介绍 Microsoft Security Copilot 独立体验中提供的功能

  • 17 分钟

可以通过专用网站访问 Microsoft Security Copilot,即所谓的独立体验。 正是通过此独立体验,用户才能访问平台的登陆页面或门户。 为了确保用户可以访问 Copilot 的功能,他们需要具有适当的角色权限。 有关 Copilot 基于角色的访问控制的详细信息,请参阅了解 Microsoft Security Copilot 中的身份验证的“分配角色”部分。

Copilot 登陆页面(门户)上有一些关键地标,用户可以导航到这些位置。

  • 主菜单
  • 工作区
  • 尝试提示
  • 提示栏

屏幕截图:Microsoft Security Copilot 独立体验的登陆页面。

主菜单

选择 Copilot 登陆页面左上角的汉堡图标即可访问主菜单。

显示汉堡图标和选中时它打开的页面的屏幕截图。

在主菜单中,用户可以按如下所示导航:

  • Active Agents 是内置于 Microsoft Security Copilot 中的 AI 驱动助手,供你选择。 根据角色,可以设置它们或访问代理来运行它。 本页列出了Microsoft和非Microsoft代理,这些代理通过自动化日常任务并为团队集中精力处理战略计划和复杂的问题解决,为安全团队和 IT 运营提供显著优势。

    显示活动代理窗口的屏幕截图。

  • Promptbook,其中包括内置提示手册和自定义提示手册。 提供了有关每个提示手册的信息,包括说明、提示数、所有者等。 选择“开始”按钮将打开提示手册,以便开始使用它。 还可选择省略号来获取更多选项。

    列出提示手册库的屏幕截图。

  • 构建(预览版)将用户带到一个页面,在该页面上,你可以通过构建专为贵组织特定安全和运营需求定制的自定义代理来扩展安全 Copilot。 Security Copilot 使开发人员能够生成、测试和将代理发布到 Security Copilot。 有关 Microsoft Security Copilot 代理的其他信息,请参阅培训模块 描述 Microsoft Security Copilot 代理

    生成自己的代理窗口的屏幕截图,其中包括从头开始生成代理或上传 YAML 清单的选项。

  • 历史记录使用户能够访问其过去的会话。 用户可以查看单个会话、过去的会话或所有过去会话的列表,如下图所示。 当前会话将一直保留,直到手动删除。 当删除会话时,与该会话相关的所有数据都将被标记为已删除,并且生存时间 (TTL) 设置为 30 天。 TTL 过期后,查询将无法访问该数据。 当通过产品内 UX 删除会话时,包含会话数据的日志不受影响。 这些日志的保留期最长为 90 天。

    屏幕截图列出了用户过去的会话。

  • 特定于所有者的选项,用于配置为所有者的用户:

  • 插件设置。 所有者可配置以下内容:

    • 选择可以添加和管理自己的自定义插件的人员。 可用选项包括“参与者”和“所有者”,或“仅所有者”。
    • 选择可以为组织中的每个人添加和管理自定义插件的人员。 可用选项包括“参与者”和“所有者”,或“仅所有者”。
    • 确定组织中每个人可以使用哪些新插件和现有插件,这些插件仅限于所有者。
    • 允许 Microsoft Security Copilot 访问 Microsoft 365 服务中的数据。 如果选择不允许 Copilot 访问,用户将无法使用特定插件(如 Microsoft Purview)或连接 Microsoft 365 服务中存储的任何未来组织知识来源。

  • 角色分配,管理员可以在其中查看和管理 Copilot 所有者和 Copilot 参与者角色的现有角色分配情况。 这包括添加建议的角色组的选项。

  • 管理工作区,所有者可在其中创建新工作区、分配访问权限和权限来配置这些工作区,以及微调所有者角色和插件配置等设置。 后续单元更详细地介绍了工作区。

    列出可用工作区的管理工作区页的屏幕截图。

  • 使用情况监视提供一个仪表板,其中显示 Microsoft Security Copilot 工作负载在一段时间内对 SCU 的使用情况。 使用情况监视仪表板可查看所选工作区的单位数、会话期间使用的特定插件以及这些会话的发起方。 仪表板还允许应用筛选器和无缝导出使用情况数据。 仪表板包含最多 90 天的数据。 当分析人员正在进行调查,并且使用量接近预配的容量限制 (90%) 时,在输入提示时会向分析人员显示通知。 该通知提示分析人员联系所有者来增加容量或限制提示数以避免服务中断。 这些通知也显示在 Security Copilot 嵌入式体验中。

    超出预配的容量时,分析人员会看到一个错误消息,它指出由于组织中的使用量较高,他们无法提交额外的提示。 系统会要求分析人员联系所有者来调高预配的 SCU。

  • 安全商店已集成到 Microsoft Security Copilot 的独立产品体验中,这是 Microsoft Security 新推出的一款安全优化店面,使组织可以查找、试用、购买和部署由 Microsoft 和合作伙伴构建的安全解决方案和代理。 这些解决方案和代理程序直接与 Microsoft 安全产品(如 Microsoft Defender、Microsoft Sentinel、Microsoft Entra、Purview、Intune 和 Security Copilot)集成,提供统一的体验,简化了采购并加速了价值实现。

