Microsoft Security Copilot

ИТ-администратор

ИТ-администраторы часто сталкиваются с такими проблемами:

• Обеспечение производительности труда в широком спектре конечных точек: Поддержание постоянного, высококачественного пользовательского опыта на разнообразном спектре устройств в различных операционных системах и местах является критически важным, но сложным. Для этого требуется возможность проактивной диагностики и решения проблем, чтобы предотвратить потерю производительности и минимизировать влияние на пользовательский опыт.
• Защита организаций от все более изощренных кибератак: По мере роста угроз кибербезопасности ИТ-администраторам приходится сталкиваться с необходимостью находить баланс между надежными политиками в отношении устройств и превентивными мерами безопасности, соблюдая при этом постоянно меняющиеся нормативные требования.
• Идти в ногу с быстро развивающимися технологиями: Из-за нехватки квалифицированных ИТ-специалистов, особенно в таких новых областях, как расширенная аналитика, управление облачными вычислениями и автоматизация на основе искусственного интеллекта, ИТ-отделам приходится с трудом справляться с необходимостью поддерживать существующие системы и интегрировать новые технологии.

Security Copilot помогает ИТ-администраторам решать проблемы конечных точек путем:

1. Предоставление ИТ-отделам возможности ускорить устранение неполадок и решение проблем путем консолидации огромных объемов данных из различных источников и применения анализа на основе искусственного интеллекта для прогнозирования проблем и оказания ИТ-отделам помощи в принятии немедленных обоснованных мер до того, как проблемы усугубятся.
2. Предлагая динамическое, контекстно-зависимое руководство для основных ИТ-задач, включая конфигурации политик и анализ рисков приложений перед утверждением привилегий для приложений и управления обновлениями. Предоставляя глубокие знания и действенные рекомендации, Security Copilot выявляет и устраняет слепые зоны, разрешает конфликты и обеспечивает последовательное соответствие, что сокращает ручные усилия и минимизирует ошибки.
3. Бесшовная интеграция аналитических данных на основе ИИ и возможностей естественного языка в существующие рабочие процессы ИТ-администраторов, что позволяет им использовать разговорные команды для получения руководства и рекомендаций в режиме реального времени. Эта интеграция также позволяет ИТ-администраторам выполнять сложные задачи, непрерывно наращивая знания и улучшая свои навыки в ходе процесса.

Ключевые сценарии:

• Помощь в устранении неполадок: Быстро и точно исследуйте проблемы с устройствами и приложениями с помощью Copilot, который собирает и анализирует данные для вас.
• Определите конфликты политики: Снижение риска сбоев в работе и уязвимостей, вызванных конфликтующими или неправильно настроенными политиками.
• Составление KQL-запросов для получения информации об устройстве: Используйте Copilot для построения KQL-запроса и запустите запрос, чтобы получить сведения об одном или нескольких устройствах.

Ресурсы для ИТ-администраторов:

Администратор удостоверений личности

Администраторы удостоверений часто сталкиваются с такими проблемами:

• Серьезные угрозы для личности, требующие сложных, длительных расследований и экспертизы: Им необходимо устранять неполадки и корректировать политики в режиме реального времени, сохраняя баланс между безопасностью и непрерывностью бизнеса.
• Непоследовательные политики IAM, которые увеличивают риск, ослабляют безопасность и приводят к неэффективности: Изменения в практике идентификации, такие как несанкционированные или недокументированные корректировки политики, усложняют корреляцию данных, увеличивают риск ошибок и приводят к значительным пробелам. Эти несоответствия снижают операционную эффективность и увеличивают подверженность потокам, связанным с идентификацией.
• Эксплуатационные перегрузки ограничивают фокус IAM: Администраторы удостоверений управляют миллиардами удостоверений, каждое из которых имеет уникальные политики и права доступа, одновременно защищая себя от атак, управляемых ИИ. Это ограничивает их способность сосредоточиться на проактивных улучшениях безопасности и оптимизации IAM.
• Нехватка специалистов по кибербезопасности увеличивает риски и нагружает возможности IAM: Нехватка квалифицированных специалистов по кибербезопасности означает, что администраторы идентификации перегружены управлением сложными системами IAM. Когда квалифицированные администраторы недоступны, выполнение рутинных задач может задерживаться, что приводит к потенциальным неправильным настройкам, неэффективным процессам и повышенным рискам безопасности. Это влияет как на безопасность, так и на непрерывность работы.

