ĐÀO TẠO AN TOÀN THÔNG TIN THEO CHUẨN QUỐC TẾ TRỰC TUYẾN

Microsoft Security Copilot là trợ lý ảo tất cả trong một sử dụng sức mạnh của AI để tăng cường quy trình làm việc của bạn. Nguồn

Bạn có thể đã nhận thấy sự tiếp quản AI đã diễn ra vào năm 2023 và ngành an ninh mạng cũng không tránh khỏi. Security Copilot là một công cụ AI dịch vụ dựa trên đám mây mới giúp bạn tăng cường bảo mật cho môi trường đám mây Microsoft của mình.

Liệu sản phẩm mới này có cách mạng hóa an ninh mạng như chúng ta biết ngày nay không?

Hướng dẫn Microsoft Security Copilot toàn diện này sẽ trả lời câu hỏi của chúng ta cũng như cách khai thác công cụ AI mới này. Tài liệu sử dụng các ví dụ thực tế để khám phá cách Security Copilot dự định thay đổi các phương pháp tiếp cận truyền thống trên các lĩnh vực an ninh mạng khác nhau. Sau đó, bạn có thể đánh giá cách và so sánh với các dịch vụ hiện tại.

Hãy khám phá cách chúng ta có thể sử dụng Security Copilot và sức mạnh của AI như thế nào ?

Microsoft Security Copilot là gì?

Security Copilot tăng cường quy trình làm việc của nhà phân tích bảo mật

Security Copilot kết hợp sức mạnh của mô hình ngôn ngữ lớn (LLM) AI thế hệ GPT-4 của OpenAI với một mô hình cụ thể về bảo mật do Microsoft phát triển. Điều này cho phép nhà phân tích của Trung tâm điều hành bảo mật (SOC) nhắc (promt) Security Copilot giống như bạn promt ChatGPT. Bạn đặt câu hỏi và công cụ này sẽ trả về câu trả lời do AI tạo để trả lời câu hỏi liên quan đến bảo mật.

Demo Microsoft Security Pilot

“Microsoft Security Copilot là một công cụ phân tích bảo mật do AI cung cấp cho phép các nhà phân tích phản ứng nhanh với các mối đe dọa, xử lý tín hiệu ở tốc độ máy và đánh giá mức độ rủi ro trong vài phút.”  -Microsoft _

Microsoft Security Copilot được tạo cho các nhà phân tích SOC

Các nhà phân tích SOC là những chuyên gia bảo mật lành nghề chịu trách nhiệm giám sát, phát hiện và ứng phó với các sự cố và mối đe dọa an ninh mạng. Họ liên tục giám sát mạng, hệ thống và ứng dụng của một tổ chức để xác định hoạt động độc hại và sử dụng các công cụ và công nghệ bảo mật khác nhau.

Microsoft Security Copilot là một công cụ khác để bạn thêm vào kho vũ khí của mình 

Microsoft tuyên bố Security Copilot cho phép bạn tăng cường quy trình làm việc của mình bằng cách tận dụng sức mạnh của AI trong bối cảnh dành riêng cho an ninh mạng. Công cụ này có thể được áp dụng cho nhiều hoạt động và trách nhiệm chính mà SOC thực hiện, từ giám sát và phát hiện đến quản lý tuân thủ và dễ bị tổn thương.

Microsoft tuyên bố Security Copilot có thể thực hiện những việc sau:

Hợp lý hóa quá trình điều tra với hướng dẫn của chuyên gia: Security Copilot cung cấp quyền truy cập trực tiếp vào các chuyên gia bảo mật của Microsoft, những người có thể hướng dẫn và hỗ trợ quản lý rủi ro bảo mật.

Nắm bắt những điều mà các nhà phân tích có thể bỏ sót: Security Copilot tăng cường quy trình phân loại để bạn sớm nhận thấy các mối đe dọa trên mạng và cung cấp cho bạn hướng dẫn dự đoán về cách ngăn chặn bước tiếp theo của tác nhân đe dọa.

Cải thiện chất lượng phát hiện thông qua giám sát và phản hồi chủ động: Security Copilot chủ động giám sát môi trường đám mây của bạn. Với mỗi lần phát hiện mới, mô hình của nó được cập nhật và nó trở nên tốt hơn trong việc nhận biết khi nào có mối đe dọa thực sự.

