微软最新版本的Copilot for Security将于4月1日在全球上市，它使用生成式 AI 来提供安全事件摘要、分步修复指导和脚本逆向工程。

微软的Copilot for Security可以分析来自所有微软安全产品的数据，并提供自动解释和解决方法。它将从4月1日开始公开推出，距离首次宣布一年时间，也是其试用期后的第五个月。

Copilot for Security 嵌入到微软的整个安全产品中，例如，它在Defender中工作，类似于一个对话框，在其中生成解决方案和补救措施。除了通过供应商的安全产品组合提供解决方案外，Copilot for Security也可以提供其他软件供应商的解决方案。

根据试用期间的信息，微软发现了对用户最有利的四个领域，分别是事件总结、影响分析、脚本逆向工程和分步事件响应。Copilot for Security使用生成式AI提供事件摘要，将复杂的警报转化为清晰的可操作指引。它还使用人工智能驱动的分析能力来评估安全事件的潜在影响，提供对受影响系统和数据的判断，以确定响应工作的优先级。

Microsoft Copilot for Security分析复杂的命令行脚本，并将其翻译成自然语言，提供清晰的操作指引。它提取脚本中找到的指标并将其链接到用户环境中的每个实体。

Copilot for Security为事件响应提供可操作的逐步指导，包括分类、调查、遏制和补救的方向。Copilot可以自动生成操作指导，IT管理员根据指导进行安全处置。

这些功能的主要优势之一是它们可以帮助初级人员使用人类语言提问，并获得他们可以理解的回答。考虑到微软安全营销副总裁安德鲁•康威（Andrew Conway）所称的“大规模和长期的人才短缺”，这可能很有用。根据微软早期访问的使用数据，经验丰富的安全分析师在使用 Copilot 时速度快了 22%，在所有任务中的准确率提高了 7%。几乎所有（97%）的分析师表示，他们下次执行相同任务时还会使用 Copilot。

除了在全球范围内公开可用以及前面提到的通过其他供应商访问Microsoft Copilot for Security之外，一些新功能还包括创建自定义工作簿和编写插件的能力。“Copilot for Security的结构之一是，它不仅适用于Microsoft产品和数据，本质上，我们一直在直接与 ISV（独立软件供应商）合作，而且还与客户合作编写插件。任何数据源、环境中任何可以连接的产品，都可以让Copilot进行推理。”Conway告诉CSO。

Copilot for Security提供两种交互选项：一种是独立体验，适用于所有Microsoft Security产品，另一种是直接嵌入Defender。一旦上线，客户将能够利用Microsoft Defender威胁情报来发现威胁和攻击，并使用人类语言获得针对特定环境风险状况的建议。

微软Entra（以前的 Azure Active Directory）已向Copilot添加了身份认证功能，包括用户详细信息、组详细信息、登录日志、审计日志和诊断日志。在微软Purview中，Copilot 将帮助SOC团队在调查安全事件时识别可能存在风险的用户活动和敏感数据。Copilot将在微软Purview数据丢失防护和内部风险管理中提供告警信息。它还在微软Microsoft Purview Communication Compliance和Purview eDiscovery中提供通信的上下文信息。

Copilot for Security将采用即用即付模式，基于消费的灵活定价，非常类似于Azure。客户可以使用微软称之为“计算单元”的指标来衡量所需的容量，供应商建议以三个计算单元作为起点。如果容量不足，产品会通知用户并可以添加更多计算单元。如果使用量减少，用户可以取消不需要的计算单元。

* 本文为金东东编译，图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。