如今,各組織都在積極學習並探索生成式AI技術的潛力,以及它如何影響組織的安全性、員工效率及整個行業的動態。在這一浪潮中,AI技術迅速成為安全團隊的重要增效工具,為他們提供了前所未有的機會來提升生產力、節省時間、甚至提升員工的技能水平。
為了更好地應對AI技術帶來的挑戰,Microsoft Defender專家團隊一直在使用和探索Copilot for Security。他們發現,Copilot能夠以全新的方式簡化工作流程、提供即時資訊並最佳化日常任務,從而改善溝通解析度、數據分析能力,以及提升技能。
透過Microsoft Defender Experts for XDR,Microsoft Defender專家團隊成為我們客戶的安全營運中心(SOC)團隊的延伸。他們主動尋找使用Microsoft Defender數據的嚴重網路威脅,對事件進行初步評估、調查並揭示高級威脅,確定惡意活動的範圍和影響,然後代表客戶采取行動來糾正事件。 如今,有了Copilot for Security 的加持,Defender專家團隊擁有了一個強大的新工具,能夠在更短的時間內更準確地響應和處置各類安全事件。
專家們分享了Copilot for Security在威脅檢測、調查和管理應對的真實場景中如何發揮作用:微軟Defender專家合作夥伴集團經理賴安·基維特(Ryan Kivett)認為, Copilot能夠支持團隊成員的學習和職業成長 ;微軟Defender專家首席研究負責人布萊恩·胡珀(Brian Hooper)表示, Copilot能夠協助安全分析師減少最重要的日常任務,即嚴重威脅調查。
那麽,Copilot for Security 是如何提供幫助的呢?以下是四個方面的具體例子:
01
節省時間提高效率
快速響應事件
在一個安全事件持續進行的情況下,每一秒都至關重要。
Copilot for Security確保能夠在即時情境中實作可操作性。它將關鍵的指導和上下文交給你的安全團隊,使他們能夠在幾分鐘內迅速響應事件。微軟Defender團隊成員菲比·羅傑斯(Phoebe Rogers)分享了如何使用Copilot在每次指令碼分析中節省時間並提高效率,更深入地理解以及更具深刻事件洞察力。
同時,當安全分析師與客戶交流時,他們必須即時提供清晰、簡潔且全面的摘要,以便客戶深入了解情況。布萊恩·胡珀探討了 Copilot極大地提升了分析師的工作效率 , 使得他們能夠以比過去快90%的速率,來編寫關於這些事件的詳細步驟。
02
提升初級分析師技能
協助辨識惡意指令碼
例如勒索軟體等許多復雜且隱蔽的攻擊,會透過使用指令碼等多種手段逃避檢測。此外,這些指令碼容易被混淆,增加了檢測和分析的復雜性。對此,布萊恩·胡珀詳細展示了 Copilot中逐行指令碼檢查的功能,使安全分析師能夠快速評估和辨識指令碼的惡意性質。 這項功能不僅能夠協助初級安全分析師提升專業知識水平,更能讓分析師透過自然語言來執行各項任務。因此,即便在經驗不足或專業知識匱乏的情況下,借助Copilot的高效輸出,初級分析師也能迅速獲得準確結果,同時,這一過程還有助於他們培養關鍵技能,為未來的長期發展奠定堅實基礎。
「
對於我們的初級分析師而言,Copilot for Security就像是一位站在他們身邊的教練,引導他們完成角色學習的階段。對於高級分析師來說,它確實幫助他們超越原本可能的極限,釋放他們的潛力。
賴安·基維特,微軟Defender專家合作夥伴集團經理
03
獲取優質威脅情報
助力準確判斷
要了解組織的外部威脅,通常需要大量的時間和使用多種工具。通常情況下,分析師必須查詢多個儲存庫,以獲取評估可疑網域名稱、主機或IP地址所需的關鍵數據集。
DNS數據、WHOIS資訊、惡意軟體樣本以及SSL證書等關鍵資訊為威脅指標(IOCs)提供了至關重要的上下文,然而,這些儲存庫遍布各處,且各自擁有不同的數據結構,這極大地增加了分析師在收集、整合所有相關數據並進行及時評估的難度。
透過Microsoft Defender Threat Intelligence 和 Copilot獲取威脅情報數據與豐富的上下文資訊,安全分析師能夠更加準確地做出判斷,例如判斷某個IP地址是否具有惡意性。 菲比·羅傑斯利用Defender Threat Intelligence和Copilot,將使用者的登入內容與其身份驗證歷史記錄進行了對比分析,從而提供了有價值的資訊來簡化分析過程,並有效地確定是否存在潛在威脅。
一旦做出判斷,分析人員仍然可能需要花費時間和努力,將威脅情報總結並通報給受影響的一方。然而,Copilot可以極大地緩解這一負擔。菲比詳細闡述了Copilot如何高效解析公共漏洞和暴露(CVEs)的影響,並迅速整合相關資訊,如受影響的產品列表、已知利用這些漏洞的惡意行為者動態,以及針對這些威脅提出的有效緩解策略和建議,從而為分析人員提供有力的支持。
04
以AI技術速度和規模保護組織
有效應對威脅
在面對數據不完整、潛在威脅需調查、通報威脅或制定即時應對方案等情況時,安全分析師正切實體驗到Copilot為他們工作帶來的實際好處:Copilot能幫助分析師以機器的速度和規模保護組織。當然,生成式AI技術的能力不僅適用於安全團隊,潛在的威脅者同樣可能利用這一技術。因此, 安全團隊越早評估並利用生成式AI技術來增強和改進自身的安全策略,就越能在競爭激烈的網路安全環境中占據優勢。
布萊恩·胡珀對此持堅定態度,他極力推薦內部署Copilot: 「我鼓勵團隊嘗試不同的提示詞,自主總結事件、分析指令碼,並深入研究微軟關於攻擊的情報。隨著時間的推移,他們會自然而然地認識到Copilot在多種場景下,都能為他們提供有力支持。」
[1] 如想了解更多關於Microsoft Security解決方案的資訊,請檢視官方網站, .