Cung cấp hỗ trợ ứng phó sự cố nhanh chóng: Công cụ này có thể đánh giá toàn bộ môi trường đám mây của bạn và dự đoán hệ thống mà kẻ tấn công có thể sẽ nhắm mục tiêu để bạn có thể nhanh chóng ngăn chặn và loại bỏ kẻ thù khỏi môi trường của mình.

Nâng cao vị thế bảo mật của bạn thông qua các đánh giá rủi ro liên tục: Security Copilot liên tục đánh giá môi trường đám mây của bạn và đưa ra các đề xuất duy nhất để giải quyết các rủi ro tiềm ẩn bằng cách sử dụng các biện pháp bảo mật tốt nhất.

Hỗ trợ tuân thủ: Security Copilot có thể tiến hành kiểm tra tuân thủ thường xuyên đối với môi trường đám mây của bạn và đưa ra các đề xuất về cách đáp ứng các tiêu chuẩn tuân thủ.

Tập trung vào giải quyết khoảng trống nhân tài an ninh mạng: Người ta ước tính rằng 3,4 triệu việc làm cần được lấp đầy bởi các chuyên gia an ninh lành nghề. Microsoft tuyên bố rằng Security Copilot có thể lấp đầy một số (nếu không phải tất cả) các vị trí tuyển dụng này bằng cách giúp các nhóm bảo mật hiện tại của bạn tăng cường quy trình làm việc của họ và có tác động lớn nhất.

Tích hợp mạnh mẽ trên các giải pháp bảo mật của Microsoft: Theo Microsoft, sức mạnh của Security Copilot đến từ sự tích hợp mạnh mẽ của nó với các sản phẩm bảo mật của Microsoft. Điều này bao gồm Trung tâm bảo mật Azure, Bộ bảo vệ Microsoft cho điểm cuối, Microsoft Cloud App Security, Microsoft Sentinel, Giải pháp quản lý truy cập và nhận dạng Microsoft (IAM), Microsoft Intune và các sản phẩm của bên thứ ba.

Sử dụng AI một cách có trách nhiệm: Microsoft tuyên bố cam kết sử dụng các biện pháp thực hành AI có trách nhiệm để mở rộng khả năng của các nhà phân tích bảo mật đồng thời đổi mới AI để thúc đẩy tác động tích cực. Security Copilot sử dụng một hệ thống học tập khép kín, vì vậy dữ liệu công ty trong môi trường của bạn sẽ vẫn nằm trong tầm kiểm soát của bạn và sẽ không được sử dụng để đào tạo Security Copilot hoặc làm phong phú thêm các mô hình AI nền tảng.

Làm thế nào bạn có thể thử nghiệm Microsoft Security Copilot?

Security Coilot hiện đang ở dạng xem trước và chỉ dành cho một số khách hàng chọn lọc. Bạn có thể đăng ký các bản cập nhật Bảo mật của Microsoft  để nghe thông báo về sản phẩm. Tuy nhiên, tại thời điểm này, không có ngày phát hành công khai.

Microsoft Security Copilot có thể được sử dụng như thế nào?

Sức mạnh của Microsoft Security Copilot có thể mở rộng trên nhiều lĩnh vực an ninh mạng, từ báo cáo đến giám sát tuân thủ. Bạn có thể sử dụng công cụ này để giúp tăng cường quy trình làm việc của mình trong bất kỳ lĩnh vực nào sau đây:

Ứng phó sự cố

Bạn có thể sử dụng Security Copilot khi ứng phó với các sự cố thông qua nhiều hành động khác nhau:

• Phân loại và đánh giá sự cố:  Security Copilot có thể nhanh chóng đánh giá sự cố và hướng dẫn các bước phản hồi ban đầu của bạn.
• Ngăn chặn và giảm thiểu sự cố:  Chế độ xem của Security Copilot đối với toàn bộ môi trường đám mây của bạn cung cấp thông tin chi tiết về cách ngăn chặn sự cố bảo mật và giảm thiểu mọi thiệt hại khác. Chẳng hạn, những hệ thống nào cần cách ly, những biện pháp hoặc biện pháp kiểm soát an ninh tạm thời nào cần triển khai và những bản vá lỗi nào phải được triển khai ngay lập tức.
•  Phân tích và điều tra pháp y số : Security Copilot có thể nhanh chóng phân tích các tệp hoặc lệnh độc hại và xác định các Chỉ số thỏa hiệp (IOC) mà bạn có thể tìm kiếm trong môi trường của mình để xác định các máy bị ảnh hưởng.
• Khắc phục và khôi phục : Security Copilot có thể hỗ trợ phát triển kế hoạch khắc phục để khôi phục các hệ thống bị ảnh hưởng và áp dụng các bản vá và kiểm soát bảo mật cần thiết để đảm bảo sự cố không tái diễn.