Безопасность Copilot помогает администраторам идентификации:

1. Упрощение повторяющихся задач IAM для автоматизации управления идентификацией и применения политик. Автоматизация рутинных действий освобождает время для сосредоточения на важных задачах, повышая общую производительность и сокращая человеческие ошибки.
2. Помощь в обнаружении угроз, аналитике и смягчении последствий с помощью ИИ. Он обеспечивает администраторам расширенную контекстуализацию личности и аналитику в реальном времени. Обобщение на естественном языке выводит на первый план наиболее важный контекст, позволяя принимать решения на основе данных.
3. Предоставление естественного языка и контекстных рекомендаций. Это позволяет администраторам принимать точные решения на основе данных. Это помогает устранить пробелы в навыках и поддерживает сотрудничество, а также делает сложные задачи IAM более управляемыми для менее опытных членов команды. Это позволяет командам по идентификации более эффективно решать сложные проблемы идентификации, открывая ресурсы для сосредоточения на стратегических, высокоэффективных вопросах.

Ключевые сценарии:

• Использование Copilot в Entra для защиты идентификационных данных и безопасного доступа с помощью обнаружения и снижения рисков на основе ИИ: Copilot в Entra позволяет администраторам идентификации значительно сократить время расследования и разрешения, автоматизируя наиболее трудоемкие аспекты своей работы. Он автоматизирует сбор данных, корреляцию и контекстуализацию, устраняя необходимость для администраторов вручную просеивать журналы аутентификации, просматривать сложные политики или проводить трудоемкие расследования. Вместо этого Copilot предоставляет сводки на естественном языке, которые четко объясняют повышенные риски для пользователей, предоставляет действенные идеи, адаптированные к каждому инциденту, и предлагает индивидуальные рекомендации с быстрыми ссылками на соответствующую документацию.
• Использование Copilot в Entra для устранения неполадок при критических попытках доступа: Администраторам удостоверений больше не нужно тратить часы на просмотр журналов и сбор данных (например, просмотр журналов аутентификации, приложений и сети), выявление основных причин (например, сбоев MFA из-за незарегистрированных устройств) и реализацию исправления (например, повторной регистрации устройства или корректировки политик). С Security Copilot администраторы могут быстро начать устранение неполадок, связанных со входом в систему, непосредственно в центре администрирования Entra с краткими сводками наиболее важной информации. Copilot помогает администраторам быстро определять основные причины сбоев входа в систему, прерываний, запросов MFA и других проблем, предоставляя действенные подсказки для эффективного расследования и решения проблем.
• Помощь в расследовании инцидентов и устранении неполадок с использованием навыков Microsoft Entra в области безопасности Copilot: Copilot с Entra может улучшить разрешение инцидентов с идентификацией, оптимизируя процесс расследования. Он может быстро суммировать и контекстно-зависимую важную информацию (такую как роли пользователей, журналы регистрации и факторы риска), чтобы предоставить аналитикам четкий обзор ситуации на естественном языке. Это помогает аналитикам понять масштаб и специфику потенциальных компрометаций, способствуя более быстрому принятию решений и реагированию.

Ресурсы для ИТ-администраторов:

Администратор безопасности данных

Администраторы безопасности данных часто сталкиваются с такими проблемами:

• Огромный объем данных и количество оповещений. Большой объем и сложность оповещений приводят к усталости от оповещений, когда критические угрозы могут быть пропущены.
• Время реагирования на инциденты и координация. Координация своевременного и эффективного реагирования на инциденты безопасности данных требует сотрудничества между несколькими членами команды и отделами. Задержки в общении и принятии решений могут привести к увеличению времени разрешения и увеличению ущерба.
• Нехватка опыта. Существует хорошо документированная нехватка квалифицированных специалистов по кибербезопасности, что оказывает давление на существующие команды, чтобы справляться с растущим числом угроз при ограниченных ресурсах. Это усугубляется тем, что организации часто имеют ограниченные ресурсы для увеличения и обучения команд.
• Риск видимости данных и пользователей. Сложность разнообразных сред данных, включая локальные системы, облако и гибридные инфраструктуры, в сочетании с динамическими моделями доступа пользователей, усложняет для администраторов безопасности задачу поддержания всеобъемлющей видимости рисков.

