Copilot利用基于OpenAI的GPT-4最新技术,让网络安全人员能够就当前影响环境的安全问题提问并获得答案,甚至可以直接整合公司内部的知识,为团队提供有用的信息,从现有信息中进行学习,将当前威胁活动与其他工具数据相关联,提供最新的信息。
微软在这款工具中结合了OpenAI大型语言模型的强大功能,使其能够理解提出的问题,总结出由公司网络安全团队和外部数据生成的威胁报告,以及微软自己的威胁分析。微软表示,模型是由100多个不同的数据源提供信息的,每天接收超过65万亿个威胁信号。
专业人员借助Security Copilot可以利用AI助手,使用自然语言深入研究数据,从而快速调查重大事件。该工具可以利用其理解会话语言的能力来总结流程和事件,提供快速报告,使团队成员更快地跟上进度。
例如,提示助手根据一组工具和事件为特定的、正在进行的调查提供事件响应报告。AI助手可以从这些工具中提取数据和信息,并根据给定的查询为用户提供摘要、报告和其他信息,并显示出来。然后,用户可以改进他们的提问,让AI提供更多信息,更改显示方式或者总结报告的方式、使用的工具、以及从中提取的事件信息。
Jakkal表示,该助手还可以通过使用微软自己的全球威胁情报来预测和发现专业人士可能会遗漏的潜在威胁,找出异常情况。专业人士还能使用该工具扩展自己的技能,例如对潜在的恶意脚本进行逆向工程,并将信息发送给另一位同事,后者查看是否需要对其进行标记以供进一步研究。
尽管这对于安全专业人员来说是一个非常有用的工具,但并非没有缺陷。由于所有的Copilot工具都集成了GPT-4,微软提示说,该工具并不能“总是把所有事情都做对”,对于Security Copilot来说也是如此。为了解决这个问题,微软增加了一项功能,让用户对AI生成的响应进行报告,以便更好地进行调整。
Gartner副总裁、知名分析师Avivah Litan表示:“Security Copilot要求用户检查输出的准确性,而不会给用户任何关于输出正确与否可能性的评分。用户依赖输出并假设这些输出的内容是正确的,鉴于我们正在谈论企业安全,我们认为这是一种不安全的方法。”
在微软的演示中,AI的错误是良性的,但是在现实的调查中,AI可能会犯一个安全专家更难发现的错误,并且被忽视掉。Litan说:“在企业能够安心地使用这些服务之前,还有很长的路要走。”
微软一直在大举收购以增强威胁检测的能力,其中包括威胁管理公司RiskIQ和威胁分析公司Miburo。
这个AI助手与很多微软安全产品进行了本地集成,包括基于企业云的网络威胁管理解决方案Sentinel,以及反恶意软件解决方案Defender。该软件目前提供了私人预览版。