Nếu không có AI, những trường hợp sử dụng này sẽ tiêu tốn thời gian quý giá của con người, dẫn đến phản hồi kém hiệu quả hơn. Phản hồi tăng cường với Security Copilot giúp bạn tìm câu trả lời nhanh hơn và hạn chế thiệt hại tiềm ẩn mà một cuộc tấn công đang diễn ra có thể gây ra.

Threat Intelligence

Security Copilot có thể sử dụng nguồn cấp dữ liệu tình báo về mối đe dọa toàn cầu của Microsoft, thu thập 65 nghìn tỷ tín hiệu hàng ngày và bao gồm các mối đe dọa mạng mới nhất ảnh hưởng đến các tổ chức trên toàn thế giới. Security Copilot có thể sử dụng nguồn cấp dữ liệu này và các nguồn cấp dữ liệu thông minh khác của bên thứ ba để tự động xác định IOC trong môi trường của bạn và cung cấp ngữ cảnh cho các cảnh báo bảo mật hoặc hỗ trợ điều tra sự cố.

Ngoài IOC, Security Copilot có thể cung cấp các dịch vụ phân tích và báo cáo để giúp bạn hình dung thông tin tình báo về mối đe dọa mà tổ chức của bạn đang tiếp nhận. Công cụ này có thể phân tích thông tin tình báo, xác định các mẫu có liên quan và cung cấp thông tin chi tiết hữu ích để giảm thiểu rủi ro tiềm ẩn.

Săn lùng mối đe dọa (Threat Hunting)

Săn lùng mối đe dọa luôn bắt đầu bằng việc phát triển một giả thuyết nêu rõ những gì cuộc săn lùng sẽ tìm kiếm trong môi trường của bạn. Theo Microsoft, Security Copilot có thể hỗ trợ tạo giả thuyết săn bắn bằng cách cung cấp thông tin chuyên sâu về bảo mật về các chiến thuật/kỹ thuật/quy trình (TTP) đã được chứng minh mà các tác nhân đe dọa đang sử dụng và xác định các tình huống đe dọa tiềm ẩn.

Sau đó, bạn có thể sử dụng những hiểu biết bảo mật này để tạo truy vấn tìm kiếm tùy chỉnh với sự trợ giúp của Security Copilot và sự tích hợp của nó với tính năng Săn tìm nâng cao của Microsoft trong Defender cho Endpoint và Sentinel. Các truy vấn này có thể thực hiện tìm kiếm mối đe dọa của bạn bằng cách tìm kiếm dữ liệu tấn công, chẳng hạn như IOC đã biết, các hoạt động đáng ngờ hoặc các mẫu liên quan đến các mối đe dọa mạng mới nổi.

Giám sát tuân thủ

Nhiều doanh nghiệp phải tuân thủ các tiêu chuẩn ngành để bảo vệ dữ liệu của công ty và đáp ứng các yêu cầu theo quy định. Để kiểm tra tổ chức của bạn theo cách thủ công và đảm bảo từng điều kiện được thỏa mãn có thể rất tẻ nhạt. Microsoft tuyên bố Security Copilot có thể hỗ trợ việc này theo nhiều cách:

