介绍 Microsoft 安全 Copilot 术语
在本单元中,我们将介绍一些基本术语。
术语
以下术语有助于了解 Microsoft Security Copilot 的工作方式:
- 会话 - Copilot 中的特定对话。 Copilot 将在会话中维护上下文。
- 提示 - 会话中的具体陈述或问题。 用户在提示栏中输入提示。
- 功能 - Copilot 用于解决部分问题的功能。 有时,某个功能可能称为技能。
- 插件 - 特定资源的功能集合。
- 业务流程协调程序 - Copilot 用于将各项功能组合在一起来回答用户提示的系统。
提示栏和会话
提示栏位于 Security Copilot 的中心。 可使用提示栏告知 Copilot 你想要从安全数据中获得的见解,这称为提示。 换句话说,提示是你在提示栏中提供的基于文本的自然语言输入,用于指示 Copilot 生成响应。 虽然你使用自然语言与 Copilot 交互,但在你提供的提示中详细描述(具体问题或陈述)特别有用。 对于那些新手安全分析师角色和刚刚接触 AI 的人来说,有效的提示可能需要一些练习。 为此,Copilot 提供了提示手册,其中提供了一系列预选的提示和提示建议(后续模块中会对此内容进行详细介绍)。
当你提出请求且 Copilot 做出响应后,你可能会提出一些后续请求。 我们将整个对话称为“会话”。 Copilot 将在会话中维护上下文。
插件和功能
在上一单元中,我们提到 Copilot 通过插件与各种来源集成,包括 Microsoft 自有的安全产品(例如 Microsoft Sentinel、Microsoft Defender XDR 和 Microsoft Intune)、非 Microsoft 解决方案和开源情报源。 插件针对任何特定数据源启用的集成为 Copilot 提供了一系列功能。 每种功能就像软件中的一个功能,它旨在执行数据源范围内的专用任务。 例如,Microsoft Defender XDR 的插件包括一组单独的功能,仅供 Microsoft Defender XDR 使用。 这些设置包括:
- 汇总事件的能力。
- 支持事件响应团队通过引导式响应(一组基于特定事件的建议操作)解决事件。
- 分析脚本和代码的能力。
- 根据自然语言输入生成 KQL 查询的能力。
- 生成事件报告的能力。
Microsoft Sentinel 的插件可能具有类似的功能,但它们仅在 Microsoft Sentinel 的范围内运行。
Copilot 目前支持 Microsoft 服务和非 Microsoft 服务的插件,包括可以启用的网站和自定义插件。
某些插件需要设置和配置,如“设置”按钮或齿轮图标所描述。 对于 Microsoft 插件,在需要指定资源特定信息的情况下可能需要设置。 对于非 Microsoft 源,可能需要设置以进行帐户身份验证。
业务流程协调程序
业务流程协调程序是 Copilot 用于将各项功能组合在一起以回答用户提示的系统。 下一个单元将更详细地介绍此功能,该单元还将介绍 Copilot 如何处理提示请求。