

插件和功能

在上一单元中,我们提到 Copilot 通过插件与各种来源集成,包括 Microsoft 自有的安全产品(例如 Microsoft Sentinel、Microsoft Defender XDR 和 Microsoft Intune)、非 Microsoft 解决方案和开源情报源。 插件针对任何特定数据源启用的集成为 Copilot 提供了一系列功能。 每种功能就像软件中的一个功能,它旨在执行数据源范围内的专用任务。 例如,Microsoft Defender XDR 的插件包括一组单独的功能,仅供 Microsoft Defender XDR 使用。 其中包括:

  • 汇总事件的能力。
  • 支持事件响应团队通过引导式响应(一组基于特定事件的建议操作)解决事件。
  • 分析脚本和代码的能力。
  • 根据自然语言输入生成 KQL 查询的能力。
  • 生成事件报告的能力。

Microsoft Sentinel 的插件可能具有类似的功能,但它们仅在 Microsoft Sentinel 的范围内运行。

Copilot 目前支持 Microsoft 服务和非 Microsoft 服务的插件,包括可以启用的网站和自定义插件。

插件窗口的屏幕截图,其中显示了Microsoft插件,包括Microsoft Entra、Intune、Microsoft Defender XDR 等。

插件窗口的屏幕截图,其中显示了非Microsoft插件,包括 ServiceNow、Splunk、公共 Web 和自定义插件。

某些插件需要设置和配置,如“设置”按钮或齿轮图标所描述。 对于 Microsoft 插件,在需要指定资源特定信息的情况下可能需要设置。 对于非 Microsoft 源,可能需要设置以进行帐户身份验证。

工作区

Copilot 工作区是运行 Copilot 实例的租户中的单独 Copilot 工作环境。

为了帮助你更好地了解工作区的概念,我们将使用具有多个房间的房屋类比。 每个房间都配置为针对其功能以及将使用该房间的人员进行优化。 当有人进入房子时,他们可能有权访问一些房间,但无法访问其他房间。

插图显示了一个房子,它就像一个租户,而房子里的房间就像 Security Copilot 中的工作区。

你可以想一想适用于这种类比的 Copilot 工作区。 Copilot 工作区类似于房子里的一个房间。 还可以将房子视为类似于租户。 与房子有多个房间一样,Copilot 所在的租户可以有多个工作区。

“管理工作区”页面列出的可用工作区的屏幕截图。

通过 Security Copilot 中的租户切换功能,用户可以选择要在其中工作的租户。 在我们的类比中,这是一个 Copilot 用户在访问房子。 选择租户后,Copilot 用户可以在该工作区中有权访问的任何工作区(房间)中访问和工作。

工作区由容量提供支持,每个工作区必须有自己的容量。

使用工作区,可以根据团队需求和预算有效地映射和监视成本,确保团队具有所需的容量,并有效地分配资源。 使用工作区还可以根据特定于地理位置的法规存储会话数据,并遵守本地数据保护法。 这些只是使用工作区的一些好处。

有关详细信息,请参阅本模块的“摘要和资源”部分链接的“描述工作区”。

代理

Microsoft Security Copilot 智能体是内置于 Microsoft Security Copilot 中的 AI 支持的高级助手。 这些代理不仅能回答问题,还可以自主管理大量安全性和 IT 任务。 它们与Microsoft的安全工具深度集成,还可以使用合作伙伴解决方案。 每个代理专为特定的安全方案定制,例如威胁防护、标识管理或数据安全。

这些代理旨在从反馈中吸取教训,适应组织的工作流,并在Microsoft的零信任框架内安全运行。 有关 Microsoft Security Copilot 代理的更多信息,请参阅总结和资源部分中的链接。

Microsoft Security Copilot 中智能体页面的屏幕截图。

业务流程协调程序

业务流程协调程序是 Copilot 用于将各项功能组合在一起以回答用户提示的系统。 下一个单元将更详细地介绍此功能,该单元还将介绍 Copilot 如何处理提示请求。