• Đánh giá chính sách tuân thủ : Security Copilot có thể giúp bạn đánh giá sự tuân thủ của tổ chức mình với các tiêu chuẩn ngành, yêu cầu quy định và chính sách nội bộ bằng cách đánh giá các biện pháp kiểm soát bảo mật trong môi trường của bạn.
• Bảng điều khiển và báo cáo tuân thủ tự động:  Thay vì tạo báo cáo hoặc bảng điều khiển theo cách thủ công để theo dõi sự tuân thủ của bạn, Security Copilot có thể tự động tạo các bảng điều khiển này cho bạn. Điều này giúp bạn dễ dàng theo dõi tiến độ của mình đối với các mục tiêu tuân thủ và chứng minh điều này với kiểm toán viên.
• Kiểm toán tuân thủ và hướng dẫn khắc phục : Security Copilot có thể thực hiện kiểm tra tuân thủ toàn diện ở tốc độ máy. Giả sử bạn cần cải thiện một lĩnh vực cụ thể. Công cụ này có thể tạo ra các bước khắc phục để giúp bạn đạt được các tiêu chuẩn quy định. Điều này có thể giúp bạn tiết kiệm thời gian khỏi việc kiểm tra thủ công và tìm hướng dẫn khắc phục từ kiểm toán viên.
• Theo dõi liên tục các bản cập nhật quy định : Khi các tiêu chuẩn được cập nhật và các cơ quan quản lý thay đổi các yêu cầu quy định của họ, bạn phải luôn cập nhật thông tin và cảnh giác để đảm bảo môi trường CNTT của mình tuân thủ. Security Copilot có thể tự động cập nhật cho bạn các thay đổi về quy định và hướng dẫn cách những thay đổi này có thể ảnh hưởng đến các yêu cầu tuân thủ của bạn.

Quản lý lỗ hổng

Quản lý các lỗ hổng bảo mật là một cuộc chiến không hồi kết, với những lỗ hổng mới xuất hiện hàng ngày. Điều này có thể trở nên quá tải trong các môi trường CNTT lớn triển khai nhiều phần mềm khác nhau. Theo Microsoft, Security Copilot có thể giúp bạn hoàn thành nhiệm vụ này với khả năng hiển thị toàn bộ môi trường đám mây của bạn.

Security Copilot có thể lấy dữ liệu bảo mật theo thời gian thực từ tất cả các thiết bị đầu cuối và máy chủ của bạn để xác định các phiên bản phần mềm và đối chiếu dữ liệu này với các lỗ hổng đã biết được thu thập từ nguồn cấp dữ liệu tình báo về mối đe dọa. Nếu một điểm cuối hoặc máy chủ dễ bị tấn công, nó có thể tạo các bước khắc phục để bạn giảm thiểu rủi ro liên quan hoặc thậm chí được định cấu hình để tự động cập nhật phần mềm có lỗ hổng.

Khả năng tự động cảnh báo bạn về các lỗ hổng trong môi trường của bạn không có gì mới. Bộ bảo vệ Microsoft dành cho Điểm cuối đã thực hiện điều này. Tuy nhiên, việc sử dụng AI để tạo các bước khắc phục, tự động thực hiện các hoạt động giảm thiểu rủi ro phức tạp hoặc vá phần mềm mà không cần sự tương tác của người dùng là những khả năng mới giúp tăng tốc đáng kể việc quản lý các lỗ hổng và cải thiện khả năng bảo mật của tổ chức bạn.

Detection (phát hiện – dò tìm)

Microsoft Security Copilot được thiết kế để học hỏi từ các sự cố trong quá khứ nhằm tạo ra các phản hồi chính xác hơn trong tương lai. Việc học được thực hiện thông qua phản hồi của người dùng và phân tích dữ liệu lớn. Điều này có nghĩa là các phát hiện mà nó thực hiện sẽ ít ồn ào hơn (giảm các kết quả xác thực sai) và bạn sẽ có thể tập trung vào các sự cố thực sự cần sự chú ý của mình. Security Copilot chạy càng lâu, nó càng thông minh hơn.

Bạn cũng có thể sử dụng Security Copilot để tạo các quy tắc phát hiện cho bạn. Chẳng hạn, bạn có thể yêu cầu nó tạo một phát hiện kích hoạt khi một lỗ hổng mới cụ thể bị khai thác. Điều này giúp bạn tiết kiệm thời gian và công sức nghiên cứu thủ công lỗ hổng và viết quy tắc, đảm bảo môi trường của bạn được bảo vệ nhanh hơn nhiều.

Microsoft Security Copilot trong thực tế

Hãy xem hoạt động của Security Copilot bằng cách xem xét các sự cố bảo mật phổ biến trong thế giới thực mà bạn có thể sẽ gặp phải khi làm việc trong SOC.