    显示安全存储登录页的屏幕截图。

选择导航面板左下角的省略号,允许用户查看设置、访问帮助选项,并选择与 Copilot Studio 一起使用的租户。

显示当用户在 Copilot 导航面板中选择省略号时可用的选项的屏幕截图。

  • 设置,包括可配置的首选项、数据和隐私声明,以及有关应用版本的信息。

    • 利用首选项设置,用户可以配置主题、语言和时区。 Copilot 支持多种语言。 有关详细信息,请参阅支持的语言

    • 数据和隐私页面提供了指向隐私声明、条款和条件,以及存储数据的位置信息的链接。

    • “关于”页提供有关 Copilot 应用版本的信息。

  • 通过帮助,用户可以链接到文档和培训。 如果遇到问题或需要寻求帮助,安全 Copilot 将提供高级支持体验。 根据你的角色,使用小组件可实现以下操作:

    • 查找常见问题的解决方案。 有权访问 Security Copilot 的任何人都可以通过选择帮助图标并选择“帮助”选项卡来访问自助小组件。在提示栏中输入你的问题,即会出现与搜索相关的文章。

    • 向 Microsoft 支持团队提交支持案例。 若要打开支持案例,必须至少具有服务支持管理员或支持管理员角色。 还可以查看支持历史记录。

  • 租户切换器。 为 Copilot 预配的租户不需要是安全分析师从中登录的租户。 此外,用户可能能够跨多个租户访问 Security Copilot。 在下面的屏幕截图中,用户仅在“Zava - Private”租户中预配。 如果用户已在其他租户中预配,则会列出这些租户,并且该用户能够选择任何可用的租户。

    显示租户切换窗口的屏幕截图,其中列出了多个租户。

工作区

Copilot 工作区是运行 Copilot 实例的租户中的单独工作环境。 考虑 Copilot 工作区的一种方法是把它当作房子里单独的房间。 每个房间都配置为针对其功能以及使用该房间的人员进行优化。 Copilot 工作区也是如此。 管理员根据特定团队需求设置、配置和管理单个工作区。

选择工作区将打开下拉菜单,用户可以在其中选择他们有权访问的可用工作区,并在有权访问多个工作区的情况下设置其首选工作区。 所有者还可以选择管理工作区、管理容量使用情况和创建新工作区。

后续单元中提供了更详细的信息,专用于 Copilot 工作区。

显示可从主登陆页面选择的工作区下拉菜单的屏幕截图。

尝试提示

提示是 Security Copilot 生成答案所需的主要输入,你可以借助这些答案完成与安全相关的任务。 提示手册是一系列提示,这些提示已组合在一起,以完成与安全相关的特定任务。

为了帮助介绍 Security Copilot 中提示的概念,主屏幕上会立即提供一组提示和提示手册。

你可以应用筛选器来查找与你最相关的提示或提示手册。 通过应用多个筛选器来缩小搜索结果范围,以更好地适应角色或方案。

根据以下条件选择筛选器,从而来自定义搜索:

  • 角色 - 示例包括:CISO、SOC 分析师、威胁情报分析师和 IT 管理员。
  • 插件 - 示例包括:Microsoft Defender XDR、Microsoft 威胁情报和适用于高级搜寻的自然语言转 KQL。

你还可以使用搜索函数按标题查找提示或提示手册。

提示栏

可使用提示栏告知 Copilot 要从安全数据中获取哪些见解(采用自然语言),然后选择运行图标。

显示提示栏的屏幕截图。

除了运行图标,提示栏还包括另外两个图标:

  • 提示图标
  • 源图标

提示图标

选择提示栏中的提示图标可打开一个窗口,可在该窗口中搜索和访问提示手册和系统功能。

屏幕截图显示提示图标以及选择该图标后打开的窗口,该窗口中显示提示手册和系统功能。

系统功能通常称为提示建议,是可在 Copilot 中使用的具体单一提示。 在选择提示图标时显示的列表列出了一小部分可供你使用的所有可用系统功能。 若要查看可供你使用的所有系统功能,请选择“查看所有系统功能”。 显示的列表可能会有所不同,具体取决于启用的插件。 某些功能未与特定插件关联,因此可供有权访问 Copilot 的用户使用,与已启用的插件无关。

选择系统功能(提示建议)通常需要更多输入才能获得有用的响应,但 Copilot 会提供指导。 例如,下图显示为了分析脚本或命令,用户必须包含的信息。

屏幕截图显示分析脚本或命令提示建议所需的输入。

源图标

Copilot 使用插件和文件与特定于安全性的源集成。

  • 插件 - Copilot 目前支持用于 Microsoft 自己的安全产品、非 Microsoft 产品、开源情报源、来自公共 Web 的行业信息的插件以及自定义插件。

  • 文件 - 与组织知识库的连接能为 Copilot 提供更多背景信息,从而产生更相关、更具体和针对用户定制的响应。 上传文件是 Copilot 用于连接到组织的知识库的一种方法。

可以通过提示栏中包含的源图标访问和管理源。 “管理源”窗口列出了插件选项卡(默认视图)和“文件”选项卡。

显示源图标的屏幕截图,选择该图标后,用户可选择插件或文件。默认视图将打开插件页。

有关插件和与知识库的连接的详细信息,请参阅本模块的后续单元。