Beschreibung der Microsoft Security Copilot-Terminologie

  • 3 Minuten

In dieser Lerneinheit stellen wir Ihnen die grundlegende Terminologie vor.

Terminologie

Die folgenden Begriffe sind wichtig, um zu verstehen, wie Microsoft Security Copilot funktioniert:

  • Sitzung: eine bestimmte Unterhaltung in Copilot. Copilot berücksichtigt den Kontext innerhalb einer Sitzung.
  • Prompt: eine bestimmte Aussage oder Frage innerhalb einer Sitzung. Ein Benutzer gibt eine Eingabeaufforderung in die Eingabeaufforderungsleiste ein.
  • Fähigkeit: eine Funktion, die Copilot verwendet, um einen Teil eines Problems zu lösen. Eine Funktion kann manchmal als Skill bezeichnet werden.
  • Plug-In: eine Sammlung von Fähigkeiten durch eine bestimmte Ressource.
  • Arbeitsbereich – Copilot-Arbeitsbereiche sind separate Copilot-Arbeitsumgebungen innerhalb des Mandanten, in dem Ihre Copilot-Instanz ausgeführt wird.
  • Agents – Microsoft Security Copilot Agents sind KI-basierte Tools, die Sicherheits- und IT-Aufgaben autonom verwalten, die Reaktion auf Bedrohungen verbessern, manuelle Arbeitslasten reduzieren und die Effizienz für cybersicherheitsübergreifende Vorgänge im Großen und Ganzen verbessern.
  • Orchestrator: das System von Copilot zum Zusammenstellen von Fähigkeiten, um den Prompt einer Benutzerin oder eines Benutzers zu beantworten.

Prompt-Leiste und Sitzungen

Im Zentrum von Security Copilot befindet sich die Prompt-Leiste. Sie verwenden die Eingabeaufforderungsleiste, um Copilot mitzuteilen, welche Erkenntnisse Sie aus Ihren Sicherheitsdaten gewinnen möchten. Dies wird als Eingabeaufforderung bezeichnet. Mit anderen Worten: Die Eingabeaufforderung ist die textbasierte Eingabe natürlicher Sprache, die Sie in der Eingabeaufforderungsleiste angeben und die Copilot anweist, eine Antwort zu generieren. Obwohl Sie mit Copilot in natürlicher Sprache interagieren, ist es hilfreich, spezifische Eingabeaufforderungen (bestimmte Fragen oder Anweisungen) bereitzustellen. Für diejenigen, die relativ neu in der Rolle des Sicherheitsanalysten sind und sich mit KI beschäftigen, kann eine effektive Eingabeaufforderung einige Übung erfordern. Deshalb bietet Copilot Promptbooks, die eine Reihe von vorab gewählten Eingabeaufforderungen und Vorschlägen für Eingabeaufforderungen enthalten (weitere Details hierzu in einem späteren Modul).

Ein Screenshot der Microsoft Security Copilot-Prompt-Leiste.

Nachdem Copilot auf Ihre Anforderungen geantwortet hat, haben Sie möglicherweise einige Anschlussfragen. Die Gesamtheit dieses Dialogs wird als Sitzung bezeichnet. Copilot berücksichtigt den Kontext innerhalb einer Sitzung.

Plug-Ins und Fähigkeiten

In der vorherigen Lerneinheit haben wir erwähnt, dass Copilot über Plug-Ins in verschiedene Quellen integriert werden kann, einschließlich der eigenen Sicherheitsprodukte von Microsoft wie Microsoft Sentinel, Microsoft Defender XDR und Microsoft Intune sowie Nicht-Microsoft-Lösungen und Open-Source-Intelligence-Feeds. Die Integration, die das Plug-In für eine bestimmte Datenquelle ermöglicht, versorgt Copilot mit einer Sammlung von Fähigkeiten. Jede Fähigkeit ist wie eine Funktion in der Software: Sie ist darauf ausgelegt, eine spezielle Aufgabe innerhalb des Bereichs der Datenquelle zu erledigen. Das Plug-In für Microsoft Defender XDR enthält beispielsweise eine Sammlung einzelner Fähigkeiten, die nur von Microsoft Defender XDR verwendet werden. Dazu gehören:

  • Die Möglichkeit, einen Incident zusammenzufassen.
  • Unterstützung von Vorfallreaktionsteams bei der Lösung von Vorfällen durch geführte Antworten (eine Reihe empfohlener Maßnahmen, die auf dem jeweiligen Vorfall basieren).
  • Die Möglichkeit, Skripts und Code zu analysieren.
  • Die Möglichkeit, KQL-Abfragen aus Eingaben in natürlicher Sprache zu generieren.
  • Die Möglichkeit, Incidentberichte zu generieren.

Ein Plug-In für Microsoft Sentinel verfügt möglicherweise über ähnliche Fähigkeiten, aber sie werden nur im Rahmen von Microsoft Sentinel ausgeführt.