Tình huống 1 – Kỹ thuật đảo ngược Payload độc hại

Kịch bản

Kẻ thù thường sử dụng tải trọng độc hại trong tập lệnh PowerShell để tấn công các máy trong môi trường của bạn. Là một nhà phân tích SOC, bạn sẽ gặp phải một tải trọng độc hại trong tập lệnh PowerShell mà bạn phải giải mã để tìm các IOC cần tìm trong môi trường của mình.

Không có Microsoft Security Copilot

Điều này yêu cầu bạn phải làm việc thông qua từng dòng tập lệnh và sử dụng các công cụ của bên thứ ba để giải mã và gỡ rối mã PowerShell để tìm IOC cần tìm. Một quy trình tẻ nhạt có thể tốn thời gian, đòi hỏi kiến ​​thức chuyên sâu về PowerShell.

Sử dụng Microsoft Security Copilot

Security Copilot có thể tự động giải mã tập lệnh và trích xuất các IOC có liên quan để bạn tìm kiếm. Bạn chỉ cần sao chép và dán tập lệnh vào lời nhắc và công cụ sẽ thực hiện phần việc còn lại cho bạn. Điều này giúp bạn tiết kiệm thời gian và hạ thấp tiêu chuẩn về kiến ​​thức cần thiết.

Microsoft đã giới thiệu các khả năng của Security Copilot trong một cuộc trình diễn trực tiếp, nơi nó được sử dụng để thiết kế ngược một tải trọng độc hại. Kiểm tra bản demo bên dưới để xem Copilot đang hoạt động.

Tình huống 2 – Ứng phó sự cố

Kịch bản

Ứng phó với các sự cố cần phải hiệu quả. Để làm điều này, bạn phải thực hiện phân loại cảnh báo ban đầu để xác định những cảnh báo nào bạn phải ưu tiên và phản hồi. Là một nhà phân tích SOC, bạn sẽ thường thấy một cảnh báo mà bạn cần tóm tắt để ưu tiên (hoặc hủy ưu tiên) cảnh báo đó một cách nhanh chóng.

Không có Microsoft Security Copilot

Quá trình này yêu cầu điều hướng đến cảnh báo bằng giải pháp bảo mật của tổ chức bạn (ví dụ: trong SIEM). Sau đó, bạn sẽ phải cố gắng thu thập tất cả dữ liệu bảo mật liên quan được liên kết với cảnh báo này (ví dụ: hệ thống bị ảnh hưởng, quy trình liên quan, người dùng liên quan, cây thực thi, v.v.). Khi bạn có tất cả những thứ này, bạn cần ghép chúng lại với nhau để tóm tắt cảnh báo và chỉ khi đó bạn mới có thể quyết định mức độ ưu tiên của cảnh báo.

Sử dụng Microsoft Security Copilot

Security Copilot có thể nhanh chóng phân tích cảnh báo và cung cấp bản tóm tắt các chi tiết liên quan của cảnh báo:

Security Copilot có thể truy xuất và phân tích cảnh báo thông qua tích hợp với Microsoft Sentinel (SIEM). Cảnh báo này đã được đưa ra trong Sentinel và có liên quan đến “Quyền truy cập ban đầu của OneNote”, có khả năng là một email lừa đảo đã sử dụng liên kết hoặc tệp đính kèm OneNote độc ​​hại. Công cụ này có thể sử dụng mô hình AI của nó để tóm tắt những gì đã xảy ra và làm nổi bật các chi tiết chính. Nó cũng tạo ra một cái nhìn đồ họa của vụ việc.

Bạn có thể đọc nhanh bản tóm tắt này và sử dụng biểu đồ để hiểu cảnh báo này. Sau đó, bạn có thể sử dụng kiến ​​thức về miền của mình để xác định mức độ ưu tiên của cảnh báo này. Security Copilot cung cấp các đề xuất hữu ích về các bước tiếp theo tiềm năng nếu bạn chọn điều tra thêm. Trong sự cố này, bạn có thể điều tra tác động của tệp độc hại đối với hệ thống bị ảnh hưởng hoặc chuyển sang Sentinel (giải pháp SIEM của Microsoft) và nhận phân tích sự cố chung.

Phân tích nhanh này cho phép bạn phân loại các cảnh báo hiệu quả hơn và các đề xuất do Security Copilot cung cấp, sau bản tóm tắt ban đầu, sẽ cho phép bạn chuyển sang điều tra đầy đủ và khắc phục tiềm năng một cách dễ dàng.

Kịch bản 3 – Săn lùng mối đe dọa

Kịch bản

Săn lùng mối đe dọa là một phần quan trọng của bất kỳ SOC nào. Khi bạn bắt gặp một IOC từ nguồn cấp thông tin tình báo về mối đe dọa, bạn phải tìm kiếm nó trong môi trường của mình để xác định xem các hệ thống khác có bị ảnh hưởng hay không.

Không có Microsoft Security Copilot

Để thực hiện tìm kiếm mối đe dọa bằng cách sử dụng IOC, trước tiên bạn cần tìm IOC từ nguồn cấp thông tin tình báo về mối đe dọa. Sau đó, bạn cần tạo một truy vấn để tìm kiếm IOC trong môi trường của mình. Nếu bạn sử dụng công cụ của Microsoft, điều này sẽ được thực hiện bằng truy vấn Tìm kiếm nâng cao, yêu cầu kiến ​​thức chuyên sâu về KQL (ngôn ngữ truy vấn của Microsoft dành cho các sản phẩm bảo mật của mình).

Nghiên cứu truy vấn để viết và sau đó viết truy vấn sẽ đòi hỏi thời gian và công sức, có khả năng khiến kẻ tấn công có thời gian lây lan trong môi trường của bạn và xâm phạm các máy khác. Thời gian này được gộp lại nếu bạn cần thực hiện nhiều cuộc săn tìm mối đe dọa.

Sử dụng Microsoft Security Copilot

Security Copilot cho phép bạn tóm tắt một cảnh báo và trích xuất các IOC có liên quan một cách nhanh chóng. Bạn chuyển từ bản tóm tắt cảnh báo sang cuộc săn tìm mối đe dọa bằng cách hỏi Người phụ trách an ninh xem IOC có được nhìn thấy ở bất kỳ nơi nào khác trong môi trường của bạn hay không. Ví dụ: một tệp nhất định đã được nhìn thấy ở bất kỳ nơi nào khác trong môi trường của bạn:

Tại đây, Security Copilot đã xác định rằng một tệp đã được gửi trong email từ người dùng này sang người dùng khác trong môi trường của bạn. Sau đó, bạn có thể thực hiện một cuộc tìm kiếm mối đe dọa khác từ bên trong Security Copilot để điều tra xem email này đã được gửi tới những người dùng khác trong môi trường của bạn hay chưa, vì họ cũng có thể bị xâm phạm. Điều này được thực hiện bằng cách chọn “Email: Tìm sự hiện diện”:

Đề xuất do Security Copilot cung cấp cho phép bạn quét các email có chứa tệp bị xâm nhập và xem ai đã gửi/nhận tệp để tìm hiểu xem có nhiều người dùng bị ảnh hưởng hay không. Nó cũng bắt đầu tìm kiếm mối đe dọa để điều tra xem có bất kỳ thông tin đăng nhập đáng ngờ nào liên quan đến người dùng đã gửi email hay không. Điều này giúp xác định xem tài khoản của họ có bị xâm phạm hay không.

Tại đây, bạn thấy chuỗi email có người dùng có khả năng bị xâm nhập gửi email có liên kết độc hại tới hai người dùng khác trong tổ chức:

Bạn phát hiện ra rằng thực sự đã có những nỗ lực đăng nhập đáng ngờ đối với tài khoản có khả năng bị xâm nhập đã gửi liên kết độc hại. Điều này xác nhận sự nghi ngờ của bạn rằng tài khoản đã bị xâm phạm và kết thúc quá trình tìm kiếm mối đe dọa của bạn:

Trong trường hợp này, Security Copilot có thể thực hiện liền mạch nhiều cuộc tìm kiếm mối đe dọa từ một cảnh báo ban đầu về tài khoản và thiết bị bị xâm nhập. Việc tích hợp này với Defender cho Điểm cuối cho phép bạn nhanh chóng điều tra cảnh báo và khám phá xem những người dùng hoặc thiết bị khác có bị ảnh hưởng hay không.

Kịch bản 4 – Báo cáo bảo mật

Kịch bản

Khi làm việc với tư cách là nhà phân tích SOC, bạn thường cần cung cấp các báo cáo về các sự cố lớn mà bạn gặp phải. Báo cáo này phải cung cấp tổng quan cấp cao về sự cố để người quản lý của bạn có thể sử dụng nó để xác định các kiểu hoặc xu hướng trong các cuộc tấn công mạng ảnh hưởng đến tổ chức của bạn.

Không có Microsoft Security Copilot

Tạo các báo cáo như vậy có thể rất tẻ nhạt. Bạn cần điều tra một cảnh báo, tóm tắt dữ liệu tấn công và trình bày ở định dạng dễ hiểu cho người quản lý của bạn (ví dụ: ở dạng PDF hoặc PowerPoint). Quá trình này liên quan đến việc sử dụng nhiều công nghệ và sao chép và dán dữ liệu ở nhiều vị trí khác nhau.

Sử dụng Microsoft Security Copilot

Security Copilot giúp việc báo cáo bảo mật trở nên vô cùng đơn giản nhờ tích hợp với các công cụ của Microsoft. Bạn có thể sử dụng Security Copilot để cung cấp phân tích cảnh báo, như chúng tôi đã làm trước đây, sau đó yêu cầu nó tạo trang trình bày PowerPoint phác thảo phân tích này:

Sau khi Security Copilot tạo trang trình bày này, bạn có thể thêm nó vào trang trình bày báo cáo của tổ chức mình và trình bày những phát hiện của bạn cho người quản lý của bạn:

Điều này biến báo cáo bảo mật từ một quy trình tẻ nhạt thành một quy trình đơn giản. Bạn sẽ đánh giá cao việc tạo dễ dàng và người quản lý của bạn sẽ đánh giá cao tính kịp thời của các báo cáo của bạn!

Kết luận

Microsoft Security Copilot sẽ cách mạng hóa các tác vụ SOC khác nhau, nhưng liệu nó có thay thế các nhà phân tích SOC đang làm việc hiện nay không?

Điều này dường như không thể xảy ra trong tương lai gần. Security Copilot giúp tăng cường quy trình làm việc của bạn và đẩy nhanh quá trình điều tra sự cố. Nó dựa trên sức mạnh của AI để cung cấp cho bạn nhiều giải pháp khác nhau cho các vấn đề bảo mật. Tuy nhiên, sức mạnh của nó đến từ lời nhắc của bạn, được hướng dẫn bởi kiến ​​thức miền của bạn. Để sử dụng Security Copilot hiệu quả, bạn cần biết các câu hỏi phù hợp.

Microsoft thừa nhận trong phần trình diễn Security Copilot rằng nó vẫn dễ bị lỗi (trong phần trình diễn, nó liệt kê Windows 9 là một hệ điều hành hợp pháp) và cần một nhà phân tích bảo mật lành nghề với sự khéo léo của con người để vận hành công cụ này.

Điều đó nói rằng, các chuyên gia bảo mật lành nghề phải lấp đầy khoảng 3,4 triệu việc làm . Security Copilot có thể sẽ lấp đầy khoảng trống tài năng này. Nó có thể tăng cường công việc và cho phép các doanh nghiệp mở rộng quy mô chương trình bảo mật của họ một cách nhanh chóng với một nhóm tương đối nhỏ.

Giống như các công nghệ đám mây khác, Security Copilot có thể tăng tốc hoạt động, yêu cầu ít người hơn trong việc thiết lập và bảo trì hệ thống, đồng thời cho phép doanh nghiệp mở rộng quy mô dễ dàng. Điều này có thể có nghĩa là các nhà phân tích SOC đang làm việc ngày nay sẽ cần học các kỹ năng mới để phù hợp với Security Copilot giống như các kỹ sư mạng được yêu cầu với sự ra đời của điện toán đám mây.

Microsoft Security Copilot chỉ là khởi đầu của cuộc cách mạng AI cho an ninh mạng và sẽ là ứng dụng không thể thiếu trong các khóa học ECCounci CEH / CHFI /CPENT / LPT hay CompTIA Security+ Pentest+ CySA+ và CASP+ của Security365 & CertMaster

Vinh Nguyễn Trần Tường