Описание терминологии Microsoft Security Copilot
В этом уроке мы познакомим вас с некоторыми основными терминами.
Терминология
Следующие термины важны для понимания того, как работает Microsoft Security Copilot:
- Сеанс — определенная беседа в Copilot. На сеансе системой Copilot соблюдается контекст.
- Запрос — конкретная инструкция или вопрос пользователя в рамках сеанса. Пользователь вводит запрос в строку запроса.
- Возможность — функция, которую Copilot использует для решения части проблемы. Иногда возможность может называться навыком.
- Подключаемый модуль — набор возможностей по определенному ресурсу.
- Оркестратор — система Copilot для объединения возможностей, чтобы ответить на запрос пользователя.
Панель запросов и сеансы
В центре безопасности Copilot находится панель запроса. С помощью панели запросов вы сообщаете Copilot, какие сведения хотите получить из своих данных безопасности. Это называется запросом. Иными словами, запрос — это текстовый ввод естественного языка, который вы предоставляете в строке запроса, которая указывает Copilot создать ответ. Хотя вы взаимодействуете с Copilot на естественном языке, полезно быть конкретным в запросах (конкретные вопросы или инструкции), которые вы предоставляете. Для тех, кто относительно не знакомы с ролью аналитика безопасности и взаимодействия с ИИ, эффективная подсказка может принять некоторую практику. По этой причине Copilot предоставляет сборники запросов, которые предоставляют ряд предварительно выбранных запросов и предложений по запросу (дополнительные сведения об этом в следующем модуле).
По мере отправки запросов и по мере ответа Copilot у вас могут быть некоторые последующие запросы. Все диалоговое окно называется сеансом. На сеансе системой Copilot соблюдается контекст.
Подключаемые модули и возможности
В предыдущем уроке мы упомянули, что Copilot интегрируется с различными источниками с помощью подключаемых модулей, включая собственные продукты безопасности Майкрософт, такие как Microsoft Sentinel, Microsoft Defender XDR и Microsoft Intune, решения, отличные от Майкрософт, и веб-каналы аналитики с открытым кодом. Интеграция, обеспечиваемая подключаемым модулем для любого конкретного источника данных, предоставляет Copilot набор возможностей. Каждая возможность подобна функции в программном обеспечении — она предназначена для выполнения специализированной задачи в пределах источника данных. Например, подключаемый модуль к XDR в Microsoft Defender включает коллекцию отдельных возможностей, которые используются только XDR в Microsoft Defender. Например:
- Возможность суммировать инцидент.
- Поддержка групп реагирования на инциденты в разрешении инцидентов с помощью интерактивных ответов (набор рекомендуемых действий на основе конкретного инцидента).
- Возможность анализировать скрипты и код.
- Возможность создавать запросы KQL из входных данных естественного языка.
- Возможность создавать отчеты об инцидентах.
Подключаемый модуль для Microsoft Sentinel может иметь аналогичные возможности, но работает только в пределах области Microsoft Sentinel.
В настоящее время Copilot поддерживает подключаемые модули для службы Майкрософт и не службы Майкрософт, включая веб-сайты и настраиваемые подключаемые модули, которые могут быть включены.
Для некоторых подключаемых модулей требуется настройка и настройка, как показано кнопкой "Настройка" или значком шестеренки. Для подключаемых модулей Майкрософт может потребоваться настройка, в которой необходимо указать конкретные сведения о ресурсе. Для источников, отличных от Майкрософт, может потребоваться для проверки подлинности учетной записи.
Оркестратор
Оркестратор — это система Copilot для объединения возможностей, чтобы ответить на запрос пользователя. Эта функция иллюстрируется более подробно в следующем уроке, в котором описывается, как Copilot обрабатывает запросы запроса запроса.