Security Copilot помогает администраторам безопасности данных:

1. 1. Раскрытие скрытых рисков данных. Анализирует большие объемы данных в различных решениях для проведения комплексных расследований. Выявляйте и управляйте рисками в ландшафте безопасности данных с помощью Data Security Posture Management (DSPM) и изучайте информацию из Information Protection, Data Loss Prevention (DLP) и Insider Risk Management (IRM) на единой панели мониторинга. DSPM предоставляет рекомендации на основе Security Copilot по классификации данных вашей организации, политикам, оповещениям, которым необходимо приоритизировать, пользователям для анализа и позволяет вам глубже вникнуть в расследования с помощью открытых вопросов-подсказок.
   2. Ускорение расследований по безопасности данных. Безопасность Copilot позволяет группам понимать случаи и быстрее выявлять риски, предоставляя контекстные сводки одним щелчком мыши в IRM и DLP, все в рамках существующего рабочего процесса расследования. В IRM он обеспечивает краткую видимость из контента, оцененного по соответствующим политикам, и упрощает исследования с контекстными доказательствами. В DLP он ускоряет настройку политик и помогает группам улучшить покрытие безопасности данных и обнаружить дополнительные риски.
   3. Укрепление экспертных знаний в области безопасности данных. Он может предоставить практическое руководство для повышения квалификации ваших команд, обеспечить более напористую производительность и дать аналитикам на всех уровнях возможность проводить расширенные расследования. Для опытных администраторов DSPM централизует аналитику по всем расследованиям и показывает основные риски безопасности данных, а также рекомендации по решению, насколько чувствителен ландшафт данных и как данные перемещаются с пользователями. Для новых администраторов DSPM предоставляет агрегированную аналитику и помогает им быстро начать ориентироваться в ландшафте организации.

Ключевые сценарии:

• Раскрывайте, управляйте и реагируйте на скрытые риски. Используя DSPM в качестве стартовой площадки для анализа безопасности данных, администраторы смогут нарисовать более широкую картину ландшафта своих данных в области защиты информации, DLP и IRM под одним стеклом. DSPM должен быть тем местом, куда следует обращаться в начале каждого дня, чтобы понять, на чем сосредоточиться и с чего начать.
• Анализируйте инциденты глубже и эффективнее. При оценке оповещений администраторы безопасности данных могут проводить более быстрые расследования, используя Security Copilot, чтобы получить больше контекста из инцидентов, извлекать сложные оповещения безопасности из кратких, действенных сводок, что обеспечивает более быстрое время реагирования и оптимизированное принятие решений. Более того, команды могут использовать аналитику на основе Copilot для улучшения оповещений и расследования пользователей в IRM, дважды щелкая по профилю риска пользователя и действиям за пределами сводки оповещений. Пользователи смогут расширять подсказки, доступные в DLP, за пределы сводки оповещений, такие как расследование данных/пользователя и подсказки и фильтры в Activity Explorer.
• Обнаружьте пробелы в защите и оптимизируйте элементы управления. Администраторы безопасности данных могут оптимизировать настройку и планирование политик, улучшая охват и элементы управления с помощью анализа пробелов в политике DLP на основе Copilot, основанного на потребностях и уязвимостях ландшафта данных каждой организации.
• Ускорьте расследование нарушений безопасности данных. Повысьте уровень расследования нарушений безопасности данных с помощью естественного языка поиска, не требующего знания языка запросов, возможностей резюмирования, ускоряющих исследование и понимание инцидентов, а также допроса с глубоким анализом контента в DSPM.
• Изучите руководство на основе ИИ для расширения возможностей команд. Получите действенное руководство через Knowledge Hub, чтобы понять ландшафт данных и лучше изучить решения Purview, с соответствующими глубокими ссылками на рекомендуемые действия и следующие шаги для оптимизации расследований и рабочих нагрузок.

Ресурсы для администраторов безопасности данных: