Hoppa till huvudinnehåll
2024-04-02

Microsoft Copilot for Security: IT-avdelningens AI-hjälpreda

Lär dig hur Copilot for Security kan hjälpa dig att förbättra din säkerhetsstatus, arbeta utifrån NIST Cybersecurity Framework och få maximal nytta när produkten nu blir globalt tillgänglig. Vi kikar också in på hur Copilot for Security prissätts och hur du bör tänka när du ligger i startgroparna för att komma igång. Inte minst så ger vi exempel på konkreta användningsområden för hur Copilot for Security kan underlätta din vardag.

Richard Hagerwald
Lead architect, Digital Workplace

Vad är Microsoft Copilot for Security?

Microsoft Copilot for Security är en molnbaserad tjänst som hjälper dig att hantera din nivå av säkerhet i hela den IT-miljö som du sammankopplat i Microsofts XDR-plattform (Defender for Endpoint, Identity, Office 365, Cloud Apps och IoT). Det kan handla om allt från att utvärdera hur en konfigurationspolicy i Microsoft Intune skulle komma att påverka din infrastruktur, till att kunna identifiera kopplingar mellan hur en användares konto loggar in och hur dennes dator används på ett mer riskbenäget sätt.

Den ger dig en omfattande vy över din organisations säkerhetsstatus, identifierar luckor och risker och rekommenderar konkreta åtgärder för att förbättra den. Utöver att skriva ut vad du ska göra, så ger den dig också möjligheten att faktiskt köra det där scriptet direkt, etablera den föreslagna policyn i Intune eller kanske härda säkerheten på den specifika informationsmängden som du klassificerat på ett visst sätt. Copilot for Security hjälper dig också att anpassa dina säkerhetsrutiner till NIST Cybersecurity Framework, en allmänt erkänd standard för bästa praxis för cybersäkerhet.

Copilot for Security kommer att lanseras i två interaktionstyper – dels en integrerad upplevelse och dels en fristående upplevelse. De båda kompletterar naturligtvis varandra, men är också riktade till olika målgrupper i organisationen.

Vilka användningsfall löser Copilot for Security?

Copilot for Security är utformat för att hjälpa dig med en mängd olika användningsscenarion:

Överblick av ditt nuläge: Du kan använda Copilot for Security för att övervaka säkerhetsläget i din miljö, inklusive identiteterna, enheterna, datat, apparna och hela er infrastruktur. Utöver att hantera er egen organisation, kan du också se hur din säkerhetsstatus står sig i jämförelse med andra organisationer – i din bransch eller överlag. Copilot for Security hjälper till att svara på frågorna i naturligt språk. Detta sker i huvudsak i den fristående versionen, snarare än den integrerade.Analys av säkerhetsluckor: Du kan använda Copilot for Security för att identifiera och prioritera säkerhetsluckor och risker i din miljö, till exempel saknade säkerhetsuppdateringar, felkonfigurerade inställningar eller svaga lösenord. Du kan också se påverkans- och reparationsstegen för varje identifierad svaghet. Det skapar en helt annan möjlighet att faktiskt veta vad som skulle komma att hända i fall du väljer att trycka på knappen och skjuta ut den där policyn. Beroende på var den här typen av queries körs, så kommer du som interagerar med plattformen att få olika utväxling. Körs den i den integrerade upplevelsen i exempelvis Entra ID eller i Intune, så kan svaren direkt omsättas i att policyer skapas och kan sjösättas till lämpliga grupper.Åtgärdsplan för säkerhet: Du kan använda Copilot for Security för att skapa och sedan få hjälp att exekvera på en säkerhetsåtgärdsplan. Denna baseras på dina säkerhetsmål och prioriteringar, naturligtvis bottnat i de data som Copilot for Security hela tiden har att arbeta med. Du kan också följa progressen i detta och mäta din förbättring över tid. Den här typen av åtgärdsplaner är något vi framför allt kommer att se i den fristående upplevelsen, just för att sätta det övergripande.

Vad är det då för funktionalitet som nu släppts till allmänheten den 1 april?

Copilot for Security har funnits i en betald förhandsversion under en tid, men släpptes alltså igår, den 1 april. Vid lansering så erbjuder nu Copilot for Security följande funktioner:

  • Anpassade promptbooks gör det möjligt för dig som användare att skapa och spara egna serier med prompter på naturligt språk, för vanligt förekommande flöden som de som arbetar med vanliga säkerhetsrelaterade arbetsuppgifter sen kan återanvända. Promptbooks ska sedan också kunna delas mellan team.
  • Integreringar i Knowledge Base-artiklar, i förhandsversion, ger dig möjlighet att integrera Copilot for Security med er egna kontext och ert sammanhang, så att du kan söka och köra prompter genom ditt upphovsrättsskyddade innehåll. Kanske vill du inte låta tjänsterna söka igenom allt – inga problem, du väljer
  • Med stöd för fler språk blir det nu möjligt för Copilot att bearbeta prompter och svara på åtta olika språk med möjlighet att nyttja 25 språk för att skriva prompter direkt i gränssnittet eller ställa frågor i den integrerade upplevelsen
  • Tredjepartsintegrationer från globala partners som aktivt utvecklar integrationer och tjänster för Copilot for Security
  • Möjlighet att ansluta Copilot for Security till en Defender External Attack Surface Management-instans för att identifiera och analysera den senaste informationen om vad en extern angripare ser om er organisation utifrån Internet. Detta är, än så länge, bara tillgängligt för de attackytor som Microsoft själva analyserat sedan tidigare, dvs inte en attackyta du skapat själv
  • Microsoft Entra audit- och inloggningsloggar skapar ännu djupare inblick i, och sammanhang till IT-incidentutredningar eller bara generell felsökning i användarnas dagliga inloggningsflöden – allt sammanfattat på dagligt språk istället för med avancerade queries.

