Beskriva Microsoft Copilot för säkerhetsterminologi

  • 3 minuter

I den här lektionen presenterar vi grundläggande terminologi.

Terminologi

Följande termer är viktiga för att förstå hur Copilot fungerar:

  • Session – en viss konversation i Copilot. Copilot underhåller kontexten i en session.
  • Prompt – en specifik instruktion eller fråga inom en session. En användare anger en uppmaning i promptfältet.
  • Kapacitet – En funktion som Copilot använder för att lösa en del av ett problem. En funktion kan ibland kallas för en färdighet.
  • Plugin – en samling funktioner av en viss resurs.
  • Orchestrator – Copilots system för att skapa funktioner tillsammans för att besvara en användares uppmaning.

Promptfält och sessioner

I mitten av Microsoft Copilot for Security är promptfältet. Du använder promptfältet för att berätta för Copilot vilka insikter du vill ha från dina säkerhetsdata. Detta kallas för uppmaningen. Med andra ord är prompten den textbaserade indata för naturligt språk som du anger i promptfältet som instruerar Copilot att generera ett svar. Även om du interagerar med Copilot på naturligt språk är det bra att vara specifik i de frågor (specifika frågor eller instruktioner) som du anger. För dem som är relativt nya i säkerhetsanalytikerrollen och engagerar sig i AI kan effektiva frågor ta viss praxis. Därför tillhandahåller Copilot promptbooks som tillhandahåller en serie förvalda frågor och förslag (mer information om detta i en efterföljande modul).

En skärmdump av microsoft Copilot for Security-promptfältet.

När du gör begäranden och när Copilot svarar kan du ha några uppföljningsbegäranden. Hela dialogrutan kallas för en session. Copilot underhåller kontexten i en session.

Plugin-program och funktioner

I den föregående lektionen nämnde vi att Copilot integreras med olika källor via plugin-program, inklusive Microsofts egna säkerhetsprodukter som Microsoft Sentinel, Microsoft Defender XDR och Microsoft Intune, lösningar som inte kommer från Microsoft och intelligensflöden med öppen källkod. Integreringen som aktiveras av plugin-programmet för alla specifika datakällor ger Copilot en samling funktioner. Varje funktion är som en funktion i programvara, den är utformad för att utföra en specialiserad uppgift inom datakällans omfång. Plugin-programmet till Microsoft Defender XDR innehåller till exempel en samling enskilda funktioner som endast används av Microsoft Defender XDR. Dessa kan vara:

  • Möjligheten att sammanfatta en incident.
  • Stöda incidenthanteringsteam för att lösa incidenter via guidade svar (en uppsättning rekommenderade åtgärder baserat på den specifika incidenten).
  • Möjligheten att analysera skript och kod.
  • Möjligheten att generera KQL-frågor från indata från naturligt språk.
  • Möjligheten att generera incidentrapporter.

Ett plugin-program för Microsoft Sentinel kan ha liknande funktioner men körs endast inom Microsoft Sentinels omfång.

Copilot stöder för närvarande plugin-program för Microsoft-tjänster och icke-Microsoft-tjänster, inklusive webbplatser och anpassade plugin-program som kan aktiveras.

En skärmdump av plugin-fönstret som visar Microsoft-plugin-program, inklusive Entra, Intune, Microsoft Defender XDR med mera.

En skärmdump av plugin-fönstret som visar plugin-program som inte kommer från Microsoft, inklusive ServiceNow, Splunk, den offentliga webben och anpassade plugin-program.

Vissa plugin-program kräver installation och konfiguration, vilket visas med knappen Konfigurera eller kugghjulsikonen. För Microsoft-plugin-program kan det krävas konfiguration där resursspecifik information måste anges. För icke-Microsoft-källor kan det krävas konfiguration för kontoautentisering.

Orchestrator

Orchestrator är Copilots system för att skapa funktioner tillsammans för att besvara en användares uppmaning. Den här funktionen illustreras mer detaljerat i den efterföljande lektionen som beskriver hur Copilot bearbetar prompt-begäranden.