Décrire la terminologie Microsoft Sécurité Copilot

Effectué

Dans cette unité, nous vous présentons des termes de base.

Terminologie

Les termes suivants sont importants pour comprendre le fonctionnement de Security Copilot :

  • Session : une conversation particulière au sein de Copilot. Copilot conserve le contexte au sein d’une session.
  • Prompt : une instruction ou une question spécifique au sein d’une session. Un utilisateur entre une invite dans la barre d’invite.
  • Fonctionnalité : une fonction utilisée par Copilot pour résoudre une partie d’un problème. Une fonctionnalité peut parfois être appelée compétence.
  • Plug-in : une collection de fonctionnalités d’une ressource particulière.
  • Orchestrateur : système de Copilot permettant d’effectuer une composition commune des fonctionnalités pour répondre au prompt d’un utilisateur.

Barre d’invite et sessions

La barre de requête se trouve au cœur de Microsoft Security Copilot. Vous utilisez la barre d’invite pour indiquer à Copilot les informations que vous souhaitez obtenir à partir de vos données de sécurité. Cette opération fait référence à l’invite. En d’autres termes, l’invite est basée l’entrée en langage nature basée sur le texte que vous fournissez dans la barre d’invite qui ordonne à Copilot de générer une réponse. Bien que vous interagissiez avec Copilot en langage naturel, il est utile d’être spécifique dans les invites (questions ou instructions spécifiques) que vous fournissez. Pour ceux qui sont relativement novices dans le rôle d’analyste de sécurité et dans l’utilisation de l’IA, concevoir des invites efficaces peut demander une certaine pratique. Pour cette raison, Copilot fournit des promptbooks (séquences d’invite) qui fournissent une série d’invites et de suggestions d’invite présélectionnées (plus de détails sur ceci dans un module suivant).

Capture d’écran de la barre de requête Microsoft Security Copilot.

Lorsque vous effectuez des requêtes et à mesure que Copilot répond, vous pouvez avoir des requêtes de suivi. L’intégralité du dialogue fait référence à une session. Copilot conserve le contexte au sein d’une session.

Plug-ins et fonctionnalités

Dans les unités précédentes, nous avons évoqué l’intégration de Copilot à diverses sources via des plug-ins, notamment les propres produits de sécurité de Microsoft, tels que Microsoft Sentinel, Microsoft Defender XDR et Microsoft Intune, les solutions non-Microsoft et les flux d’intelligence open source. L’intégration activée par le plug-in, pour n’importe quelle source de données spécifique, fournit à Copilot une collection de fonctionnalités. Chaque fonctionnalité est semblable à une fonction dans des logiciels, elle est conçue pour effectuer une tâche spécialisée dans l’étendue de la source de données. Par exemple, le plug-in de Microsoft Defender XDR inclut une collection de fonctionnalités individuelles utilisées uniquement par Microsoft Defender XDR. Il s’agit notamment des paramètres suivants :

  • Possibilité de résumer un incident.
  • Prise en charge des équipes de réponse aux incidents lors de la résolution des incidents via des réponses guidées (ensemble d’actions recommandées en fonction de l’incident spécifique).
  • Possibilité d’analyser des scripts et du code.
  • Possibilité de générer des requêtes KQL à partir d’une entrée en langage naturel.
  • Possibilité de générer des rapports d’incident.

Un plug-in pour Microsoft Sentinel peut avoir des fonctionnalités similaires, mais il s’exécute uniquement dans l’étendue de Microsoft Sentinel.

Copilot prend actuellement en charge les plug-ins pour les services Microsoft et les services non-Microsoft, y compris les sites web et les plug-ins personnalisés qui peuvent être activés.

Capture d’écran de la fenêtre des plug-ins, montrant les plug-ins Microsoft, notamment Entra, Intune, Microsoft Defender XDR, etc.

Capture d’écran de la fenêtre des plug-ins, montrant les plug-ins non-Microsoft, notamment ServiceNow, Splunk, le web public et des plug-ins personnalisés.

Certains plug-ins nécessitent une Installation et une configuration, comme illustré par le bouton Configurer ou l’icône d’engrenage. Pour les plug-ins Microsoft, la configuration peut être nécessaire pour spécifier des informations spécifiques à la ressource. Pour les sources autres que Microsoft, la configuration peut être nécessaire pour l’authentification de compte.

Un orchestrateur

L’orchestrateur est le système de Copilot qui permet d’effectuer une composition commune des capacités pour répondre au prompt d’un utilisateur. Cette fonction est illustrée de manière détaillée dans l’unité suivante qui décrit comment Copilot traite les demandes d’invite.