Hur mappar Copilot for Security användningsfall till NIST Cybersecurity Framework?

NIST Cybersecurity Framework är en allmänt erkänd standard för beprövade inställningar och standards för cybersäkerhet. Den består av fem kärnfunktioner: Identifiera, Skydda, Detektera, Svara och Återställa. Varje funktion har en uppsättning underkategorier som beskriver specifika resultat och aktiviteter. Copilot for Security kan underlätta resan i att få ett strukturerat arbetssätt och hanteringsapproach kopplat till respektive av de olika områdena. Men vilka scenarier är faktiskt relevanta att ta med? När blir det aktuellt att titta på hur Copilot for Security faktiskt kan stötta?

  • Hantering av säkerhetsstatus: Copilot for Security använder alla dina data i hela M365-stacken och de anslutna produkterna. Sammantaget så mappar detta mot steget ”Identifiera” i NIST Cybersecurity Framework, som syftar till just att utveckla en förmåga inom organisationen att identifiera och kartlägga vad vi har för något att förhålla oss till, sett till såväl organisationens egna tillgångar som sådant som föds in från externa leverantörer. Utifrån detta handlar det också om att organisationen som sådan har en god överblick över sina cybersäkerhetsrisker och därför kan få stöttning i sitt prioriteringsarbete. Här är Copilot for Security en oerhörd möjliggörare i att ha den där övergripande kollen på hur allt hänger ihop. Exempelvis kan en prompt vara

    ”Lista alla enheter med firmwareversioner som behöver uppdateras”.

    Copilot for Security kan då direkt mappa den informationen och visa en prioriteringslista, utan att administratören behöver gå in i Intune eller Entra ID specifikt – en enorm tidsbesparing.
  • Analys av säkerhetsluckor: Copilot for Security hjälper dig att skydda dina tillgångar, system och data och identifiera eventuella säkerhetsluckor och risker. Detta är i linje med funktionerna “Skydda” och “Detektera” i NISTs Cybersecurity Framework, som syftar till att utveckla och genomföra lämpliga skyddsåtgärder och aktiviteter så att ni kan täppa till luckorna. Copilot for Security kan exempelvis ta emot prompten

    “Identifiera riskförhöjda inloggningar och skriv en Conditional Access-policy för de användare som berörs så att det kan blockeras”.

    Det går också bra att skriva en fråga till Copilot for Security för att svara på hur enheter eller användare skulle komma att påverkas. Det gör att du exempelvis kan ställa frågan om hur en designad policy i Intune skulle kunna se ut redan innan du skjutit ut en policy på pilot.

  • Åtgärdsplan för säkerhet: Copilot for Security kan också läsa in så kallade ”Indicators of Compromise”, IOC:er, och snabbt svara på om de förekommer i miljön. Det kortar ledtiderna och skapar förslag på direkta åtgärder. Detta kan vara i form av policyer, härdning av delar av infrastrukturen eller förslag på applikationer som ska uppdateras. Utöver att föreslå förändringar, så kan Copilot for Security och direkt implementera förändringarna utifrån det du som administratör godkänner. Detta korresponderar direkt till NISTs punkt ”Detektera” och, i viss mån också ”Respondera”.

  • Utöver att kunna identifiera specifika säkerhetshändelser så kan också Copilot for Security arbeta med de fynd den gjort inom ramen för en pågående säkerhetshändelse. Exempelvis kan en säkerhetsanalytiker direkt skicka en bit kod, eller helt script, till Copilot for Security och be om att göra reverse engineering på scriptet för att se vad det gör, vilken påverkan det får osv. Detta kortar avsevärt tiden det tar för en analytiker att bedöma om en detektering av scriptkörningar faktiskt varit illvillig eller inte. Dessa förmågor mappar direkt mot momenten “Svara” och “Återställa” inom NISTs ramverk.

Den eviga frågan: Vad kostar det?

Inför lanseringen av Copilot for Security, så är Microsoft tydlig med sin story kring att prissättningen är baserad på hur mycket ni som organisation faktiskt använder er av produkten, inte hur många användare ni är. Om en säkerhetsanalytiker, en klienthanteringstekniker eller identitetshanteringsavdelningen väljer att nyttja Copilot for Security för någon, eller några, av sina arbetsuppgifter, så är det det faktiska nyttjandet av produkten som kommer att debiteras. Inga långa licensbindningstider utan kostnaden debiteras er vanliga Azurekonsumtion. Exakt hur allt hänger ihop och hur vanliga användningsfall kommer att landa kostnadsmässigt hoppas vi kunna utveckla i kommande bloggposter på ämnet Copilot for Security.

Eftersom Copilot for Security är prissatt utifrån nyttjande, så finns en inbyggd dashboard för att snabbt visualisera nyttjandet av tjänsten och på det sättet ha bra kontroll på kostnaderna. Det gör att du förhindrar de där oförutsedda utgifterna och utmaningarna som kan komma med en oväntat stor faktura.

Så hur kommer vi igång nu när det blivit publikt tillgängligt i april?

Enklast att komma igång, är att kontakta din Atea-representant så hjälper vi dig igång att spinna upp en SCU, provisionera både den integrerade och den fristående upplevelsen och inte minst – att få en snabbstart i hur ni snabbt kan få ut massor med värde. När genomgången är färdig, har vi en väl förberedd kår av personer som brinner för att ni ska få ut maximalt värde av er investering – tillsammans kan vi göra skillnad på riktigt.

Kontakta gärna mig om du har frågor
Richard Hagerwald, Lead architect, Digital Workplace
Skicka e-post