Získání kontextu koncového uživatele pro výstrahy AI
Ochrana před internetovými útoky v programu Microsoft Defender for Cloud pro úlohy AI umožňuje zlepšit možnosti a zabezpečení vygenerovaných výstrah AI tím, že poskytuje kontext koncového uživatele.
Přidejte do volání rozhraní API Azure OpenAI parametry, které umožní službě Azure AI předat kritický kontext koncového uživatele do výstrah Defenderu for Cloud AI. Tento kontext koncového uživatele poskytuje lepší přehled o koncových uživatelích a vede k efektivnějšímu zkoumání a výsledkům. Můžete například zablokovat konkrétního uživatele nebo korelovat incidenty a výstrahy koncovým uživatelem.
Požadavky
Přečtěte si o přehledu – ochrana před internetovými útoky AI.
Povolte ochranu před hrozbami pro úlohy AI (Preview) v aplikaci AI s podkladovým modelem Azure OpenAI přímo prostřednictvím služby Azure OpenAI. Upozorňujeme, že tato funkce se v současné době nepodporuje při využívání modelů nasazených prostřednictvím rozhraní API pro odvozování modelů Azure AI.
Přidání parametrů zabezpečení do volání Azure OpenAI
Pokud chcete dostávat výstrahy zabezpečení AI s větším kontextem, můžete do volání rozhraní API Azure OpenAI přidat libovolné nebo všechny následující ukázkové SecurityContext parametry.
Všechna pole v seznamu SecurityContext jsou volitelná. Doporučujeme minimálně předat EndUserId pole a SourceIP pole. Tato EndUserId pole SourceIP poskytují analytikům služby Security Operations Center (SOC) schopnost vyšetřovat incidenty zabezpečení, které zahrnují prostředky AI a generování aplikací umělé inteligence. Příklady najdete ve schématu SecurityContext.
Pokud je název pole nesprávně napsaný, volání rozhraní API Azure OpenAI bude i nadále úspěšné. Schéma SecurityContext nevyžaduje ověření pro předání uživatelského pole Azure OpenAI. Vývojáři aplikací by měli zajistit, aby se do user pole v každém požadavku vytvořeném aplikací do Azure OpenAI předal platný JSON.
Schéma SecurityContext
Zadané schéma se skládá z SecurityContext objektů, které obsahují několik parametrů, které popisují samotnou aplikaci, a koncového uživatele, který pracuje s aplikací. Tato pole pomáhají provozním týmům zabezpečení prošetřit a zmírnit bezpečnostní incidenty tím, že poskytují komplexní přístup k ochraně aplikací umělé inteligence.
ID koncového uživatele
Typ koncového uživatele
ID tenanta koncového uživatele
Zdrojová IP adresa
Hlavičky zdrojových požadavků
Název aplikace
| Název pole | Typ | Popis | Volitelné | Příklad |
|---|---|---|---|---|
| EndUserId | string | Funguje jako jedinečný identifikátor koncového uživatele v rámci aplikace generující umělé inteligence. Pokud se k ověřování koncových uživatelů v aplikaci generativní umělé inteligence používá autorizace Microsoft Entra ID, mělo by to být ID uživatele Microsoft Entra (dříve označované jako Azure Active Directory). | Ano | 1234a123-12a3-1234-1ab2-a1b2c34d56e |
| EndUserIdType | string | Určuje typ identifikátoru koncového uživatele. Při použití ID uživatele Microsoft Entra (dříve označované jako Azure Active Directory) by mělo být nastaveno na ID objektu uživatele Microsoft Entra. | Ano, pokud není předaný EndUserId, v takovém případě musí být nastavena na správnou hodnotu. | Microsoft Entra ID |
| EndUserTenantId | string | Tato vlastnost určuje ID tenanta Microsoftu 365, do které koncový uživatel patří. Vyžaduje se, když je aplikace generující AI víceklientská a koncoví uživatelé z různých tenantů se můžou přihlásit. | Ano | 1234a123-12a3-1234-1ab2-a1b2c34d56e |
| Zdrojová IP adresa | string | Zachytí IP adresu klienta tak, jak je vidět přímo serverem. Představuje nejobsáhodnější IP adresu klienta, která připojení k serveru provedla. Pokud se klient připojuje přes proxy server nebo nástroj pro vyrovnávání zatížení, sourceIP je IP adresa tohoto proxy serveru nebo nástroje pro vyrovnávání zatížení, nikoli IP adresa původního klienta: – ASP.NET: HttpContext.Connection.RemoteIpAddress – Python: request.remote_addr |
Ano | 12.34.567.891, 1234:1:123a:123:1a2b:ab1:ab1c:ab12 |
| SourceRequestHeaders | Řetězec slovníku<, řetězec> | Zaznamenává podmnožinu hlaviček požadavků koncových uživatelů, které přidávají proxy servery nebo nástroje pro vyrovnávání zatížení. Hlavičky jako X-Forwarded-For, X-Real-IP nebo Forwarded se používají v programu Microsoft Defender for Cloud k získání IP adresy původního klienta. Hlavičky uživatelského agenta poskytují kontext o klientském softwaru, který iniciuje požadavek rozhraní API. Mezi doporučené názvy hlaviček patří: User-Agent, X-Forwarded-For, X-Real-IP, Forwarded, CF-Connecting-IP, True-Client-IP, X-Client-IP, X-Forwarded, Forwarded-For |
Ano | - |
| NázevAplikace | string | Název aplikace, který se používá pro účely identifikace a uživatelského rozhraní. | Ano | Contoso HR Copilot, chatbot prodeje zákazníků. |
Přidání objektu SecurityContext do aplikace
Ke generování volání rozhraní API aplikace AI do Azure OpenAI doporučujeme přidat všechny parametry uvedené v tomto dokumentu.
Vyberte jeden z těchto příkladů:
Vyhledejte a zkopírujte vzorový kód.
Přidejte kód do kódu generující aplikace AI, kde se volá rozhraní API Azure OpenAI.
Upravte parametry kódu tak, aby odpovídaly vašim požadavkům.
Uložte změny.
Po provedení tohoto postupu byste měli zajistit předání platného kódu JSON do user pole v každém požadavku vytvořeném aplikací do Azure OpenAI.