Copilot unterstützt derzeit Plug-Ins für Microsoft-Dienste und Nicht-Microsoft-Dienste, einschließlich Websites und benutzerdefinierter Plug-Ins, die aktiviert werden können.

Eine Bildschirmaufnahme des Plug-In-Fensters mit den Microsoft-Plug-Ins, einschließlich Microsoft Entra, Intune, Microsoft Defender XDR und mehr.

Eine Bildschirmaufnahme des Plug-In-Fensters mit den Nicht-Microsoft-Plug-Ins, einschließlich ServiceNow, Splunk, dem öffentlichen Web und benutzerdefinierten Plug-Ins.

Einige Plug-Ins erfordern Setup und Konfiguration, wie durch die Schaltfläche "Setup" oder das Zahnradsymbol dargestellt. Bei Microsoft-Plug-Ins kann eine Einrichtung erforderlich sein, wenn ressourcenspezifische Informationen angegeben werden müssen. Bei Nicht-Microsoft-Quellen kann eine Einrichtung für die Kontoauthentifizierung erforderlich sein.

Arbeitsbereiche

Copilot-Arbeitsbereiche sind separate Copilot-Arbeitsumgebungen innerhalb des Mandanten, in dem Ihre Copilot-Instanz ausgeführt wird.

Um Ihnen dabei zu helfen, das Konzept der Arbeitsbereiche besser zu verstehen, verwenden wir die Analogie des Hauses mit mehreren Räumen. Jeder Raum ist so konfiguriert, dass er für seine Funktion und die Personen optimiert wird, die diesen Raum verwenden. Wenn jemand in das Haus eintritt, hat er möglicherweise Zugang zu einigen Räumen, aber nicht zu anderen.

Abbildung eines Hauses, bei dem das ganze Haus wie ein Mandant und ein Zimmer darin wie ein Arbeitsbereich in Security Copilot ist.

Sie können sich Copilot Workspaces in diese Analogie hineinversetzt vorstellen. Ein Copilot-Arbeitsbereich ist analog zu einem Raum in einem Haus. Sie können sich auch das Haus als analog zu einem Mieter vorstellen. Auf die gleiche Weise wie ein Haus über mehrere Räume verfügt, kann der Mandant, in dem Copilot arbeitet, mehrere Arbeitsbereiche haben.

Screenshot der Seite

Über die Mandantenwechselfunktion in Security Copilot kann ein Benutzer auswählen, in welchem Mandanten er arbeitet. In unserer Analogie ist dies ein Copilot-Benutzer, der Zugang zum Haus erhält. Sobald der Mieter ausgewählt ist, kann ein Copilot-Benutzer im Rahmen seiner Rollenberechtigungen in jedem Arbeitsbereich (Raum im Haus) auf den er Zugriff hat, arbeiten.

Arbeitsbereiche werden durch Kapazitäten unterstützt, und jeder Arbeitsbereich muss über eine eigene Kapazität verfügen.

Mithilfe von Arbeitsbereichen können Sie Kosten basierend auf Teamanforderungen und Budgets effizient zuordnen und überwachen, um sicherzustellen, dass Teams über die benötigte Kapazität verfügen und Ressourcen effektiv zugeordnet werden. Wenn Sie Arbeitsbereiche haben, können Sie Sitzungsdaten auch nach geospezifischen Vorschriften speichern und lokale Datenschutzgesetze einhalten. Dies sind nur einige der Vorteile der Verwendung von Arbeitsbereichen.

Weitere Informationen finden Sie unter "Beschreiben von Arbeitsbereichen", die im Abschnitt "Zusammenfassung" und "Ressource" dieses Moduls verknüpft sind.

Agenten

Ein Microsoft Security Copilot-Agent ist ein fortschrittlicher, KI-basierter Assistent, der in Microsoft Security Copilot integriert ist. Diese Agents gehen über die Beantwortung von Fragen hinaus – sie können die hohen Sicherheits- und IT-Aufgaben autonom verwalten. Sie sind tief in die Sicherheitstools von Microsoft integriert und können auch mit Partnerlösungen arbeiten. Jeder Agent ist auf bestimmte Sicherheitsszenarien wie Bedrohungsschutz, Identitätsverwaltung oder Datensicherheit zugeschnitten.

Diese Agents sind darauf ausgelegt, von Feedback zu lernen, sich an die Workflows Ihrer Organisation anzupassen und sicher im Zero Trust-Framework von Microsoft zu arbeiten. Links zu weiteren Informationen zu Microsoft Security Copilot Agents finden Sie in der Zusammenfassungs- und Ressourceneinheit.

Eine Bildschirmaufnahme der Agents-Seite in Microsoft Security Copilot.

Orchestrator

Der Orchestrator ist das Copilot-System zum Kombinieren von Fähigkeiten, um Benutzerabfragen zu beantworten. Diese Funktion wird in der nachfolgenden Einheit ausführlicher dargestellt, die beschreibt, wie Copilot Prompts verarbeitet.